O stave ochrany osobných údajov na Slovensku do istej miery vypovedá aj to, ako povinnosti uložené zákonom (o ochrane osobných údajov) rešpektuje samotná inštitúcia, ktorá na dodržiavanie tohto zákona dohliada – Úrad na ochranu osobných údajov. Veď aj Úrad má informačné systémy, v ktorých spracúva osobné údaje, a tak ako ich prevádzkovateľ má podľa zákona rovnaké základné povinnosti ako organizácie, ktoré chodí kontrolovať. Neviem, či inšpektori Úradu niekedy vykonali kontrolu dodržiavania ustanovení zákona na ich vlastnom pracovisku, mám však dôvodné podozrenie že ak by Úrad kontrolovali rovnako prísne ako ostatné organizácie, je možné že by Úrad schytal aj nejakú pokutu … Na toto podozrenie pritom nepotrebujem vykonať kontrolu v sídle Úradu, stačia mi informácie, ktoré som si od Úradu vyžiadal – a to som nežiadal nič mimoriadne, len kópiu evidencie informačných systémov (pracujúcich s osobnými údajmi), ktoré Úrad prevádzkuje.
Úrad mi na požiadanie poskytol pdf súbor s kópiami evidenčných listov 7 informačných systémov, ktoré prevádzkuje, pričom evidenčné listy obsahovali položky predpísané zákonom. Formálne to bolo teda v poriadku, mňa však zaujímali konkrétne údaje, uvedené pri jednotlivých položkách – a tam to bolo naozaj zaujímavé. Keď som totiž niektorým klientom pomáhal o.i. s vytvorením evidenčných listov, dosť sme sa natrápili s tým, ako požadované informácie formulovať dostatočne presne a výstižne, aby prípadná kontrola zo strany Úradu nemala výhrady – a tu som mal možnosť vidieť, ako Úrad svoju povinnosť v tomto smere vyslovene odflákol. Konkrétny príklad – podľa §26 ods.3 písm. o) zákona má evidencia obsahovať „všeobecnú charakteristiku opatrení na zabezpečenie ochrany osobných údajov“. Pripúšťam, že sa dá diskutovať o tom, ako všeobecná by mala byť požadovaná charakteristika prijatých opatrení, ale osobne si to vysvetľujem ako buď odkaz na bezpečnostný projekt, alebo aspoň stručné vymenovanie kľúčových opatrení. V živote by ma nenapadlo na tomto mieste dať to, čo dal Úrad – nič iné, len „§15 ods.1“. Prečo? Veď §15 ods.1 zákona v podstate len hovorí že prevádzkovateľ je zodpovedný za bezpečnosť osobných údajov a o tom, že na tento účel „… prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania …“. Ak takýto odkaz na odsek zákona postačuje, načo potom vôbec zákon požaduje do evidencie uviesť „všeobecnú charakteristiku opatrení na zabezpečenie ochrany osobných údajov“?
Ďalším pozoruhodným prípadom bola položka evidencie „okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené“. Zmysel zaradenia tejto položky do evidencie vidím v snahe poskytnuť základnú informáciu o tom, kto môže mať prístup k mojim osobným údajom – pochopiteľne nie menovite (to by bolo príliš nepraktické), ale aspoň približne. V prípade mojich údajov, spracúvaných na Úrade, by ma zarazila už informácia typu „zamestnanci Úradu“, nakoľko nepredpokladám, že by všetci mali v pracovnej náplni vybavovanie podnetov a sťažností, ale aj to by som ešte považoval za tolerovateľne všeobecnú formuláciu. Úrad však vo všetkých svojich evidenčných listoch na tomto mieste používa formuláciu „orgán štátnej správy, iný orgán verejnej moci“, čo je nadmieru veľkoryso braný okruh príjemcov… Takáto formulácia o príjemcoch osobných údajov je tak všeobecná, že vlastne nedáva žiadnu zmysluplnú informáciu… (nehovoriac o pochybnostiach o legálnosti sprístupnenie mojich údajov, ktoré som poskytol Úradu, ľubovoľnému inému orgánu štátnej správy či orgánu verejnej moci – pokiaľ je mi známe, žiaden zákon neumožňuje Úradu poskytovať osobné údaje pre tak široko koncipovaný okruh príjemcov).
Naozaj by ma zaujímalo, či by hociktorej inej organizácii inšpektori Úradu uznali takto odfláknuté informácie v evidencii za dostatočné…
To však nie je všetko. Úrad v evidenčných listoch troch IS uvádza, že sa v nich spracúvajú (aj) tzv. osobitné kategórie osobných údajov. O.i. to znamená, že pri splnení niektorých podmienok zákon pre ne predpisuje vypracovanie bezpečnostného projektu (ak sa takéto údaje spracúvajú na systéme ktorý je prepojený na verejne dostupnú sieť), resp. aspoň bezpečnostných smerníc (systém nie je prepojený na verejne dostupnú sieť). Keďže však evidenčné listy v položke „všeobecná charakteristiku opatrení na zabezpečenie ochrany osobných údajov“ neuvádzajú ani bezpečnostný projekt, ani bezpečnostné smernice, je na mieste nepríjemná otázka – má vôbec Úrad vypracovaný bezpečnostný projekt či bezpečnostné smernice? Ak je odpoveď záporná (ako by naznačovali evidenčné listy), znamenalo by to, že Úrad porušuje povinnosti ustanovené v §15 ods.2 zákona č. 428/2002 Z.z. o ochrane osobných údajov (za čo je podľa zákona možné udeliť pokutu v najvyššej možnej výške).
Na záver už len drobnú pikošku – evidenčné listy, ktoré mi Úrad poskytol, určite nezodpovedajú súčasnému stavu v položke „štatutárny orgán prevádzkovateľa“ (k zmene došlo pred niekoľkými mesiacmi). Či sú aktuálne aj mená uvedené v položke „osoba zodpovedná za výkon dohľadu nad ochranou osobných údajov“, nie som schopný posúdiť, nakoľko neviem, či tam uvedené osoby ešte v Úrade pracujú, resp. sú ešte poverené výkonom dohľadu … ak nie, je potrebné pripomenúť, že pri kontrole v iných organizáciách takto rozpor inšpektori Úradu nezvykli prehliadať a v odôvodnení rozhodnutia o udelení pokuty zdôrazňovali, že rozhodujúci je stav v čase kontroly.
O stave ochrany osobných údajov na Slovensku do istej miery vypovedá aj to, ako povinnosti uložené zákonom o ochrane osobných údajov rešpektuje inštitúcia, ktorá na dodržiavanie tohto zákona dohliada – Úrad na ochranu osobných údajov. Ukazuje sa, že v tomto smere nie sú dôvody na nejaký veľký optimizmus…
Ostatné články tejto série: prvý, tretí, štvrtý, piaty
Jozef