Zajtra je 28. január – dátum, ktorý je vo svete každoročne vyhlasovaný za Deň ochrany osobných údajov. Okrem pripomenutia (v tomto roku už 33.) výročia prijatia Dohovoru č. 108 Rady Európy o ochrane jednotlivca pri automatizovanom spracovaní osobných údajov má poslúžiť ako podnet pre inštitúcie, ktoré sa ochranou osobných údajov zaoberajú, aby aspoň v ten deň zamerali svoju činnosť na šírenie osvety v tejto oblasti (samozrejme, lepšie by bolo, keby tak činili častejšie ako jeden deň v roku). Slovensko by nemalo byť výnimkou, skôr naopak – hoci ochrana osobných údajov je v našej legislatíve už vyše 20 rokov (prvým, naprosto neúčinným, zákonom v tomto smere bol zákon č. 256/1992 Zb. ), stále je toho veľa, čo ľudia o ochrane osobných údajov nevedia, resp. ich vedomosti o tejto oblasti sú niekedy až neuveriteľne skreslené. Názorné ukážky som mal možnosť pozorovať aj v priebehu posledného roka, predovšetkým v súvislosti s prijatím nového zákona o ochrane osobných údajov (č. 122/2013 Z.z.).
Teoreticky by pritom situácia mohla byť priaznivá – podľa zákona č. 428/2002 Z.z. už dávnejšie mala mať väčšina organizácii poverenú tzv. zodpovednú osobu dohliadajúcu na ochranu osobných údajov v organizácii. Zákon tiež uložil, aby táto osoba absolvovala školenie o zákone o ochrane osobných údajov – skrátka, mal to byť niečo ako miestny guru na ochranu osobných údajov a mali byť skoro všade (v každej organizácii s viac ako 5 zamestnancami). Keďže však zákon (a Úrad na ochranu osobných údajov) požadoval len existenciu potvrdenia o absolvovaní školenia a nešpecifikoval a ani nekontroloval požiadavky na školiteľov, obsah školení a úroveň ich absolventov, stalo sa to, čo sa vcelku dalo predvídať… naprosto formálne plnenie požiadavky „mať školenie“ a veľké množstvo „miestnych guru“, ktorí v problematike ochrany osobných údajov nie sú poriadne zorientovaní.
Mal som možnosť sa tom opakovane osobne presvedčiť – v minulom roku som na požiadanie viacerých organizátorov školení prednášal na rôznych miestach na Slovensku o tom, čo prináša nový zákon v porovnaní so „starým“. Školenia boli zorganizované práve pre tie poverené zodpovedné osoby, teda pre tých, ktorí teoreticky mali na slušnej úrovni ovládať aspoň to, čo ukladal „starý“ zákon. Otázky, ktoré som dostával či už počas prednášania, ale aj cez prestávky či po prednáške ukázali, že účastníci v najlepšom prípade poznali krátky (a neúplny) zoznam povinností, ktoré ich zamestnávateľom ukladal zákon – o „pozadí“ týchto povinností či o základných princípoch spracovania osobných údajov však nemali tušenia. Naviac, v tom krátkom zozname absentovalo napríklad aj práve to, čo sa má urobiť hneď na začiatku spracúvania osobných dajov – teda ujasniť si účel ich spracúvania, primeranosť rozsahu spracúvaných údajov, a zabezpečiť náležité informovanie dotknutých osôb o tom, na aký účel sa ich osobné údaje majú použiť.
Čo je horšie, nepríjemne veľa bolo takých, ktorí mali problémy pochopiť, že ochrana osobných údajov nie je len o vypracovaní bezpečnostného projektu, či mali problémy rozlišovať medzi tak rozdielnymi povinnosťami, ako vypracovanie bezpečnostného projektu a povinnosťou prihlásiť informačný systém na registráciu. A skutočnosť, že účastníci školení obvykle nepoznali ani len adresu webstránky Úradu na ochranu osobných údajov len dokazuje, aké škody narobilo dlhodobé ignorovanie tejto dostupnej možnosti šírenia osvety zo strany Úradu na ochranu osobných údajov (za posledný rok sa v tomto smere webstránka Úradu výrazne zlepšila, stratené roky sa však len tak ľahko nedajú nahradiť).
A keď údajne vyškolený „miestny guru“ má v znalostiach ochrany osobných údajov také medzery, ťažko možno od obyčajných ľudí očakávať, že sa budú vedieť zorientovať v tejto problematike. To nakoniec vidieť aj v blogoch a diskusiách na Internete. Zvlášť smutné je, že aj dobre myslené snahy pomôcť („šíriť osvetu“) v tejto oblasti spravidla pozostávajú z uvedenia zoznamu povinností, ktoré prevádzkovateľovi informačného systému ukladá zákon, a vysvetlenia čo je potrebné na ich splnenie. O dôvodoch, prečo vlastne máme zákon o ochrane osobných údajov, o právach, ktoré dáva dotknutým osobám, obvykle ani slovo … čo len ukazuje, že ani takíto ochotní pomocníci si neuvedomujú (resp. ani nevedia), aký je hlavný zmysel tohto zákona. Že tento zákon máme preto, lebo ochrana súkromia/osobných údajov patrí medzi základné ľudské práva a zákon stanovuje základné pravidlá nakladania s osobnými údajmi a dotknutým osobám má dať možnosť uplatniť si svoje práva.
Skrátka, známe biedne právne povedomie na Slovensku v kombinácii s rozšíreným prezentovaním zákona o ochrane osobných údajov bez náležitého vysvetlenia len ako zoznamu nejakých nepochopiteľných povinností nás doviedlo do stavu, v ktorom je ochrana osobných údajov vnímaná ako niečo úplne zbytočné či dokonca škodlivé.
Otázka, na ktorú nepoznám odpoveď, znie – kto a akou formou by mohol prispieť k lepšiemu zorientovaniu ľudí v problematike ochrany osobných údajov? Hoci sme konečne dospeli do stavu, kedy Úradu na ochranu osobných údajov nemožno vytknúť, že by sa vyhýbal poskytovaniu informácií, ako to bolo v minulosti (už letmý pohľad na webstránku Úradu odhalí neprehliadnuteľné zmeny v tomto smere), nemyslím si, že toto je úloha, ktorú by sám dokázal zrealizovať. Nešťastím Úradu je, že akékoľvek jeho vyjadrenie sa interpretuje ako oficiálne stanovisko autority pre oblasť ochrany osobných údajov, čo znamená, že v praxi sú stanoviská Úradu formulované tak, aby boli exaktné a právnicky odôvodnené … Pre obyčajných ľudí to obvykle znamená zdĺhavé a nezáživné čítanie, teda málo atraktívne na to, aby taký text vôbec začali čítať, prečítali ho do konca a ešte sa aj zamysleli nad nejakým poučením z toho textu. Vzbudenie záujmu a pochopenie podstaty si vyžaduje niečo iné – napríklad príbehy, reálne príbehy (prípadne aj vymyslené, ale dostatočne realisticky pôsobiace), ktoré človeka zaujmú a ktorých zjednodušenie mu pomôže pochopiť o čo v prípade ochrany osobných údajov ide … a detailná právna analýza nie je to, čo by v takomto prípade bežného človeka najviac zaujímalo. Dočkáme sa nejakých pokusov v tomto smere?
Jozef