O pokutách udelených za porušenie zákona o ochrane osobných údajov

O stave ochrany osobných údajov na Slovensku možno čo-to usúdiť aj z výsledkov kontrol a prešetrovaní oznámení a podnetov, ktoré Úrad vykonáva. V tomto príspevku sa pozrieme na to, čo sa dá vyčítať z informácií o tých konaniach Úradu, ktoré vyústili do rozhodnutia o udelení pokuty (teda v istom zmysle o najvážnejších porušeniach zákona o ochrane osobných údajov). Úrad vo svojej správe uvádza len počet kontrol, ktoré skončili rozhodnutím o pokute plus úhrnnú sumu, z čoho vyplýva nič nehovoriaca informácia o priemernej výške pokuty. Nestačilo mi to a tak som požiadal Úrad o kópie všetkých rozhodnutí o udelení pokuty za posledné tri roky … nejakú dobu mi trvalo, kým som sa prehrýzol 239-stranovým pdf súborom, ale ukázalo sa, že sa z neho dá vydolovať viac ako to, čo vo svojej správe uvádza Úrad.

Začnime pokutami pre fyzické osoby – bolo ich podstatne menej ako pre právnické osoby, ale boli. Najčastejším porušením zákona, ktoré Úrad „odmenil“ pokutou, bolo „poskytnutie osobných údajov do IS bez písomného súhlasu dotknutých osôb“ (§7 ods.5 zákona) – prípady, kedy sprostredkovatelia motivovaní odmenou za získaných poistencov nahlásili zmenu zdravotnej poisťovne aj pre ľudí, ktorí o to nežiadali. V roku 2009 udelil za toto Úrad štyri pokuty – v dvoch prípadoch po 500 Eur, v jednom 530 a v jednom prípade 250 Euro. V roku 2010 bol jeden prípad  s pokutou 500 Euro a jeden „za 900“. Zaujímavé je, že potom „cena“ klesla – po jednom prípade v rokoch 2011 a (začiatok roku) 2012 a pokuta bola už iba 100 Euro. Z textu rozhodnutí sa mi nepodarilo odhaliť dôvody pre rozdiely vo výške pokút – vo väčšine prípadov bolo preukázané neoprávnené poskytnutie údajov iba jednej osoby (v ostatných šlo o maximálne 4 osoby), ale aj vtedy bola výška pokuty 500 (r. 2009 a 2010), 250 (r. 2009) či 100 (r. 2011 a 2012) Euro. Najvyššia pokuta 900 Euro bola v prípade, kedy boli preukázateľne dotknuté 2 osoby, takže počet „obetí“ asi nebol rozhodujúcim kritériom pre výšku pokuty.

Sortiment porušení zákona v prípade fyzických osôb bol inak pomerne chudobný – okrem už vyššie spomenutého to bolo v jednom prípade to isté v kombinácii s porušením mlčanlivosti plus spracovaním osobných údajov nad dohodnutý rámec (pokuta 1659,69 Euro) či prípad „spracúvania osobných údajov bez vymedzenia rozsahu a podmienok spracúvania“ (§5 ods.2 zákona), ktorý Úrad „ocenil“ na 1700 Euro. Porušenie mlčanlivosti bolo v dvoch prípadoch Úradom „ocenené“ na 100 Euro a v jednom prípade na 200 Euro, v jednom prípade si „neposkytnutie súčinnosti Úradu“ (dotyčný sa nedostavil na výkon kontroly) vyslúžilo pokutu 500 Euro.

Pestrejšie to bolo v prípade firiem, živnostníkov, samospráv a občianskych združení, kde sa aj pokuty dostali na celkovo vyššiu úroveň. Najnižšia pokuta bola 500 Euro – za to, že prevádzkovateľ v zákonom stanovenej lehote neinformoval dotknutú osobu o stave spracúvania jej osobných údajov, alebo za to, že vinník neposkytol Úradu včas všetky požadované informácie.

Veľká časť prípadov pozostávala z porušenia viacerých ustanovení zákona súčasne, tu si všimneme hlavne tie „jednoduchšie“. Napríklad, v niekoľkých prípadoch Úrad uložil organizácii vykonať nápravné opatrenia a informovať o ich splnení – ak „vinník“ v stanovenom termíne neinformoval Úrad , stálo ho to obvykle 1500 (v jednom prípade však 3000, v inom len 1000) Euro. Ak aj prevádzkovateľ včas informoval Úrad o splnení uložených nápravných opatrení, ale naďalej spracúval biometrické údaje čo mu Úrad nariadil ukončiť, pokuta bola vo výške 3000 Euro.

Porušenie povinnosti viesť evidenciu informačných systémov obvykle stálo 1000 Euro. Ak okrem toho nemala organizácia ani osobu poverenú výkonom dohľadu nad ochranou osobných údajov, „cena“ buď ostala tá istá, alebo sa zvýšila na 1500 Euro (na 2000 Euro ak organizácia naviac nepoučila svoje oprávnené osoby o nakladaní s osobnými údajmi). Samotné nesplnenie povinnosti poučiť oprávnené osoby o nakladaní s osobnými údajmi ocenil Úrad na 1700 Euro. Skutočnosť, že prevádzkovateľ neoznámil dotknutým osobám, že spracúvaním ich osobných údajov poveril ďalší subjekt (sprostredkovateľa), ho stála 5000 Euro. Prevádzkovateľa, ktorý sa previnil tým, že nemal vypracovaný bezpečnostný projekt, potrestal Úrad v r. 2009 pokutou vo výške 4945,89 Euro.

V niektorých prípadoch Úrad ukladal pokuty za „neposkytnutie súčinnosti“ zo strany kontrolovaného subjektu. Opakované neposkytnutie požadovaných údajov stálo 1500 Euro, v iných prípadoch (spolu s nedostavením sa na predvolanie) 3000 alebo 5000 Euro, resp. až 9000 Euro (neposkytnutie požadovaných údajov ani prístupu do PC).

Súhrnne môžem konštatovať, že sa mi z poskytnutých informácií nepodarilo odvodiť niečo ako obvyklý „cenník“ pokút za porušovanie ustanovení zákona o ochrane osobných údajov. Úrad sa ani netají tým, že preferuje udeľovanie pokút vo výške blízko spodnej hranice intervalu daného zákonom. Takúto ústretovosť voči prevádzkovateľom IS s osobnými údajmi možno označiť za rozumnú predovšetkým v prvých rokoch po prijatí zákona, nakoľko im dáva čas na prispôsobenie sa požiadavkam zákona (od prijatia súčasného zákona o ochrane osobných údajov  však prešlo už desať rokov).

Ale niečo sa mi predsa len podarilo zistiť – v prípade právnických osôb neboli v rozhodnutiach zmazané ich „osobné údaje“ a tak možno konštatovať zaujímavé geografické rozloženie „vinníkov“ za posledné tri roky. Suverénne najviac ich bolo v Bratislave, zopár na západe Slovenska (okresy Trenčín, Považská Bystrica, Dunajská Streda, Nitra), ďalej smerom na východ len raz Banská Bystrica a raz Prešov. Pripomeňme si, že hovoríme o prípadoch, kedy boli udelené pokuty, nie o tom, kam chodil Úrad na kontroly, takže môžme optimisticky predpokladať, že kontroloval všade na Slovensku, ale pokuty udeľoval len v niektorých prípadoch.  Skrátka, ak by Úrad pri rozhodovaní o pokutách aj ďalej postupoval ako v posledných troch rokoch, poučenie je jednoznačné – ak ste právnická osoba a Úrad vás obšťastní kontrolou dodržiavania ustanovaní zákona o ochrane osobných údajov, pravdepodobnosť udelenia pokuty je nepriamo úmerná vzdialenosti vášho sídla od Bratislavy.

Z hľadiska posudzovania stavu ochrany osobných údajov na Slovensku však takáto závislosť vyvoláva prirodzené otázky, na ktoré nepoznám odpoveď … ak udelenie pokuty vnímame ako najvyšší trest za neplnenie ustanovení zákona, naozaj je situácia v oblasti ochrany osobných údajov najhoršia v Bratislave a najlepšia na strede a východe Slovenska? Pretože ak aj pripustíme nerovnomernosť v rozložení sídiel právnických osôb na území Slovenska, nezdá sa, že by ju odrážalo geografické rozloženie sídiel pokutovaných subjektov. Alebo je to len dôsledok toho, že Úrad šetril finančné prostriedky a tak sa jeho kontroly sústreďovali predovšetkým na „blízke okolie“ sídla Úradu, ktorým je Bratislava? Či nebodaj prejav akejsi zaujatosti inšpektorov Úradu voči subjektom sídliacim v Bratislave (alebo naopak priazne voči tým na východe)?

Ostatné články tejto série: prvý, druhý, štvrtý, piaty

Jozef