Správa o ochrane osobných údajov ukazuje medzery v praxi a chváli slovenské súdy

Autor Juraj Vedej január 2021 -
Správa o ochrane osobných údajov ukazuje medzery v praxi a chváli slovenské súdy Pixabay / Gerd Altmann

Prehľadná správa za rok 2020, ktorú vydala advokátska kancelária, upozorňuje na nedostatky v činnosti regulátora a v legislatívnom procese.

Advokátska kancelária DAGITAL Legal zverejnila začiatkom roka 2021 na svojich stránkach dokument „Správa o ochrane osobných údajov za rok 2020“, v ktorom prináša odbornej aj laickej verejnosti prehľad udalostí, ktoré sa na Slovensku udiali počas uplynulého roka v oblasti ochrany osobných údajov.

Správa poukazuje jednak na nedostatky v aktuálnom legislatívnom procese a v činnosti Úradu na ochranu osobných údajov SR („Úrad“), no zároveň vyzdvihuje rozhodovaciu prax slovenských súdov, na základe konkrétnych rozhodnutí v tejto oblasti.

Zverejnená Správa o ochrane osobných údajov za rok 2020 je jedinečný sumár v slovenských reáliách, keďže v oblasti ochrany osobných údajov boli doteraz dostupné len výročné správy Úradu na ochranu osobných údajov SR. Tie sa ale zameriavali skôr na štatistiky o činnosti samotného Úradu a nevenovali sa dostatočne problematike samotnej.

Komplexný dokument, ktorý pripravili advokáti z DAGITAL Legal, mapuje relevantné legislatívne udalosti, činnosť a pokuty uložené Úradom a rozhodnutia súdov v skúmanej oblasti, ktoré doteraz neboli verejne dostupné.

Legislatívne udalosti ovplyvnila pandémia

Pandémia a jej dôsledky priniesli veľký verejný a mediálny tlak na kvalitu právnych predpisov aj vo vzťahu k ochrane osobných údajov a súkromia. V priebehu roka 2020 bol na základe uznesenia Ústavného súdu SR zúžený rozsah údajov, ktoré telekomunikační operátori poskytovali Úradu verejného zdravotníctva SR, viackrát bol novelizovaný Zákon o ochrane verejného zdravia (napríklad kvôli využívaniu aplikácií na sledovanie dodržiavania karantény) a prezidentka odmietla podpísať novelu zákona o elektronických komunikáciách.

Témou týchto udalostí bola aj ochrana súkromia a osobných údajov. „Pri každom strete GDPR, zákona o ochrane verejného zdravia a zákona o elektronických komunikáciách bolo v roku 2020 viac ako kedykoľvek predtým cítiť absenciu nezávislého orgánu, ktorý by dokázal poskytnúť metodickú a analytickú podporu pre zodpovedné osoby štátu. Táto agenda je riešená ad hoc, neriadene a bez rozpočtu, čo ostatne potvrdil aj NKÚ vo svojej správe. Aj na úrovni EÚ máme dva samostatné orgány – výbor a dozorného úradníka,“ upozorňuje odborník na ochranu osobných údajov Jakub Berthoty.

„Základné otázky týkajúce charakteru a fungovania právnych základov zákonnej povinnosti, verejného a oprávneného záujmu mali byť pritom v našom právnom poriadku dávno vyjasnené, no evidentne nie sú a absencia niekoho, ako je dozorný úradník, spôsobuje v kombinácii s aktuálnym prístupom Úradu problémy,“ zdôrazňuje J. Berthoty.

Zaostávame za európskymi štandardmi

Veľká časť verejných a mediálnych vyjadrení Úradu sa v roku 2020 venovala témam spojeným s pandémiou. Úrad sa vyjadroval k projektu inteligentnej karantény, aplikáciám, či celoštátnemu testovaniu. Niektoré stanoviská Úradu súvisiace s plošným testovaním pritom považuje odborná verejnosť za problematické a vyslúžili si vlnu kritiky.

Správa vyčíta Úradu na ochranu osobných údajov aj niekoľko ďalších pochybení: „Hodnotiť pozitívne činnosť nášho regulátora, celkové riadenie tejto oblasti z pohľadu štátu a z pohľadu legislatívneho procesu by bolo klamanie seba samého. Existujú síce členské štáty ako Estónsko, kde dodnes neexistuje ani jediná pokuta udelená podľa GDPR. Ak sa však pozrieme na západné európske krajiny, zistíme, že Slovensko síce vykazuje určitú administratívnu činnosť, ale v skutočnosti sme na úplnom začiatku v budovaní tejto oblasti.“

V zahraničí boli témou roka cezhraničné prenosy dát do USA a Spojeného kráľovstva, v dôsledku zrušenia EU-US Privacy Shield a Brexitu. Zahraničné dozorné orgány sa venovali posúdeniu používania produktov ako Microsoft 365 Office, Google Analytics, cieleniu reklamy cez sociálne siete a spracúvaniu cookies v kontexte pripravovaného nového ePrivacy nariadenia.

Tieto nástroje používajú takmer všetci prevádzkovatelia aj na Slovensku a citlivosť týchto spracovateľských operácii je neporovnateľná s agendou COVID-19, kamerovými systémami, rodnými číslami, zverejňovaním zmlúv a podobnými témami, ktorým sa už tradične venuje náš Úrad. Ide však o nepochybne komplexnejšie témy, ktoré vyžadujú oveľa náročnejší výklad, ku ktorému sa prax Úradu ešte nedostala.

Nedostatky v činnosti regulátora

Správa tiež kritizuje Úradu na ochranu osobných údajov SR za to, že od mája 2018 neprijal vyhlášky, s ktorými počíta zákon o ochrane osobných údajov od 25. mája 2018. „Úrad už viac ako dva a pol roka čaká na napísanie listu Výboru, v ktorom by si nechal potvrdiť akreditačné a certifikačné kritéria. Pritom návrh týchto kritérií, ako aj samotnú vyhlášku sme Úradu pripravili. Viaceré sektory, vrátane advokátov, bánk a poisťovní, majú kódexy správania, ale nemôžu pristúpiť k ich uplatňovaniu v praxi. Tieto kódexy sú pritom prospešné pre všetkých, keďže častokrát naprávajú výkladové medzery a nezrovnalosti v právnych predpisoch.“ dodáva k správe J. Berthoty.

Alarmujúca je podľa správy aj neexistencia tzv. legislatívneho posúdenia vplyvu na ochranu osobných údajov, napriek viac ako 4 rokom na jeho prípravu. Na Slovensku stále neexistuje ustálený postup, v rámci ktorého by legislatívci hodnotili dopady legislatívy na základné práva a slobody fyzických osôb pri spracúvaní osobných údajov.

Postup, ktorý odporúča na posúdenie vplyvu samotný Úrad, je podľa advokáta Berthotyho nepoužiteľný na legislatívny proces: „Vyhláška 158/2018 sa nedá použiť v legislatívnom procese z jednoduchého dôvodu. Písal ju totiž niekto, kto nevie, ako má posúdenie vplyvu vyzerať. Má ísť o ľudskoprávnu dopadovú analýzu; stačí sa pozrieť, ako vyzerajú zverejnené posúdenia vplyvu vládnych inštitúcii v zahraničí. Nemá to nič spoločné s obsahom tejto vyhlášky, ktorá sa, navyše, ani neaplikuje na režim GDPR.“ 

Absencia právnych zástupcov pri kontrolách zo strany Úradu

Väčšina z rozhodnutí, ktoré Úrad vydal v roku 2020, sa týka spracúvania osobných údajov v režime podľa GDPR po 25. máji 2018. Najčastejšie pokutované subjekty zo strany Úradu boli v uplynulom roku mestá a obce, pričom najvyššia známa pokuta udelená mestu bola vo výške 10 000 eur a týkala sa informačných povinností pri obecnom kamerovom systéme (ešte v roku 2019).

Najčastejšie porušenia zo strany miest a obcí v roku 2020 sa týkali problematického zverejnenia osobných údajov, či už v rámci povinne zverejňovaných zmlúv, obecných magazínov alebo informačných portálov a násteniek. Obce často nesprávne zverejňujú informácie o jubilantoch, narodených deťoch alebo zosnulých osobách. GDPR zverejňovanie týchto informácií explicitne nezakazuje, no obce mávajú problém zabezpečiť súlad s platnou legislatívou.

Okrem obcí boli pokutované aj obchodné reťazce, finančný sprostredkovateľ, dopravný podnik, ale aj ďalšie subjekty. „Z rozhodnutí Úradu vyplýva, že mnoho prevádzkovateľov nevyužíva pri kontrolách a konaniach o ochrane osobných údajov právnych zástupcov. Vo viacerých prípadoch absentovala kvalitná právna argumentácia, ktorá by sťažila Úradu prijatie rozhodnutia,“ konštatujte advokát z DAGITAL Legal. 

Vyzdvihnutie práce súdov

Správa však hodnotí pozitívne rozhodovaciu prax slovenských súdov. „Na rozdiel od Úradu si súdy nevedia vybrať agendu tým, že začnú konanie z vlastnej iniciatívy. Judikatúra v tejto oblasti trpí tým, že je málo žalobcov. Avšak, v rozhodovacej praxi súdov neexistuje výslovne nesprávne, kontroverzné alebo niečím vyčnievajúce rozhodnutie v oblasti ochrany osobných údajov. Naopak, badať stopy po ustálení judikatúry v opakujúcich sa veciach, ako je stret s infozákonom,“ uvádza Správa o ochrane osobných údajov od advokátskej kancelárie.

„Zároveň treba oceniť aj prvé pokusy o odvážnejšie výklady definície osobných údajov, ale aj prípady, kde súdy namiesto zbytočného teoretizovania jednoducho zachovali zdravý rozum,“ dodávajú autori správy.

O spoločnosti

DAGITAL Legal je prvý právny butik na Slovensku výlučne zameraný na ochranu súkromia a technológií. Autorom a realizátorom myšlienky advokátskej kancelárie, úzko špecializovanej na oblasť súkromia a technológií, je Jakub Berthoty.

Advokátska kancelária má vďaka hĺbkovým znalostiam, skúsenostiam a vlastnému know-how v portfóliu široké spektrum klientov, od začínajúcich startupov až po etablované a regulované inštitúcie.

Juraj Vedej, CHAPTER 4 Slovakia

 

Vybrané rozhodnutia Úradu na ochranu osobných údajov SR v r. 2020

Účastník konania

Priestupok – dôvod

Pokuta

Dopravný podnik Bratislava

Nevyhovujúci systém snímania kamerovým systémom a informovania cestujúcich.

20 000 eur

Dopravný podnik Bratislava a spoločnosť vymáhajúca pohľadávky

DPB vo verejnej súťaži sprístupnil záujemcom databázu pohľadávok s údajmi dlžníkov.

10 000 eur

Poisťovňa

Nevybavila žiadosť dotknutej osoby bez zbytočného odkladu.

9 000 eur

Súkromná spoločnosť

Časť jej účtovníctva určenú na skartáciu našiel občan.

7 000 eur

Základná škola

Zverejnila na YouTube video zachytávajúce žiakov a poskytla tretím stranám ich fotografie.

6 000 eur

Obchodný reťazec

Nevybavil žiadosť dotknutej osoby bez zbytočného odkladu.

3 500 eur

Obec

Zverejnila na svojom webe osobné údaje osoby, ktorá bola odvolaná z funkcie.

3 000 eur

Dražobná spoločnosť

Pri jednom inzeráte zverejnila na webe fotografie interiéru domu, ktoré zachytávali fotografie členov rodiny umiestené nad krbom.

3 000 eur

Finančný agent

Porušil zásadu zákonnosti tým, že nedisponoval právnym základom na telefonické kontaktovanie osoby, ktorá nebola klientom.

2 600 eur

Obec

Zverejnila v zápisnici rodné číslo fyzickej osoby, s ktorou uzatvorila darovaciu zmluvu.

2 500 eur

e-shop

Nedisponoval právnym základom na spracúvanie údajov neregistrovaných návštevníkov na marketingovéúčely. Vopred označené políčko so zasielaním newsletra nebolo Úradom akceptované ako platne udelený súhlas.

2 500 eur

Poskytovateľ estetických medicínskych služieb

Neposkytoval informácie pri získavaní súhlasu vrátane možnosti kedykoľvek odvolať súhlas.

2 100 eur

Mesto

Zverejnilo na svojom webe osobné údaje osoby v rámci povinného zverejňovania zmlúv.

1 000 eur

Dopravný podnik Bratislava

Nevyhovel žiadosti o prístup ku kamerovým záznamom z dôvodu nevhodného správania revízora.

1 000 eur

Obchodný reťazec

V dôsledku kybernetického phishingového útoku bola na 4 500 zamestnaneckých e-mailov zaslaná nevyžiadaná komunikácia treťou stranou.

1 000 eur

Politická strana

Nevybavila žiadosť dotknutej osoby v požadovanej lehote.

700 eur

Zdroj: Správa o ochrane osobných údajov za rok 2020

 

Partneri