pondelok 13. júla 2020

GDPR: Nedostatky na Slovensku

V máji 2019 uplynul rok od účinnosti nových pravidiel pre GDPR. Najvyšší kontrolný úrad Slovenskej republiky (NKÚ SR) overil plnenie povinností na reprezentatívnej vzorke 62 subjektov miestnej a krajskej samosprávy aj v kľúčových inštitúciách štátu. Na základe jasných kritérií bol proces ochrany osobných úradov vyhodnotený známkou 2,87. 

Kvalita ochrany osobných údajov vo verejnom sektore klesá najmä s veľkosťou inštitúcie. Čím menšia samospráva, tým menej financií si môže dovoliť na zaplatenie tak počítačovej techniky ako aj odborníkov pre oblasť informatiky či práva. Podľa zistení takmer 30 percent subjektov považuje legislatívu v oblasti ochrany osobných údajov za nezrozumiteľnú a ťažko aplikovateľnú. Približne polovica kontrolovaných subjektov jej čiastočne rozumie, no dodávajú, že bez odbornej pomoci si s ňou nevedia poradiť. Nesprávne pochopenie legislatívy je možné ukázať na inštitúte tzv. zodpovednej osoby. Tú musí mať každá inštitúcia, avšak GDPR túto úlohu chápe nie ako vykonávateľa agendy, ktorý za agendu nesie zodpovednosť, ale skôr ako kontrolóra, ktorý stav len monitoruje a vykonáva dohľad na spracovaním osobných údajov v rámci organizácie. Zrejme aj v dôsledku nevhodne zvoleného slovenského termínu pri preklade európskej legislatívy došlo k tomu, že len menej ako štvrtina kontrolovaných subjektov uplatňovala tento inštitút správne. 

Spolu s rozširovaním elektronickej komunikácie medzi občanmi a štátom rastú aj bezpečnostné hrozby možných útokov hekerov, ktorí sa snažia zmocniť chránených osobných údajov. Preto kontrolóri preverovali tiež to, či sú údaje získavané samosprávnymi inštitúciami od občanov dostatočne chránené. Z výsledkov vyplýva, že kontrolované subjekty nemali dostatočne spracované pravidlá pre zamestnancov ako postupovať pri ochrane získaných dát, ale riziká boli kontrolórmi identifikované tiež pri nedostatočnej ochrane IT systémov s využívaním bezpečného softvérového vybavenia. Štát je povinný zabezpečiť bezpečnosť osobných údajov svojich občanov, ktoré od nich vyžaduje. Na tento účel by mal aj vyčleniť potrebné finančné prostriedky. NKÚ upozorňuje, že štát nemá prehľad o tom, koľko stojí agenda ochrany osobných údajov vo verejnej správe. Ministerstvo financií doteraz nepripravilo takúto analýzu a v konečnom dôsledku náklady ostávajú na pleciach orgánov verejnej správy. Až 81 % inštitúcií sa pre kontrolný úrad vyjadrilo, že nemajú finančné zdroje, aby splnili všetko, čo sa od nich pri ochrane údajov očakáva. Bez dostatočných financií je takmer nemožné zabezpečovať akúkoľvek vysoko odbornú činnosť. O to viac v oblasti, ktorá si vyžaduje zvýšené nároky nielen na aktuálne hardvérové a softvérové vybavenie, ale aj na odmeňovanie špecialistov na ochranu osobných údajov.

Príslušné inštitúcie zodpovedné za dohľad nad ochranou osobných údajov by mali podľa NKÚ SR zintenzívniť informačnú, resp. komunikačnú činnosť. Úrad na ochranu osobných údajov (ÚOOÚ SR) by mal predovšetkým svojou metodickou činnosťou a preventívnymi krokmi pomáhať subjektom so správnou aplikáciou predpisov. Nezrozumiteľnosť zákonných povinností ohrozuje ich uplatňovanie v praxi a v konečnom dôsledku môže viesť k nedostatočnej ochrane údajov. Štát by sa preto mal zaoberať aj zmenami vo vnútroštátnej legislatíve. Slovensko má tiež rezervy v nezávislosti ÚOOÚ SR, na čo už našu krajinu upozornila Európska komisia. Ministerstvo spravodlivosti SR v rozpore s pravidlami únie nezabezpečilo nezávislú kontrolu nad spracovaním osobných údajov na súdoch pri výkone ich súdnej právomoci. NKÚ SR odporúča, aby ÚOOÚ SR v spolupráci so zodpovednými inštitúciami prehodnotil či Nariadenie EÚ bolo do slovenskej legislatívy prevzaté dostatočne zrozumiteľne pre prevádzkovateľov i samotných občanov. Výsledky kontroly by mal ÚOOÚ SR v aktívnej spolupráci s rezortom financií využiť pre vypracovanie analýzy finančných nárokov na zabezpečenie ochrany osobných údajov v štátnom i verejnom sektore.

Mnohé, najmä menšie samosprávy si objednali externé firmy, ktoré im zabezpečujú agendu ochrany osobných údajov. Národná autorita pre oblasť externej kontroly tu však upozorňuje na riziko, že činnosť týchto súkromných spoločností nepodlieha žiadnej kontrole ani povoľovaniu, pritom majú prístup k citlivým osobným údajom. Sankcie za nedodržanie povinností vyplývajúcich zo zákona resp. z Nariadenia EÚ však hrozia len subjektom verejnej správy, nie súkromným spoločnostiam, ktoré verejným inštitúciám poskytujú službu.