Absencia riadne zvoleného predsedu Úradu na ochranu osobných údajov SR a nedostatok kvalifikovaných zamestnancov majú výrazný vplyv na činnosť inštitúcie.
Dôsledkom je snaha o urýchľovanie konaní a nízke pokuty za porušovanie GDPR, ktoré strácajú svoj odstrašujúci účinok. Žiadny zaznamenaný judikát, ktorý by mal zásadný vplyv na vývoj v oblasti ochrany osobných údajov a prvé usmernenie v oblasti „cookies“. Aj taký bol podľa Správy o ochrane osobných údajov za rok 2022 uplynulý rok na Slovensku.
Advokátska kancelária Dagital Legal zverejnila pri príležitosti Európskeho dňa ochrany osobných údajov (28. 1.) každoročnú Správu o ochrane osobných údajov. V slovenských reáliách ide v oblasti ochrany osobných údajov o jedinečný prehľad, keďže dostupné bývajú už len výročné správy Úradu. Tie sa ale spravidla zameriavajú skôr na štatistiky o činnosti samotného Úradu a nevenujú sa dostatočne problematike samotnej. Komplexný dokument z dielne advokátskej kancelárie špecializovanej na oblasť ochrany osobných údajov prináša prehľad relevantných legislatívnych udalostí, mapuje činnosť a pokuty uložené Úradom na ochranu osobných údajov SR („Úrad“) a rozhodnutia súdov v skúmanej oblasti, ktoré doteraz neboli verejne dostupné.
Rozviazanie rúk tele-marketérom
Ubehol presne rok od nadobudnutia účinnosti nového zákona o elektronických komunikáciách, pričom na jeho základe sa počas uplynulého roka prijali viaceré vyhlášky Úradu pre reguláciu elektronických komunikácií a poštových služieb SR. Ide preto o hlavnú legislatívnu udalosť rokov 2021 aj 2022. Zákon priniesol výraznú zmenu v regulácii nevyžiadanej komunikácie, ktorú podstatne uvoľnil a to najmä vo vzťahu k tele-marketingu. Nie všetky ustanovenia predmetného zákona sú však podľa odborníkov zlučiteľné s režimom podľa GDPR.
Žalostný stav Úradu na ochranu osobných údajov SR
Ani v roku 2022 sa nepodarilo zvoliť nového predsedu Úradu. Vláda totiž stiahla nomináciu najlepšie hodnoteného JUDr. Juraja Mičuru po zásahu a vypočutí poslanca Dostála. Úrad je bez vedenia už od apríla 2020. Okrem predsedu chýbajú Úradu aj kvalifikovaní zamestnanci a podľa vlastnej Správy o stave ochrany osobných údajov za rok 2021 je funkčnosť Úradu „pred kolapsom“.
Úrad v roku 2021 operoval so zníženým rozpočtom 1,7 milióna eur a zamestnával 45 pracovníkov. Uložil dokopy 53 pokút v priemernej výške takmer 2100 eur (spolu cca 110 tisíc eur). Zaujímavé je tu porovnanie s českým náprotivkom, ktorý mal v roku 2021 rozpočet 7,1 milióna eur a 105 zamestnancov. Uložil spolu 40 pokút v priemernej výške 3700 eur (spolu cca 148 tisíc eur). Alarmujúcu štatistku je najlepšie pozorovať pri porovnaní rokov 2015 (pred GDPR) a 2021 (po GDPR). Zatiaľ čo Úrad vydá takmer dvakrát viac rozhodnutí s pokutami, vyberie len o 27% viac. Priemerná výška pokuty totiž klesla z 2,600 eur na 2,000 eur, čo predstavuje úroveň v období pred GDPR.
„S príchodom GDPR sme očakávali opačný vývoj. Úrad nepotrebuje vydávať desiatky rozhodnutí a bezvýznamných pokút ročne. Potrebuje sa strategicky zamerať na veľkých hráčov a služby s dopadom na širokú verejnosť, ktoré najviac porušujú pravidlá ochrany osobných údajov. Úrad by tak mal udeľovať menšie množstvo pokút, avšak natoľko vysokých, aby boli dostatočne odstrašujúce. Pre ilustráciu, francúzsky CNIL vybral v roku 2021 iba 18 pokút v celkovej výške 214 miliónov euro. Nejde však len o výšku pokút, ale aj o to, čo pokutujeme. Rozhodnutia by mali jasne ukazovať, že GDPR nie je byrokratickou prekážkou ale predpisom, ktorý chráni každého jedného z nás,“ zdôrazňuje odborník na ochranu osobných údajov Jakub Berthoty z advokátskej kancelárie Dagital Legal.
Prvé usmernenie v oblasti cookies
Za najviac pozitívnu udalosť uplynulého roka správa označuje historicky prvé usmernenie ohľadom ukladania a spracúvania cookies, ktoré vydal Úrad pre reguláciu elektronických komunikácií a poštových služieb SR v máji 2022 a následne v novembri 2022 na podnet odborníkov aktualizoval. „Pozitívne vnímame, že sa na príprave prepracovaného znenia podieľal aj Úrad na ochranu osobných údajov. Po zapojení Úradu totiž usmernenie pracuje vo väčšej miere s regulačným rámcom pre požiadavky súhlasu podľa GDPR ako všeobecného predpisu. Vyzdvihujeme aj zohľadnenie ePrivacy smernice pri nastavení udeľovania súhlasu,“ hodnotí advokát Berthoty.
