10 odporúčaní pre lepší zákon o ochrane osobných údajov

zakon blog.jpg

Prečo sa vôbec tejto téme venujeme? Pretože vidíme, že nám ubieha vlak. Zatiaľ čo sa v Európe debatuje o komplexnejších témach, ďalšej prichádzajúcej legislatíve (ePrivacy) a jej vzťahu ku GDPR alebo vzťahu nových technologických výziev (ako umelá inteligencia) s ochranou osobných údajov, my sa na Slovenskou zaoberáme otázkami, ktoré mali byť vyjasnené dávno pred príchodom GDPR a zároveň si zbytočne komplikujeme život. Priestor dostávajú pomýlení odborníci, ktorí nás presviedčajú o tom, že GDPR je nezmysel. 

Preto sme pripravili zoznam vybraných problémov aktuálneho zákona o ochrane osobných údajov s cieľom podnieť verejnú diskusiu o týchto otázkach. Nižšie uvádzame 10 odporúčaní, ktorými by sa podľa nášho názoru mali legislatívci zaoberať pre vytvorenie lepšieho zákona o ochrane osobných údajov.

1. Pôsobnosť zákona a jeho mätúca druhá časť  

Je nezmysel, aby sme kopírovali text GDPR do vnútroštátneho predpisu pre prípad, že by sa GDPR náhodou na nejakú situáciu nevzťahovalo. Celá druhá časť zákona je najväčšou chybou nášho zákona, na ktorú sa snažíme už viac ako dva roky márne upozorniť. Ide o problém, ktorý sme si vytvorili sami a ktorý vytvára celú radu ďalších problémov. O čo ide?

Je pravda, že GDPR sa vecne nevzťahuje na všetko spracúvanie osobných údajov, ako vysvetľuje čl. 2 GDPR. Okrem iného sa nevzťahuje napr. na spracúvanie osobných údajov v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie. Inými slovami, tam kde nedosiahne pôsobnosť legislatívy EÚ podľa zakladajúcich zmlúv, tam sa nemá uplatňovať ani GDPR. 

Druhá časť zákona o ochrane osobných údajov vznikla v nádeji, že v praxi sa budú ukazovať situácie, ktoré sú mimo pôsobnosti práva Únie. Vo svojom materiáli Úrad spomína podávanie sťažností a hospodársku mobilizáciu. Je možné polemizovať o tom, či naozaj sťažnosti nepatria pod pôsobnosť práva Únie ak už o nich Súdny dvor EÚ rozhodoval vo veci Puškár v. Finančné riaditeľstvo (navyše týkajúcej sa ochrany osobných údajov). O čom sa ale nedá polemizovať je skutočnosť, že Úrad na ochranu osobných údajov nemá právomoc rozhodovať o tom, čo patrí a čo nepatrí do pôsobnosti práva Únie, čo by de facto musel začať robiť ak by chcel niekedy postupovať podľa druhej časti zákona. Keďže ide o výkladovú otázku zakladajúcich zmlúv EÚ, nemôže o nej rozhodovať ani Slovenská republika ako členský štát, ale jedine Súdny dvor EÚ.

Spôsob, akým je zákon v tejto súvislosti napísaný je extrémne mätúci a prakticky celá krajina od MPK až dodnes mylne odkazuje na paragrafové znenie tejto druhej časti zákona o ochrane osobných údajov, aj keď sa daný predpis vôbec nemá uplatňovať (má sa uplatňovať GDPR). 

Ak sa človek pozrie do nemeckého federálneho zákona o ochrane osobných údajov zistí, že túto situáciu ošetruje jediné ustanovenie (§ 85). Britský Data Protection Act 2018 tento hypotetický problém rieši jednou vetou v bode 22 tretej kapitoly: "The GDPR applies to the processing of personal data to which this Chapter applies but as if its Articles were part of an Act extending to England and Wales, Scotland and Northern Ireland." 

Britské riešenie je najelegantnejšie a najjednoduchšie. Slovenské znenie by mohlo znieť napr. takto: „Pokiaľ nie je uvedené inak v ustanovení § XX (odkaz na negatívnu pôsobnosť zákona) tento zákon sa vzťahuje aj na spracúvanie osobných údajov v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie. Ustanovenia všeobecného nariadenia o ochrane údajov sa na také situácie použijú primerane.“ 

Je tu zároveň aj ďalšia skutočnosť hovoriaca v prospech tohto riešenia. Je ním to, že medzi druhou časťou zákona a GDPR existujú drobné ale podstatné rozdiely. Prevádzkovatelia musia detailne skúmať znenia tejto časti zákona a nemôžu sa spoľahnúť na to, že ide o to isté ako GDPR. Z pohľadu praxe by bolo jednoduchšie mať tieto režimy identické. Ak chceme GDPR prispôsobiť nášmu právnemu poriadku, je treba urobiť to inak. 

Z vyššie uvedeného vyplývajú naše odporúčania č. 1 a 2:

Zákon o ochrane osobných údajov by nemal obsahovať žiadnu špecifickú národnú časť (aktuálne druhá časť zákona), ale mal by obsahovať len jednoduchý odkaz na primerané použitie GDPR aj na situácie, kedy spracúvanie nespadá pod pôsobnosť práva Únie.

Zákon o ochrane osobných údajov by nemal preberať znenie a definície už obsiahnuté v GDPR, pokiaľ ich preklad v slovenskej jazykovej verzii nie je nesprávny. 

2. Tisícky neupravených osobitných predpisov  

Osobným údajom sa venujú tisícky predpisov nášho právneho poriadku. Mnoho zákonných úprav už vzhľadom na existujúce práva dotknutých osôb alebo iné ustanovenia GDPR nemá žiadne opodstatnenie, odkazuje na už zrušené zákony o ochrane osobných údajov a mnoho z nich si vyžaduje úpravu z dôvodu možného rozporu s GDPR (čl. 23 GDPR). Zákon o ochrane osobných údajov by mal "poupratovať" časti týkajúce sa spracúvania osobných údajov v tisíckach osobitných predpisov. 

Na to je však potrebné, aby sa vykonala dopadová, prierezová právna analýza mapujúca aktuálny legislatívny stav a následne, aby prebehla odborná verejná debata so zainteresovanými stranami o legislatívnej úprave daných ustanovení. Je nepochopiteľné, prečo napriek dvom rokom, ktoré sme mali na prípravu, nič podobné na Slovensku neprebehlo a nie je súčasťou aktuálneho zákona o ochrane osobných údajov. 

Niekto túto analýzu musí urobiť ak chceme, aby náš právny poriadok bol pripravený na GDPR. Bohužiaľ, nikomu sa do tejto analýzy nechce. Zástupcovia Úradu sa v minulosti nechali počuť, že to je nadľudská práca, ktorú od nich nikto nemôže požadovať, na čo vlastne máme legislatívcov na Ministerstve spravodlivosti SR prípadne, že ide o úlohu jednotlivých sektorov. Súhlasíme s tým, že by išlo naozaj o veľké úsilie. Prečo sa potom táto analýza neobstará u externých právnych poradcov? 

Máme viac ako 4 milióny EUR na obstaranie nového informačného systému Úradu na ochranu osobných údajov (viď tu), ale nemáme peniaze na zabezpečenie toho, čo je aj podľa § 81 ods. 2 písm. b) aktuálneho zákona úlohou Úradu a zároveň problémom nášho právneho poriadku ako celku?

Navyše, bez tejto právnej analýzy nie je možné odstrániť ani ďalšie dva kľúčové problémy zákona o ochrane osobných údajov, viď ďalšie body.

Z vyššie uvedeného vyplýva naše odporúčanie č. 3:

Úrad na ochranu osobných údajov by mal obstarať dopadovú, prierezovú právnu analýzu mapujúcu aktuálny legislatívny stav tisícok osobitných právnych predpisov z pohľadu ochrany osobných údajov. Následne by mala prebehnúť odborná a verejná debata o legislatívnej úprave daných predpisov spolu so zainteresovanými stranami, ktorú by mal následne obsahovať zákon o ochrane osobných údajov. 

3. Nedostatočná úprava osobitných situácií spracúvania 

GDPR nám umožňuje prijať špecifické pravidlá vo vzťahu k vymedzeným oblastiam: 

  • Sloboda prejavu a právo na informácie; 

  • Prístup verejnosti k úradným dokumentom; 

  • Spracúvanie národného identifikačného čísla; 

  • Spracúvanie údajov v súvislosti so zamestnaním; 

  • Archivácia vo verejnom záujme; 

  • Vedecký alebo historický výskum; 

  • Štatistické účely; 

  • Vzťah k profesijnej alebo zákonnej povinnosti mlčanlivosti; 

  • Pravidlá ochrany údajov cirkví a náboženských združení; 

  • Mimo kapitoly IX GDPR aj otázku postmortálnej ochrany osobných údajov. 

Aktuálny § 78 zákona o ochrane osobných údajov sa venuje – z nepochopiteľných dôvodov – len niektorým z týchto oblastí a to len úplne okrajovo, niekedy mätúco a vo všeobecnosti nedostatočným spôsobom. 

Keď porovnáme toto jediné ustanovenie zákona s nemeckým federálnym zákonom alebo britským Data Protection Act 2018 zistíme, že tieto predpisy sú ako celok práve o tom, aby využili možnosti, ktoré nám v tejto oblasti GDPR dáva. Namiesto jedného ustanovenia ide o stovky strán, za ktorými sa skrýva niekoľkoročná právna analýza a debata. 

Náš zákon o ochrane osobných údajov by mal byť ako celok práve o tom, aby vyriešil dlhodobo pretrvávajúce výkladové problémy v týchto oblastiach. Nemalo by ísť o žiadne kopírovanie textu GDPR (ktoré zakazuje recitál 8 GDPR), ale o výsledok právneho výskumu a odbornej debaty. Niektoré z týchto problémov sme sa snažili načrtnúť už v našej publikácii (napr. ochrana osobnosti) a niektoré už čiastočne upravuje napr. kódex správania SAK

Z vyššie uvedeného vyplýva naše odporúčanie č. 4:

Podstatnou zákona o ochrane osobných údajov by malo byť vyriešenie presahov pravidiel GDPR s osobitnými situáciami spracúvania, čo nie je možné dosiahnuť jedným paragrafom bez rozsiahlej právnej analýzy. 

4. Nevyužitie čl. 6 ods. 2 vo vzťahu ku „zákonnej povinnosti“ 

Najväčší výkladový problém právnych základov GDPR je splnenie zákonnej povinnosti v zmysle čl. 6 ods. 1 písm. c) GDPR („compliance with legal obligation“). V prvom rade, nemusí ísť o zákonnú povinnosť ale právnu povinnosť (viď český preklad GDPR). Zákon o ochrane osobných údajov vo vzťahu k režimu GDPR prehliada oprávnenie členských štátov obsiahnuté v čl. 6 ods. 2 GDPR, podľa ktorého: „Členské štáty môžu zachovať alebo zaviesť špecifickejšie ustanovenia s cieľom prispôsobiť uplatňovanie pravidiel tohto nariadenia s ohľadom na spracúvanie v súlade s odsekom 1 písm. c) a e), a to presnejším stanovením osobitných požiadaviek na spracúvanie a stanovením ďalších opatrení, ktorými sa zaistí zákonné a spravodlivé spracúvanie, vrátane požiadaviek na iné osobitné situácie spracúvania stanovené v kapitole IX.“

Zákon o ochrane osobných údajov by mal v súlade s čl. 6 ods. 2 GDPR stanovovať, v ktorých situáciách je možné považovať osobitný právny predpis (aj podzákonnú normu) za právny základ pre spracúvanie osobných údajov podľa čl. 6 ods. 1 písm. c) GDPR. Podľa nášho názoru by mohlo ísť o situácie, kedy osobitný právny predpis:

  • výslovne formuluje spracúvanie osobných údajov ako povinnosť prevádzkovateľa; 

  • výslovne formuluje len určitú povinnosť, pre ktorej splnenie je nevyhnutné spracúvať osobné údaje; 

  • síce len oprávňuje prevádzkovateľa rozhodnúť sa postupovať určitým spôsobom, ale výslovne reguluje akým spôsobom musí prevádzkovateľ spracúvať osobné údaje ak sa rozhodne tak postupovať. 

Ide o logickosť a vnútornú konzistentnosť právnych noriem. Nemôžeme od prevádzkovateľov súčasne vyžadovať, aby vykonávali balančné testy, z ktorých vyplýva v akom nevyhnutom rozsahu sa majú údaje spracúvať a zároveň vyžadovať od nich, aby dodržiavali právne predpisy, ktoré hovoria o tej istej otázke niečo iné. Oprávnený záujem a verejný záujem by sa mali použiť len na situácie, kedy je právny predpis naozaj ticho o rozsahu spracúvania a nie na situácie, kedy osobitný predpis predpisuje, ako sa má spracúvanie vykonávať. Ak vieme ich výsledok dopredu, balančné testy sú len fiktívne a nemajú žiadny zmysel – v takom prípade ide naozaj o byrokraciu, ale spôsobenú našim zákonom a nie GDPR. 

Z vyššie uvedeného vyplýva naše odporúčanie č. 5:

Zákon o ochrane osobných údajov by mal využiť možnosť Slovenskej republiky podľa čl. 6 ods. 2 GDPR zachovať alebo zaviesť špecifickejšie ustanovenia týkajúce sa použitia právneho základu podľa čl. 6 ods. 1 písm. c) GDPR vo vzťahu k osobitným predpisom.

5. Nevyužitie obmedzení GDPR podľa čl. 23 GDPR 

Ak nám niektoré pravidlá GDPR vo vzťahu k osobitným predpisom nedávajú zmysel, môžeme ich podľa čl. 23 GDPR obmedziť prostredníctvom legislatívneho opatrenia. Napr. britský Data Protection Act 2018 obsahuje v prílohe 23 a 4 časti s názvom „obmedzenia GDPR“, kde spoločne na jednom mieste obmedzuje mnohé práva dotknutých osôb napríklad vo vzťahu k: 

  • Predchádzaniu trestnej činnosti; 

  • Výberu daní; 

  • Rizikovému posúdeniu pri predchádzaní trestnej činnosti a výbere daní; 

  • Výkonu imigračnej politiky; 

  • Súdnym konaniam; 

  • Niektorým verejným funkciám; 

  • Auditu štátu; 

  • Centrálnej banke; a mnoho ďalších,

pričom zoznam je naozaj dlhý. Ide o dobrú inšpiráciu.  

Problém, je v tom, že ak právny predpis z minulosti obmedzuje niektoré povinnosti podľa GDPR (napr. povinnosť informovať) a neobsahuje náležitosti resp. nespĺňa podmienky podľa čl. 23 GDPR, tak Úradu v konaní nič nebráni konštatovať, že daný predpis je v rozpore s GDPR a povinnosť, ktorú daný predpis obmedzuje, stále platí. Znamená to extrémne vysokú právnu neistotu a presúvanie zodpovednosti za prípravu právneho poriadku na GDPR na prevádzkovateľov. Pozeráme sa na tisícky právnych predpisov a nevieme čo si o ich obsahu "myslí" Úrad...

Z vyššie uvedeného vyplýva naše odporúčanie č. 6:

Zákon o ochrane osobných údajov by mal využiť možnosť Slovenskej republiky obmedziť niektoré ustanovenia GDPR postupom podľa čl. 23 GDPR po predchádzajúcej rozsiahlej právnej analýze. 

6. Menej vyhlášok a viac metodických usmernení 

Podľa § 108 má Úrad na ochranu osobných údajov vydať až 6 vyhlášok k vykonaniu zákona o ochrane osobných údajov, čo do roka od účinnosti zákona o ochrane osobných údajov Úrad urobil iba v jednom prípade vo vzťahu k posúdeniu vplyvu. Úplne legitímna otázka verejnosti je – prečo nie sú hotové všetky vyhlášky ku dňu účinnosti zákona? Fakticky tak na národnej úrovni Úrad brzdí procesy a úlohy, ktoré má od 25. mája 2018 vykonávať a zabezpečovať, pretože k nim nemá vykonávacie predpisy. V niektorých prípadoch ide o meškanie Výboru (EDPB), od ktorého stanoviska je Úrad závislý, v niektorých prípadoch ide iba o meškanie Úradu. Faktom však zostáva, že čím viac vyhlášok si Úrad stanoví prijať – tým viac problémov. Pritom nie je nevyhnutné, aby všetky tieto otázky upravoval Úrad v samostatných vyhláškach. 

Je úplne bežné, že dozorné orgány sa viac spoliehajú na metodické usmernenia (guidelines), ktoré však napriek svojej právnej nezáväznosti v praxi platia vďaka ich konzistentnému uplatňovaniu. Proces prijímania a ich aktualizácie je omnoho flexibilnejší. 

Z vyššie uvedeného vyplýva naše odporúčanie č. 7:

Zákon o ochrane osobných údajov by mal obsahovať čo najmenej odkazov na vykonávanie predpisy (vyhlášky). Úrad by mal dôležité výkladové otázky riešiť formou metodických usmernení. 

7. Audity a audítori ochrany osobných údajov 

Bez akéhokoľvek vysvetlenia v dôvodovej správe sa do nášho zákona dostal pojem „audítor na ochranu osobných údajov.“ Tento pojem nie je nijako definovaný a nemá nijakú oporu v GDPR. Bližšie ho majú upravovať vyhlášky Úradu podľa § 86 ods. 19, § 87 ods. 20 a § 88 ods. 19. Nachádza sa v zákone vždy tam, kde Úrad vyžaduje v rámci udelenia akreditácie alebo certifikácie (správne konanie) predloženie akéhosi auditu, pričom v takom prípade má ambíciu regulovať kto môže taký audit vykonať. 

V prvom rade, nie je celkom zrejmé čo sa myslí: 

  • výsledkom auditu ochrany osobných údajov žiadateľa o certifikáciu (§ 86 ods. 7 písm. b); 

  • výsledkom auditu monitorovania kódexu správania (§ 87 ods. 7 písm. g); 

  • výsledkom auditu certifikačného postupu (§ 88 ods. 5 písm. h).

Pred začatím daných konaní nie je totiž veľmi čo audítovať. Napr. pri kódexe správania aktuálne hrozí, že najprv je potrebné získať akreditáciu monitorujúceho subjektu a potom požiadať o schválenie kódexu. Ako potom audítovať monitorovanie kódexu správania ak ešte kódex správania neexistuje? 

V druhom rade, Úrad nemá právomoc rozhodovať o tom, kto je oprávnený vykonávať audit ochrany osobných údajov a kto nie. O tom rozhoduje zákon o advokácii, ktorý definuje ako osobu oprávnenú poskytovať právne poradenstvo advokáta. Ak dané poradenstvo nespadá pod definíciu právnych služieb (napr. ak ide o audit bezpečnosti/IT), následne môže dané služby poskytovať ktokoľvek s voľnou živnosťou. Je veľmi nebezpečné, ak v zákone o ochrane osobných údajov existujú náznaky toho, že by to malo byť inak.  

O žiadnych auditoch v tejto súvislosti nehovorí ani GDPR. Prečo potom niečo podobné zavádzať? 

Z vyššie uvedeného vyplýva naše odporúčanie č. 8:

Zákon o ochrane osobných údajov by nemal zavádzať nevysvetlené audity a audítorov ako dodatočné požiadavky vo vzťahu ku certifikácii, akreditácii, kódexom a monitorovacím subjektom.  

8. Posúdenie vplyvu ako analýza rizík informačnej bezpečnosti    

Vo viacerých ustanoveniach zákona o ochrane osobných údajov je cítiť ako keby ich písali skôr informatici alebo bezpečností analytici ako právnici. To samo o sebe nemusí byť problém, ale v konečnom dôsledku to problém je, pretože to v niektorých prípadoch spôsobuje nesprávny výklad GDPR. 

§ 78 ods. 11 hovorí, že prevádzkovatelia a sprostredkovatelia pri prijímaní bezpečnostných opatrení a pri posudzovaní vplyvu na ochranu osobných údajov postupujú primerane podľa medzinárodných noriem a štandardov bezpečnosti. Vo vzťahu k posúdeniu vplyvu ide o nepochopenie toho, že posúdenie vplyvu nie je to isté ako analýza rizík v oblasti informačnej bezpečnosti. Technické normy, štandardy a informatici nie sú rozhodujúce autority pri analyzovaní dopadov plánovaného spracúvania na základné ľudské práva a slobody. Nejde totiž o otázku prírodnej (matematickej/technickej) vedy ale o otázku humanitnej vedy širšom zmysle a otázku práva v užšom slova zmysle. Zároveň, sprostredkovatelia nemajú povinnosť vypracovať posúdenie vplyvu, iba prevádzkovatelia. 

Je jednoduchšie spoliehať sa pri tvorbe predpisu na to, že ide o otázku štandardov bezpečnosti. Nie je to však pravda a je to nebezpečný prístup, ktorý samozrejme vyhovuje IT biznisu a bývalým predavačom bezpečnostných projektov. Dôvodom prečo ide o nesprávny prístup sme sa dopodrobna venovali v našej publikácií, na ktorú odkazujeme.  

Z vyššie uvedeného vyplýva naše odporúčanie č. 9:

Zákon o ochrane osobných údajov by nemal obsahovať ustanovenia, ktoré spájajú ľudsko-právnu analýzu posúdenia vplyvu s medzinárodnými normami a štandardmi bezpečnosti.  

9. Zavedenie posúdenia vplyvu do legislatívneho procesu     

Súčasťou legislatívneho procesu prijímania právnych predpisov musí byť posúdenie vplyvu, ako predpokladá čl. 35 ods. 10 GDPR. V opačnom prípade hrozí, že spracúvanie osobných údajov vykonávané podľa alebo na základe právnych predpisov, ktoré inak spĺňa požiadavky na vykonanie posúdenia vplyvu, sa neskôr ukáže ako v rozpore s GDPR. Túto pripomienku sme adresovali aj k akčnému plánu Úradu podpredsedu vlády pre investície a informatizáciu, žiaľ zatiaľ bez odozvy. 

Štát si zatiaľ neuvedomuje, že nemôže zákonom posvätiť akékoľvek spracúvanie osobných údajov a o aký veľký problém ide. V minulosti sa zástupcovia Úradu nechali počuť, že si nevedia predstaviť posúdenie vplyvu v legislatívnom procese. Je to tým, že si pod ním nesprávne predstavujú niečo, čo je súčasťou štandardov bezpečnosti. 
Pravdepodobne by bolo potrebné doplniť posúdenie vplyvu medzi už existujúce iné posúdenia upravené v § 7 zákona o tvorbe právnych predpisov, za podmienky, že je potrebné ho vykonať podľa čl. 35 GDPR. Ide však o ďaleko komplexnejší problém, počínajúc od toho, kedy a ako posúdenie vplyvu vykonávať nezávislým spôsobom. 

Jedným z návrhov, ktoré sme zaslali k akčnému plánu Úradu podpredsedu vlády pre investície a informatizáciu v tejto súvislosti bolo vytvorenie slovenskej verzie „EDPS“, t.j. dozorného úradníka na ochranu osobných údajov, ktorý by metodicky zastrešoval a riadil všetky zodpovedné osoby vo verejnom sektore aj pri vykonávaní alebo asistovaní s posúdením vplyvu, čím sme sledovali aktuálne chýbajúcu konzistentnosť ochrany osobných údajov v štáte. 

EDPS vznikol na úrovni EÚ z toho istého dôvodu, aby reálne pomáhal inštitúciám EÚ zabezpečovať súlad s GDPR. Nemá kontrolné oprávnenia ako dozorný orgán a preto mu svojou činnosťou nijako nekonkuruje. Je na zvážení, či by túto otázku mal upravovať nový zákon o ochrane osobných údajov. Aktuálny stav ochrany osobných údajov zo strany štátu je však tragický. 

Z vyššie uvedeného vyplýva naše odporúčanie č. 10:

Zákon o ochrane osobných údajov by mal zaviesť posúdenie potreby, vykonanie a aktualizáciu posúdenia vplyvu do legislatívneho procesu. 

 

Pevne veríme, že Úrad na ochranu osobných údajov zoberie popísanie problémov, s ktorými sa v praxi stretávame, konštruktívne. Je vo verejnom a našom spoločnom záujme, aby nám GDPR dávalo väčší zmysel. Inak, ako popísaním problémov sa začať nedá. 

Následne by však bolo vhodné, aby zástupcovia Úradu diskutovali o týchto otázkach viac s legislatívcami a osobami, ktoré sú oprávnené poskytovať právne poradenstvo a menej s predavačmi bezpečnostných projektov, ktorí nie sú. 


 

Did you like this post?

Jakub.png
Jakub Berthoty

Founding attorney

Jakub is the author and implementer of the idea of a privacy & technology boutique law firm. In past... Show more

Contact us

Feel free to contact us

Contact us to get an offer for the service

Similar posts

  • blog 3.jpg
    NKÚ: Štát nedodržiava predpisy na ochranu osobných údajov

    NKÚ zverejnil záverečnú správu s názvom „Systém ochrany a bezpečnosti osobných údajov vo verejnom sektore“.  V rámci kontrolnej akcie sa NKÚ zameral na to, ako vybraných 62 subjektov z verejného sektora dodržiava pravidlá na ochranu osobných údajov.

  • BLOG6.jpeg
    Kontrola Úradu na ochranu osobných údajov – časť III.

    Aké sú najdôležitejšie procesné úkony po začatí kontroly až po jej ukončenie? Aké sú špecifiká týchto úkonov a na čo si dať v praxi najväčší pozor?

  • BLOG6.jpeg
    Problémy Úradu na ochranu osobných údajov SR a ich riešenia

    Dňa 14. mája 2024 zverejnil Úrad na ochranu osobných údajov SR (ďalej len "Úrad") svoju výročnú správu za rok 2023. V tomto príspevku porovnáme túto výročnú správu s našou Správou o ochrane osobných údajov za rok 2023, ktorú sme publikovali dňa 22. februára 2024. Naša kancelária od roku 2020 vydáva svoje vlastné správy, pretože Úrad nezverejňuje svoje právoplatné rozhodnutia na svojom webom sídle. Od roku 2020 tiež sledujeme, ako Úrad v každej výročnej správe opakuje, že má málo zamestnancov, je v katastrofálnej personálnej situácii, je pred kolapsom a že mu pribúda agendy. V tomto duchu je opäť písaná aj posledná výročná správa. K tomu pribudla nová informácia, že Úrad sa má do konca roka 2024 vysťahovať z aktuálnych priestorov na Hraničnej ulici a objednal si v máji 2024 personálny audit. Ak teda samotný regulátor tvrdí, že má problémy a už tretia vláda mu nedokázala pomôcť, možno len nepoznáme riešenia. Tie však existujú a pokúsim sa ich v tomto príspevku navrhnúť.