Problémy Úradu na ochranu osobných údajov SR a ich riešenia

Dňa 14. mája 2024 zverejnil Úrad na ochranu osobných údajov SR (ďalej len "Úrad") svoju výročnú správu za rok 2023. V tomto príspevku porovnáme túto výročnú správu s našou Správou o ochrane osobných údajov za rok 2023, ktorú sme publikovali dňa 22. februára 2024. Naša kancelária od roku 2020 vydáva svoje vlastné správy, pretože Úrad nezverejňuje svoje právoplatné rozhodnutia na svojom webom sídle. Od roku 2020 tiež sledujeme, ako Úrad v každej výročnej správe opakuje, že má málo zamestnancov, je v katastrofálnej personálnej situácii, je pred kolapsom a že mu pribúda agendy. V tomto duchu je opäť písaná aj posledná výročná správa. K tomu pribudla nová informácia, že Úrad sa má do konca roka 2024 vysťahovať z aktuálnych priestorov na Hraničnej ulici a objednal si v máji 2024 personálny audit. Ak teda samotný regulátor tvrdí že má problémy a už tretia vláda mu nedokázala pomôcť, možno len nepoznáme riešenia. Tie však existujú a pokúsim sa ich v tomto príspevku navrhnúť.

Viditeľné nedostatky v dozorovej činnosti Úradu

Zrejme všetci sa zhodneme na tom, že Úrad nedostatočne enforcuje GDPR. Zatiaľ čo Úrad vydal za rok 2023 až 41 právoplatných rozhodnutí s pokutou, ich priemerná výška bola mizivých 1,800 eur. Vo výročnej správe Úradu sa síce spomína 46 právoplatných pokút v priemernej výške 2,048 eur, ale to nie je podstatné. Bez ohľadu na to, z akých podkladov vychádzame, ide o výsmech spoločnostiam, ktoré do súladu s GDPR investovali desiatky a stovky tisíc eur, ako aj výsmech občanom.

Úrad síce tvrdí, že usmernenia Výboru (EDPB) sú preňho záväzné a musí ich dodržiavať, no absolútne nedodržiava usmernenia EDPB k výpočtu pokút. Táto metodika je uplatniteľná na každý členský štát a stanovuje postup na výpočet počiatočnej výšky pokuty, ktorá by mala byť na začiatku konania známa. Táto sa buď zvyšuje alebo znižuje zohľadnením okolností prípadu, ale počiatočný interval je v zásade daný. Aplikovaním tejto metodiky by sa samozrejme pokuty výrazne zvýšili. Pokuty Úradu nie len že nie sú nijako odstrašujúce, ale naopak odmeňujú nezodpovednosť a nedodržiavanie predpisov.

"Na Slovensku je lacnejšie GDPR porušovať ako ho dodržiavať a za tento stav je priamo zodpovedný Úrad. Pritom jedinou odstrašujúcou pokutou podľa metodiky EDPB by si Úrad v rámci štátnej pokladne vedel "zarobiť" na celý svoj ročný rozpočet."

Samozrejme nejde o to, aby bol Úrad "ziskový". Ide len o to, aby jeho ročný rozpočet vo výške cca 2 miliónov eur bol vynaložený efektívne. Ak minieme ročne 2 milióny eur na fungovanie Úradu, ktorý vyzbiera 100 tisíc eur na pokutách, je to fér voči daňovým poplatníkom, ktorí financujú rozpočet Úradu? Pretože aktuálne za porušenia GDPR platíme my, daňoví poplatníci, a to 1,9 milióna eur ročne. Prečo by sme mali platiť za tieto porušenia, ak sme ich nespôsobili?

Sekundárny problém je, aké porušenia Úrad pokutuje. Nie sú to nové technológie, zneužívanie údajov maloletých, cielená reklama na sociálnych sieťach, big data speňažovanie údajov, dopady algoritmických modelov na ľudí alebo nezákonnosť spracúvania údajov cez online služby, ktoré používa každý jeden občan s prístupom na internet. Nie. Úrad sa venuje úplne nepodstatným témam a rieši skôr individuálne zlyhania ako plošné systematické porušenia, ktoré by mali dopad na spoločnosť.

Tento problém súvisí aj s tým, že Úrad si nevyberá strategické témy, ktoré riešia zahraniční regulátori a rieši skôr nápad vecí od verejnosti cez návrhy na začatie konania. Spory susedov, nespokojných jednotlivcov (najčastejšie vyhodený zamestnanec a nahnevaný spotrebiteľ), kamerové systémy, rodné čísla, zverejňovanie údajov na úradných tabuliach obcí. Na mieste je teda otázka, či naozaj tieto nedostatky spôsobuje nízky počet zamestnancov a nízky rozpočet Úradu, ktorý mimochodom medziročne tiež stúpol z 1,8 na 2 milióny eur.

Má Úrad nedostatok zamestnancov?

Na konci roka 2023 Úrad zamestnával 43 zamestnancov. Tabuľka nižšie ukazuje vývoj počtu zamestnancov od roku 2015 a vývoj priemerných pokút Úradu.

Už len táto tabuľka musí dokazovať, že štatisticky neexistuje žiadny vzťah medzi počtom zamestnancov a priemernou výškou pokuty. Zároveň je jasné, že celkový počet zamestnancov je stabilný od roku 2018 a teda od začatia uplatňovania GDPR. Ak dokázal Úrad v roku 2015 s 37 zamestnancami uplatňovať zákon č. 122/2013 Z.z., o ochrane osobných údajov, potom Úrad nemôže tvrdiť, že so 43 zamestnancami nestíha enforcovať GDPR. Celkový počet zamestnancov teda asi nebude brániť Úradu fungovať tak, ako by mal. Takisto počet zamestnancov nijako nevysvetľuje, prečo namiesto stúpajúcej tendencie majú pokuty podľa GDPR za posledných pár rokov klesajúcu tendenciu.

Pribudla Úradu nejaká agenda?

Nie. Odkedy Úrad má v pôsobnosti dohľad nad dodržiavaním GDPR (2018), nepribudla mu žiadna nová agenda, zákon alebo oblasť. Do jeho pôsobnosti patrí GDPR a Policajná smernica (tretia časť zákona), čo sú úplne paralelné a analogické režimy. Navyše v praxi policajnú smernicu rieši Úrad len úplne výnimočne a okrajovo. Nevieme odkiaľ pochádzajú informácie o neustále narastajúcej agende Úradu. Dokonca by sa dalo povedať, že Úrad mal pred GDPR ešte viac agendy, pretože na rozdiel od dnešného stavu Úradu pred rokom 2018:

• poskytoval verejné konzultácie telefonicky aj písomne, ktoré neskôr z dôvodu nedostatku kapacít zrušil;

• riešil skúšky zodpovedných osôb a vydával osvedčenia; a

• viedol registre informačných systémov.

Táto agenda mu v zásade od roku 2018 odpadla a pribudla mu len agenda oznamovania porušení (bezpečnostných incidentov), ktorá však Úrad nevyťažuje. Takisto sa nedá hovoriť o tom, že by Úrad vyťažovali predchádzajúce konzultácie podľa čl. 36 GDPR, keďže na tie nemá povinnosť reagovať. Tiež sa nedá hovoriť o tom, že by Úrad vyťažili dve alebo tri vlastné metodické usmernenia, ktoré od roku 2018 vydal. Úrad do dnešného dňa neprijal vyhlášku k certifikačným a akreditačným kritériám a tak si sám stopol konania o akreditácii monitorujúcich subjektov, kódexov správania a žiadne certifikácie nikdy nevydal.

Zároveň existuje x ďalších predpisov EÚ, ktoré zahraničné dozorné orgány riešia popri GDPR, ktoré náš Úrad nerieši.

Aké sú riešenia?

Príčin tohto stavu je viac, sú komplikované a historické. Pre zhrnutie však uvádzame aspoň základné odporúčania, ktoré by mohli problémy Úradu pomôcť vyriešiť:

1. Úradu chýba strategické vedenie, ktoré by malo víziu a cieľ. Od roku 2020 Úrad nemá predsedu. Tento rekord zrejme nikdy žiadny členský štát EÚ neprekoná. Lenže nestačí len vymenovať nového predsedu, aby popísané nedostatky boli odstránené. Úrad technicky vie fungovať aj bez predsedu, pretože jeho úlohu plní pod-predsedníčka. Nedostatky odstránime len vtedy, ak bude novým predsedom správny človek. Vláda síce už raz vybrala vhodného kandidáta z radov Úradu, ale v Národnej rade SR neprešiel návrh na jeho zvolenie. Nové vedenie Úradu musí v prvom rade nanovo nastaviť nové témy, ktorým sa bude Úrad strategicky venovať. Tieto témy musia dávať celospoločenský zmysel. Aktuálne je spoločenské nazeranie na GDPR nastavené tak, že ide o byrokratickú prekážku z Bruselu. Sme to však my, resp. Úrad, kto tvorí obraz toho, ako vyzerá enforcement GDPR.

2. Pokuty podľa metodiky EDPB. Usmernenia EDPB jasne definujú tzv. východiskový bod výpočtu, ktorý sa následne má konkretizovať špecifickým okolnostiam daného prípadu, priťažujúcim a poľahčujúcim okolnostiam podľa čl. 83 GDPR. Prax Úradu sa za posledných pár rokov zlepšila v tom, že už o niečo viac aplikáciu priťažujúcich a poľahčujúcich okolností podľa čl. 83 GDPR vysvetľuje v rámci odôvodnenia. Stále však zaostávame za podrobnosťou a transparentnosťou zahraničných rozhodnutí. Rovnako by z odôvodnenia malo vyplývať, ku akému východiskovému bodu výpočtu pokuty Úrad dospel pred aplikáciou týchto okolností a teda z čoho začal vychádzať. Dané číslo by malo byť zjavné už v počiatočnej fáze konania, ak sa preukáže, že k danému porušeniu naozaj došlo. Úrad si sám vytvára rozpočtovú núdzu, ak neaplikuje tieto usmernenia. Zároveň neaplikovaním tejto metodiky prenáša zodpovednosť za všetky ním pokutované porušenia na daňových poplatníkov, pretože rozpočet Úradu financovaní daňovými poplatníkmi 20-násobne prevyšuje výber pokút z porušení.

3. Vnútorné organizačné členenie Úradu. Úrad potrebuje posilniť aparát zamestnancov, ktorí by dokázali vykonať dokazovanie a napísať kvalitné prvostupňové aj druhostupňové rozhodnutia, a to ideálne v kratšom čase. Dlhodobo podľa nás nedáva zmysel rozdeľovať tento aparát do viacerých vnútorných odborov. Nedáva tiež zmysel zaťažovať Úrad rozlišovaním medzi kontrolou a správnym konaním. Úkony kontroly je možné urobiť v rámci správneho konania aj s aj bez aplikácie správneho poriadku, kde veľký rozdiel neexistuje. Prechod z kontroly do správneho konania so sebou vždy prináša riziko procesných chýb, ktoré my advokáti radi využijeme. Úrad potrebuje zlúčiť viaceré odbory do jedného, celkovo znížiť ich počet a zoštíhliť vnútorné fungovanie ale aj názorové zosúladenie jednotlivých odborov. Nie je udržateľné, aby zo 43 zamestnancov nemali dva zrejme najviac vyťažené odbory ani polovicu. Podľa našich informácií, odbor správnych konaní má 10 pracovníkov a odbor kontroly 7. Kde a ako je rozdelených zvyšných 26 zamestnancov je pritom kľúčové (uvidíme, či to ukáže personálny audit). Tiež nie je udržateľné, aby jednotlivé odbory mali na tú istú výkladovú otázku iný právny názor. Na tieto zmeny by však potrebné v prvom zmeniť zákon o ochrane osobných údajov. Organizačný poriadok síce vydáva predseda Úradu (a teda nie je stanovený v zákone), ale zákon počíta s rozdielmi pri kontrole a konaní o ochrane osobných údajov. Tiež nepočíta s x ďalšími konaniami a rozhodnutiami, ktoré má bez ďalšieho Úrad realizovať priamo podľa GDPR.

4. Zmena zákona o ochrane osobných údajov. O tom ako zlepšiť zákon o ochrane osobných údajov sme písali už v roku 2020. Formulovali sme 10 odporúčaní pre lepší zákon, tie sa však skôr týkali správneho výkladu GDPR. Pre zoštíhlenie fungovania Úradu a lepší enforcement GDPR sú potrebné iné zmeny v jeho procesnej časti. Zlúčenie kontroly a správneho konania do jedného konania by malo byť tým úplne základným krokom. Dobrou praxou, ktorú praktizujú vedúce zahraničné dozorné orgány, je napríklad počiatočné avizovanie intervalu pokuty pri zjavných porušeniach, ku ktorým orgán sleduje. Napríklad britský ICO v prípade British Airways najprv avizoval udelenie pokuty na úrovni 183 miliónov libier a napokon udelil pokutu vo výške 20 miliónov eur. Je iba fér vedieť dopredu k čomu Úrad smeruje v konaní a ako závažne daný prípad vníma. Aktuálna prax je úplne opačná, o pokute sa dozvie účastník konania úplne na záver a častokrát bez dostatočného odôvodnenia v zmysle čl. 83 GDPR.

5. Voľnosť vo výbere tém ale aj povinnosť konzultovať. Väčšie členské štáty nemajú z kapacitných dôvodov inštitút "návrhu na začatie konania", kedy by musel regulátor obligatórne začať konať bez ohľadu na triviálnosť a predmet návrhu. Regulátor si sám vyberá pre spoločnosť tie najzávažnejšie prípady, v ktorých bude konať a zvyšok podaní, sťažností a podnetov vybavuje konzultáciami. Napríklad francúzsky CNIL v roku 2023 vykonal 340 inšpekcií ale udelil len 36 pokút v priemernej výške 2,5 milióna eur. Pritom ale stihol so svojimi 120 zamestnancami vybaviť až 47 tisíc hovorov a 16 tisíc konzultácií! Je teda evidentné, že spolu s väčšou voľnosťou vo výbere prípadov a tém, ktorým sa regulátor venuje, musí súčasne poskytovať bezplatné poradenstvo verejnosti.

6. Rozšírenie pôsobnosti Úradu. Neexistuje žiadny rozumný dôvod, prečo by pod pôsobnosť Úradu nemali patriť pravidlá ePrivacy smernice. Konkrétne nevyžiadaná komunikácia podľa § 116 a regulácia "cookies" podľa § 109 zákona o el. komunikáciách. Úradu pre reguláciu spôsobujú tieto dve ustanovenia v praxi značné výkladové problémy a zamestnávajú podľa všetkého štyroch zamestnancov tohto Úradu, ktorí sa "preškoľujú na GDPR", aby ich vedeli aplikovať. Ich preradenie pod Úrad by bolo iba rozumným riešením, pričom touto cestou ide väčšina členských štátov vrátane Českej republiky. Odstránenie kompetenčného konfliktu medzi oboma regulátormi by zároveň umožnilo Úradu venovať sa témam uvedeným vyššie. Obdobné problémy a kompetenčný spor nás čaká aj v súvislosti s niektorými ďalšími novými predpismi EÚ. Takisto pod zahraničné dozorné orgány patria ďalšie témy, ktoré sú na Slovensku roztrúsené medzi viaceré orgány. V skutočnosti by nevyhnutne nešlo o novú agendu, ale o odstránenie prekážok vo výklade GDPR, ktoré je vo vzťahu k týmto predpisom tým najviac všeobecným a prierezovým predpisom. Tou najväčšou prekážkou je však ePrivacy smernica v kompetencii Úradu pre reguláciu.

7. Odbremenenie Úradu súdmi. Nedostatočne využívame inštitúty kolektívnej ochrany dotknutých osôb prostredníctvom súdnej ochrany. Všetky spory a sťažnosti predsa nemusia začínať na Úrade. Čl. 80 ods. 2 GDPR dáva členským štátom právo stanoviť, že záujmové združenia môžu záujmy dotknutých osôb hájiť aj kolektívne a navyše bez ich priameho angažovania resp. splnomocnenia. Zákon č. 261/2023 Z.z. o žalobách na ochranu kolektívnych záujmov spotrebiteľov na túto úpravu čiastočne nadväzuje aj keď nie úplne v celom duchu čl. 80 ods. 2 GDPR, ktorý je širší. Tiež nedostatočne transponujeme do procesných kódexov právo dotknutých osôb na účinný súdny prostriedok nápravy podľa čl. 79 GDPR. Dotknuté osoby majú právo priamo sa obrátiť na súdy a teda žalovať prevádzkovateľov a sprostredkovateľov za porušenie GDPR v rámci civilného súdnictva. Civilný sporový poriadok neobsahuje špecifickú úpravu týchto žalôb a teda dotknuté osoby sú odkázané na všeobecné určovacie žaloby alebo žaloby o náhradu škody, ktoré patria pod okresné súdy. Je na zvážení, či tieto žaloby predstavujú účinný súdny prostriedok nápravy pri porušení pravidiel ochrany osobných údajov, tak ako vyžaduje čl. 79 GDPR. Vzhľadom na praktickú neexistenciu týchto súdnych rozhodnutí si o tom dovolíme pochybovať.

8. Odbremenenie Úradu dozorovým úradníkom a legislatívnym posúdením vplyvu. Nie všetky procesy štátu, ktoré "idú okolo GDPR" majú automaticky spadať pod Úrad. Úrad má plniť primárne tie úlohy, ktoré mu vyplývajú z čl. 57 GDPR. Medzi ne patrí úloha poskytovať poradenstvo parlamentu, vláde a iným inštitúciám o legislatívnych a administratívnych opatreniach súvisiacich s ochranou práv a slobôd pri spracúvaní osobných údajov. To však neznamená, že by mal byť Úrad nahrádzať všetky legislatívne kapacity parlamentu a ministerstva spravodlivosti pri tvorbe novej legislatívy. Vlastný súlad štátu a orgánov verejnej moci s GDPR ani nemôže kvôli konfliktu záujmov byť v kompetencii Úradu. Na úrovni vlády by mal vzniknúť dozorový úradník (DPO štátu) po vzore European Data Protection Supervisor, ktorý by mal mať hlavnú poradnú rolu pre štát a pre ostatné zodpovedné osoby štátu. Do legislatívneho procesu potrebujeme zaviesť legislatívne posúdenie vplyvu podľa čl. 35 ods. 10 GDPR, ktoré dnes v parlamente neexistuje. Ak by existovali tieto inštitúty, pomohlo by to nie len veci ako takej, ale aj kapacitám Úradu.

V konečnom dôsledku je vyriešenie týchto problémov len o tom, či máme alebo nemáme záujem o fungujúci Úrad na ochranu osobných údajov.

Jakub Berthoty

Dagital Legal, s.r.o.