Slovenský úřad pro ochranu osobních údajů (ÚOOÚ) udělil za první pololetí roku 2024 pokuty ve výši 51.200 EUR. To na první pohled může působit jako významný krok směrem k zajištění dodržování pravidel ochrany osobních údajů, zejména ve srovnání s předchozími lety.
Tato částka však, rozdělena do 23 pokut, představuje průměrnou výši pokuty zhruba 2.226 EUR na jedno řízení. V kontextu velkých firem a korporací, které často operují s obrovským množstvím citlivých údajů, je taková částka diskutabilní. Je otázkou, zda tyto pokuty skutečně plní svůj účel a odrazují firmy od porušování pravidel, nebo zda se jedná pouze o do jisté míry symbolické sankce, které plně neodrážejí rizika spojená s nedodržováním předpisů.
Dalším znepokojivým aspektem je počet dokončených kontrol. ÚOOÚ v prvním pololetí roku 2024 provedl pouze 17 kontrol. To je alarmující číslo ve srovnání s předchozím rokem, kdy jich bylo celkem 67. Tento pokles naznačuje, že ÚOOÚ buď nemá na provádění kontrol dostatečné kapacity, nebo se spíš zaměřuje na osvětovou činnost a další agendy. Tento posun může představovat riziko pro ochranu osobních údajů občanů, zejména v době, kdy technologie pro zpracování a sdílení osobních údajů procházejí rychlým vývojem a potenciální hrozby jsou stále sofistikovanější.
Je však důležité zmínit, že ÚOOÚ dlouhodobě čelí personálnímu poddimenzování, což výrazně omezuje jeho činnost. Navíc slovenský ÚOOÚ byl několik let bez předsedy, což vedlo k určitému vakuu v jeho vedení. Až nedávné jmenování nové předsedkyně lze považovat za pozitivní krok kupředu, který by mohl přinést stabilitu a zlepšení organizace ÚOOÚ.
I přes tato objektivní omezení se ÚOOÚ snaží vykonávat své úkoly, i když jeho kapacity zjevně nestačí na rostoucí množství rizik a hrozeb v oblasti ochrany osobních údajů.
Na co se ÚOOÚ v roce 2024 zaměřil?
Plán kontrol slovenského úřadu na rok 2024 zahrnuje řadu oblastí, které naznačují určitou systematičnost v přístupu ÚOOÚ. V první části plánu kontrol je pozornost věnována například národní části Schengenského informačního systému (N.SIS) a vízového informačního systému (N.VIS), přičemž byly plánovány specifické kontroly na Ministerstvu zahraničních věcí a Ministerstvu vnitra (automatizovaný systém identifikace otisků prstů Eurodac).
Druhá část plánu kontrol se zaměřuje na zajištění souladu zpracování osobních údajů s požadavky GDPR. Naplánovány jsou kontroly zaměřené na specifické činnosti a nové technologie, které by mohly významně zasáhnout do práv dotčených osob. Jedná se o oblasti, jako je zpracování osobních údajů ve školách, při využívání služeb sdílené mobility, při prodeji a servisu osobních motorových vozidel, v rámci věrnostních programů nebo při elektronické rezervaci návštěv u lékařů. ÚOOÚ celkem plánuje provést 9 takto zaměřených kontrol.
Z praxe ÚOOÚ a z rozhodnutí, které vydává, je však zřejmé, že většinu agendy tvoří primárně kontroly fyzických osob a kamerových systémů jimi instalovaných, které se řeší primárně na základě podnětů sousedů (tzv. sousedské spory).
Ačkoli mluvčí ÚOOÚ Ivana Draškovič tvrdí, že „obecné povědomí o ochraně osobních údajů výrazně vzrostlo,“ zůstává otázkou, zda tento nárůst povědomí skutečně vede k odpovědnějšímu zpracování údajů. Pokud ÚOOÚ během kontrol neustále naráží na zanedbávání ochrany osobních údajů, jak sama Draškovič přiznává, vyvstává otázka, zda toto „povědomí“ postačuje k zajištění skutečného dodržování pravidel.
Závěr
Z mého pohledu se ÚOOÚ stále do velké zaměřuje na menší společnosti nebo fyzické osoby (kamery při sousedských sporech), u kterých je ještě důležitější otázka, zda jsou tyto sankce dostatečně proporční vzhledem k jejich velikosti a ekonomickému postavení. V tomto kontextu by ÚOOÚ při řízení svých dozorových kapacit mohl více zohledňovat velikost a vliv subjektů, které kontroluje, a zaměřit se na skutečně systémové porušování než na jednočlenné správce údajů.
Ačkoliv úřad v roce 2024 učinil určité kroky ke zlepšení ochrany osobních údajů, stále zůstávají významné mezery, které je třeba řešit. Pokud má být ochrana osobních údajů na Slovensku efektivní a důvěryhodná, musí ÚOOÚ posílit své kontrolní kapacity, udělovat přísnější sankce (více zohledňovat metodiku Evropského sboru pro ochranu osobních údajů a nebát se přísných sankcí za závažná pochybení) a zaměřit se na systematické zlepšování svých kontrolních mechanismů. Bez těchto změn hrozí, že ochrana osobních údajů zůstane pouze na papíře, zatímco reálná rizika pro občany budou nadále narůstat.