Čakanie na novelu zákona o ochrane osobných údajov

Nie, že by v zákone nebolo čo upravovať. Osobne považujem za nešťastné už vymedzenie pôsobnosti zákona, presnejšie §2a, ktorý stanovuje prípady, na ktoré sa zákon o ochrane osobných údajov nevzťahuje . Keď sa nad jeho znením človek zamyslí, zistí, že názov zákona „o ochrane osobných údajov“ je vlastne zavádzajúci – zákon sa v skutočnosti zaoberá len ochranou osobných údajov spracúvaných v informačných systémoch organizácii, ktoré to majú „v náplni práce“. Aj ďalšie ustanovenia zákona potvrdzujú, že zákon zákon ukladá povinnosti (ochrany osobných údajov) len prevádzkovateľovi IS (resp. sprostredkovateľovi, teda niekomu kto koná v mene prevádzkovateľa). Prečo vlastne? Chápem, že nemusí byť jednoduché narysovať deliacu čiaru, ale medzi prevádzkovaním IS a spracovaním osobných údajov v rámci osobných alebo domácich činností (obľúbeným príkladom je vedenie adresára) existuje šedé pásmo, situácie, ktoré sa nedajú jednoznačne zaradiť k týmto dvom extrémom – ale znenie §2a (obzvlášť písm. b)) ich odsúva mimo pôsobnosť zákona na ochranu osobných údajov.

Nemusí pritom isť len o zverejnenie platov pár osôb, ako to v divadielku nehodnom zastávanej funkcie názorne demonštroval predseda vlády. Môžem sa mýliť (nie som právnik), ale napríklad v Exekučnom poriadku som neobjavil nič, čo by exekútorovi bránilo zexekvovať trebárs počítačový systém aj osobnými údajmi na jeho diskoch, alebo (ak by usúdil, že exekúciou počítača by došlo k ohrozeniu podnikateľskej činnosti nad nevyhnutnú mieru) médiá so záložnými kópiami týchto údajov... A ak by to exekútora náhodou nenapadlo, je možné jeho rozhodnutia orientovať takýmto smerom, nakoľko podľa Exekučného poriadku sa exekúcia môže vykonať aj podľa návrhu tzv. oprávneného s výslovným určením vecí, ktoré sa majú predať. Šťastný nadobúdateľ takého počítača/médií spolu s údajmi by mohol pokojne tvrdiť, že ich získal „náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania a bez zámeru ich ďalšieho spracúvania“ a teda že na neho sa v súlade s §2a nevzťahujú povinnosti, ktoré inak prevádzkovateľovi IS ukladá zákon o ochrane osobných údajov...

Rezervy vidím aj v časti zákona venovanej ochrane práv dotknutých osôb. Stručne povedané, nevidím možnosť ako môže dotknutá osoba riešiť nasledovnú situáciu, ktorá vychádza z reálneho prípadu – v informačnom systéme banky A sa vyskytovali osobné údaje osoby, ktorá s bankou nikdy nemala uzavretý zmluvný či iný vzťah. Naviac, tieto údaje sa v systéme vyskytovali v kontexte, ktorý osobu diskvalifikoval ako žiadateľa o poskytnutie úveru. Údaje boli poskytnuté banke B, ktorá na ich základe dotknutej osobe odmietla poskytnúť úver. Dotknutá osoba sa iba náhodou dozvedela dôvody, pre ktorej jej bol úver odmietnutý – keď sa obrátila na banku A, táto, vedomá si chyby na svojej strane, údaje v svojom systéme zmazala a v ďalšej korešpondencii uvádzala, že osobné údaje dotknutej osoby nespracúva ... a tvrdošijne odmietala odpovedať na otázku – žiadosť o potvrdenie toho, že ich nespracúvala ani v uplynulom, presne vymedzenom časovom úseku.

Skrátka, zákon síce dáva dotknutej osobe právo žiadať informácie o spracúvaní svojich osobných údajov, ale v podstate len v prítomnej dobe – nemá žiadne právo dozvedieť sa, či sa jej údaje nespracúvali v minulosti (pochopiteľne, v nejakom prakticky realizovateľnom náhľade späť v čase – aspoň pár mesiacov). Inak povedané, ak prevádzkovateľ IS neoprávnene spracúva osobné údaje, alebo spracúva chybné údaje o dotknutej osobe, zákon mu umožňuje „keď to praskne“ údaje zmazať a tváriť sa ako neviniatko ... ak bola dotknutá osoba kvôli tomu diskriminovaná, nemá šancu to preukázať.

Domnievam sa, že úpravy by si zaslúžila aj tretia časť zákona, ktorá je venovaná Úradu na ochranu osobných údajov. Naozaj je nevyhnutné v zákone detailne (v piatich bodoch!) špecifikovať takú záležitosť ako doručovanie písomnosti účastníkovi konania? A to nie je jediný príklad nadmieru detailného špecifikovania činnosti Úradu či jeho zamestnancov. Podobne detailne sa zákon zaoberá definovaním vedenia Úradu - predseda, podpredseda a vrchný inšpektor ... pre porovnanie, v Česku vymenujú predsedu Úradu a je už na ňom ako si Úrad manažuje. Prečo je vlastne potrebné v slovenskom zákone takto podrobne predpisovať štruktúru manažmentu Úradu? Na druhej strane stojí za povšimnutie, že v podmienkach, ktoré podľa zákona musí kandidát na predsedu Úradu (podobne aj podpredseda a vrchný inšpektor) spĺňať, absentuje požiadavka na aspoň nejaké manažérske skúsenosti ... predstava, že na manažovanie nejakého zoskupenia ľudí postačí vydávať príkazy je dosť naivná a v praxi uplatniteľná hádam len v dobe otrokárstva či feudalizmu. Ja viem, že v slovenskej politike sa pri rozdeľovaní (vysokých) funkcií nezvykne prihliadať na to, či nádejný kandidát má vôbec nejaké riadiace skúsenosti, ale žeby to malo slúžiť ako vzor? Kým je ochrana osobných údajov na okraji záujmu politikov, bol by taký problém do zákona prepašovať požiadavku aby vedenie Úradu malo aspoň nejaké manažérske skúsenosti?

Myslím si, že v zákone o ochrane osobných údajov je toho dosť, čo si zaslúži úpravy. Zrejme nie som jediný - veď aj Úrad pracuje na novelizácii zákona, resp. má to v pláne. Ktovie, čo sa chystá upraviť ... dvojnásobné posunutie termínu, dvojročné skúmanie a konzultácie, to asi nebude len kvôli nejakým maličkostiam. Uvidíme (?) ...