Vývoj softvéru a ochrana osobných údajov

Obvyklý postup teda spočíva v nahliadnutí do zákona č. 428/2002 Z.z. v znení neskorších predpisov o ochrane osobných údajov – ako najdôležitejšia sa v takomto prípade zdá druhá hlava zákona, venovaná bezpečnosti osobných údajov. V nej §15 ods. 1 bez bližších podrobností ukladá povinnosť ochrany spracúvaných údajov, zato v ods. 2 sa už konkrétne požaduje vytvorenie bezpečnostného projektu ochrany osobných údajov, pravda, iba v niektorých prípadoch. V praxi to znamená, že systematicky vytvorený a riadne zdokumentovaný súbor bezpečnostných opatrení (bezpečnostný projekt) sa vypracúva vlastne iba v prípadoch, kedy sa v systéme spracúvajú tzv. osobitné kategorie osobných údajov, alebo keď systém má slúžiť na „zabezpečenie verejného záujmu“.

Existencia bezpečnostného projektu, hoci aj diskutabilnej kvality, slúži potom ako argument proti prípadným pochybovačom obávajúcim sa o ochranu svojich osobných údajov ... ak systém nespracúva osobitné kategórie osobných údajov, v zmysle zákona nie je ani potrebné mať vypracovaný bezpečnostný projekt - jednoducho sa musia uspokojiť s ubezpečením dodávateľa či prevádzkovateľa, že všetko je v poriadku. Ak vezmeme do úvahy do akej miery programátori či softvéroví analytici obvykle ovládajú princípy ochrany osobných údajov, ako ich stanovuje európska direktíva (z ktorej vychádza aj zákon 428/2002 Z.z.), tak na čom vlastne stojí také ubezpečenie? Veď problémy možno pozorovať už pri chápaní pojmu osobné údaje - koľkokrát boli zo strany IT špecialistov suverénne vyslovené tvrdenia, podľa ktorých je osobným údajom iba rodné číslo, osobným údajom sú iba údaje patriace medzi osobitné kategórie osobných údajov (najmä zdravotné či majetkové údaje), resp. podľa ktorých meno, priezvisko, e-mailová adresa, IP adresa a pod. osobnými údajmi nie sú.

Koľkí (softvéroví analytici, programátori) si poriadne pozrú definíciu osobných údajov a pokúsia sa ju aplikovať na údaje, s ktorými pracuje softvér, ktorý vyvíjajú? Koľkí vlastne chápu, že za istých okolností aj IP adresa je osobným údajom (odporúčam preštudovať si výklad pojmu osobné údaje od najvyššej autority EÚ pre túto oblasť, tzv. Article 29 Working Party, alebo aspoň skrátené vysvetlenie v slovenčine k IP adresám ako osobným údajom) a potom s IP adresami nakladajú ako s osobnými údajmi, v prípade ktorých zákon (§15 ods. 1) ukladá povinnosť ich ochrany? A to neplatí len pre IP adresy. OK, dá sa akceptovať, že analytici a programátori spravidla nemajú právnické vzdelanie a ich úlohou je čosi iné ako štúdium zákonov či direktív EÚ - ale v takom prípade je opodstatnená otázka, na základe čoho má vlastne človek veriť, že ten-ktorý produkt naozaj chráni jeho osobné údaje tak, ako to určuje európska direktíva (pre úplnosť ide o Smernicu Európskeho Parlamentu a Rady 95/46/EC z 24. októbra 1995 o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe týchto údajov ) a z nej odvodený zákon o ochrane osobných údajov?

Vzhľadom na aktuálnu (biednu) úroveň právneho povedomia na Slovensku a podobnú úroveň vnímania dôležitosti ochrany súkromia sa dá predpokladať, že pre vývoj softvéru určeného pre použitie výlučne na Slovensku ešte dlho nebude pre jeho dodávateľov motivácia zmeniť niečo na doterajšom spôsobe prístupu k ochrane spracúvaných osobných údajov. Inej situácii budú musieť čeliť tí, ktorí majú ambície presadiť sa aj v iných krajinách EÚ, kde je citlivosť na zabezpečenie ochrany súkromia vyššia ako u nás, resp. kde je demonštrácia dôrazu na ochranu súkromia klientov (používateľov produktu či systému) vnímaná ako marketingový prvok a konkurenčná výhoda. Aspoň taký dojem som nadobudol po skúsenostiach z účasti v medzinárodnom projekte EuroPriSe , v ktorom ide o hodnotenie IT produktov (IT podporovaných služieb) z pohľadu toho, či v dostatočnej miere spĺňajú požiadavky legislatívy EÚ pre ochranu osobných údajov.