Môžu tvorcovia zákonov či inštitúcie znemožniť zverejnenie niektorých údajov odvolávajúc sa na európske nariadenie o ochrane osobných údajov?

Pomenoval by som to tak, že pálime od základnej čiary. Jedna aj druhá strana. Zástancovia väčšej transparentnosti, toho, aby tu zostala silná verejná kontrola, požadujú maximálnu otvorenosť všetkých možných registrov.

A tá druhá strana sa zas bráni, snaží sa uzatvárať, vytvárať podmienky veľakrát veľmi nečitateľne. A práve na to využíva argumentáciu ochranou osobných údajov. Právo na súkromie a právo na slobodu prejavu sú v tomto prípade proti sebe a namiesto popierania jedného alebo druhého prístupu je potrebné hľadať rovnováhu.

Narážate teraz na nejaký konkrétny register?

Objavujú sa hlasy, že napríklad kataster nehnuteľností nechce poskytnúť prístupy. Ak sa pozrieme na nariadenie o GDPR ako také, toto nariadenie predovšetkým chráni dotknuté osoby. Čiže tie, ktorých sa tie údaje týkajú. Ak mám nejakú nehnuteľnosť a som zapísaný v katastri, tak v súčasnosti zákon hovorí o tom, ktoré údaje o mne sa povinne zverejňujú.

Všeobecne je sprístupňované a zverejňované meno a priezvisko, dátum narodenia, rodné priezvisko a miesto trvalého pobytu. Máme teda subjekt, ktorý zo zákona zverejňuje predmetné údaje, čo v jazyku GDPR vytvára právny základ pre tento druh spracúvania osobných údajov. Inými slovami kataster nehnuteľnosti plní zákonnú povinnosť.

Bude teda aj naďalej môcť zverejňovať tieto údaje?

Pokiaľ sa nezmení zákon a nenastaví sa to nejako inak, tak áno. Čo však nie je v slovenskom katastrálnom zákone, je účel, teda to z akého dôvodu sa informácie zverejňujú.

Prečo je to dôležité mať v zákone účel?

Z hľadiska opakovaného použitia. Ak mám stanovený účel, tak subjekty, ktoré údaje opakovane používajú, teda ich sťahujú do vlastných aplikácií, majú ľahšiu cestu v odôvodnení svojho účelu spracovania.

Takže by sa do katastrálneho zákona mal dostať novelou účel spracovania údajov?

Áno a, samozrejme, mala by sa zvážiť minimalizácia údajov, ktoré sa zverejňujú. Ale to sme vyriešili iba jednu stránku – vyriešili sme iba primárny zdroj – kataster, ktorý má zákonnú povinnosť zverejňovania údajov. Potom tu máme množstvo subjektov, ktoré používajú údaje z katastra aj na opakované použitie.

Rieši to smernica o opakovanom použití a v zásade priamo v sebe obsahuje aj povinnosti rešpektovať ochranu osobných údajov. Ak ale aj tieto registre majú za účel verejnú kontrolu, tak to bude pomerne silný argument. Okrem toho, ak už ako majiteľ nehnuteľnosti viem, že už sú o mne zverejnené informácie na katastri, tak to nemôžem pociťovať ako nejakú ujmu, keď je to ešte na inej webovej stránke, v rovnakom rozsahu.

Samozrejme, ak by táto stránka ponúkla rozšírené spracovanie s ďalšími zdrojmi, napríklad by zverejnila informáciu o verejných funkcionároch, spojila ich s katastrom a vytvorila mapku, kde bývajú, tak to už je za čiarou.

Môže sa kataster vyhovárať na GDPR, keď ide robiť v systéme možnosť vygenerovať si všetky nehnuteľnosti na jednom súpise, že ich sprístupní iba dotknutej osobe, orgánom činným v trestnom konaní, advokátovi, ale nie verejnosti?

Ja by som chcel vidieť analýzu. Lebo presne to je pálenie od základnej čiary. Jedna strana hovorí, že už je to zásah a druhá strana hovorí, že to nie je zásah.

Pretože aj teraz existuje možnosť vyhľadať si súpis majetku. Len je to oveľa komplikovanejšie a sťažuje sa tým verejná kontrola...

Preto apelujem na to, aby sme robili obmedzovanie osobných údajov v rámci štruktúry, ktorú od nás GDPR vyžaduje. Ak vyžaduje stanovenie účelu, tak mi nemôže vyjsť niečo iné, ak tam dám opatrenia, ktoré iba sťažujú verejnú kontrolu.

Úrad geodézie, ktorý novelu predostrel, argumentuje pri obmedzení poskytovania komplexných údajov na jednom papieri aj ochranou majetkových pomerov.

Samozrejme, ďalšie veci, ktoré je možné zohľadniť, je aj povaha dopadov zverejnených údajov. Ale rovnako aj garancia obmedzenia, ktoré môže primárny zdroj vyžadovať od druhej strany. Napríklad tým, že bude vyžadovať, aby bolo zabránené nejakému hromadnému sťahovaniu údajov. Lebo sa môže stať situácia, že kataster sprístupní údaje niekomu inému a ten nebude mať dostatočné opatrenia technického charakteru na sťahovanie údajov, ktoré budú následne využívané na marketingové a na ďalšie účely.

Ale to by GDPR porušoval už následný používateľ a nie kataster?

Áno. Ale kataster môže vyžadovať od tých, ktorí sťahujú vo veľkom údaje, dodržiavanie povinností, napríklad aby boli spracúvané aktuálne údaje.

To by už mala byť nejaká dohoda medzi týmito subjektami.

Áno, licencia medzi nimi.

Ale základ by mal byť v tom, že nepovolí verejnosti, aby si podľa mena, či iných údajov, ktoré sú známe, vyhľadala kompletný nehnuteľný majetok.

Zatiaľ z môjho pohľadu je táto argumentácia nepresvedčivá. Nepočul som nič viac okrem jedného konštatovania, že to údajne GDPR prikazuje. Nenachádza sa takéto ustanovenie ani v texte, ani v usmerneniach...

My tu máme historický kataster a tam sa dá s tým súhlasiť, že je pomerne otvorený, aj keď to porovnávame s inými štátmi. Máme tu nejaký súčasný stav a ten nemôžme ignorovať. Nemôžme sa teraz tváriť, že ideme znižovať množstvo údajov, ktoré je v súčasnosti k dispozícii a argumentovať iba nariadením GDPR.

Okrem katastra nehnuteľností vidíte ešte iné problematické registre?

Ďalší veľmi využívaný, je register partnerov verejného sektora, lebo vo verifikačných dokumentoch sú citlivé údaje. Ale to bol aj cieľ. Treba pri ňom tiež zohľadniť, že je to dobrovoľný register. Ak v ňom niekto nechce byť, tak nemusí podnikať so štátom.

Takže objem údajov v registri partnerov verejného sektora by mal ostať rovnaký?

Ja viac preferujem otvorenosť, lebo si myslím, že to pomôže spoločnosti sa posunúť rýchlejšie dopredu. Jednak je zlé, keď nemáte údaje, ale je tiež zlé, keď ich máte veľké množstvo a neviete ich zanalyzovať. Preto je dôležité aj voliť spôsoby sprístupňovania tak, aby umožnili jednoduchú a strojovú analytiku. Register partnerov verejného sektora to umožňuje.

Môže sa nariadenie o GDPR dotknúť napríklad registrov o sudcoch, kde sú zverejňované rodinné väzby? Prípadne hodnotenia lekárov či iných na diskusných fórach?

Každý jeden prevádzkovateľ si bude musieť povedať, či spracúva osobné údaje v súlade so základnými zásadami podľa nariadenia. A je otázka, či to všetky aj ustoja. Rovnako treba stále odlišovať, či hovoríme o primárnom zverejňovaní na základe zákonného poverenia alebo následne spracúvanie ďalšími subjektmi. Keď je napríklad na stránke urobený profil lekára a pod ním sa diskutuje, dá sa to identifikovať ako zverejňovanie osobných údajov podľa nariadenia GDPR, aj keď v takomto prípade viac pripadá do úvahy ochrana osobnosti dotknutého lekára.

Bude to len na obhajobe?

Otázka môže byť aj, či vyžadujú identifikáciu toho, kto ten príspevok dáva, či upozorňujú na slabú relevantnosť príspevku v diskusii. Lebo diskusie sa dajú heknúť. Takže tam je otázka proporcionality, či majú takéto systémy existovať. Ako som uviedol do úvahy tu pripadá tak ochrana osobných údajov ako aj ochrana osobnosti.

Budú si firmy vyžadovať od ľudí menej údajov?

To je presne cieľom nariadenia, aby sa spracovávali iba údaje, ktoré sú nevyhnutné. Aby to nebolo pre istotu, vo veľkom rozsahu a rôznym spôsobom. Lebo technológie umožňujú výrazným spôsobom monitorovať správanie ľudí, robiť automatizované rozhodovanie a ono to bude ešte pokračovať, lebo prichádzajú drony, autonómne vozidlá a všetky tieto zariadenia majú senzory, ktoré budú zbierať údaje s technológiami ako face - recognition a podobne, prichádzame do éry, kde je v online priestore súkromie mŕtve, preto tento stav je potrebné vyvažovať rozšírenými právami dotknutých osôb, čo práva GDPR prináša.

Medzi osobné údaje patrí aj snímka oka, tváre, odtlačky prstov?

Všetko, čím môžem identifikovať danú osobu. V Nemecku už padlo rozhodnutie, že aj pri IP adrese sa jedná o osobný údaj, ale iba v prípade, ak disponujete prostriedkami, ktoré umožňujú identifikovať túto osobu.

Keď už dali ľudia osobné údaje, budú mať prevádzkovatelia povinnosť zúžiť tieto osobné údaje?

Prevádzkovatelia by sa pozrieť aké majú informačné systémy, či spracúvajú osobné údaje, ktoré sú v minimálnom rozsahu na dosiahnutia účelu, či prijali potrebné technické a organizačné opatrenia na zabezpečenie bezpečnosti týchto údajov. Či vedia zabezpečiť práva dotknutých osôb, hlásenie porušení.

Týka sa to všetkých aj malého eshopu?

Týka sa to aj opravára obuvy v malom obchode, ak spracúva osobné údaje a vedie si záznam aj fyzický o svojich zákazníkoch. Ale nie je potrebné mať z toho veľký strach, lebo tie povinnosti pre malé subjekty nie sú významné. Tam by mohol pomôcť štát, ktorý by poskytol riešenia, a nenechal malé a stredné podniky odkázané na rôzne komerčné riešenia.

Nemal by štát spraviť kampaň o GDPR?

Mal. V Británii, vo Francúzsku aj Nemecku to už beží. Ale jednak kritizujem, že sa to nedeje, ale na druhej strane dodávam, že náš úrad nemá ani vytvorené podmienky na to, aby to plnil. Je tam veľká fluktuácia ľudí, nevedia ich ani zaplatiť, lebo na trhu je diera viac ako 70-tisíc odborníkov na túto problematiku. Ale samozrejme v rámci celej Európskej únie. Aj francúzsky úrad hovorí o tom, že bude v nasledujúcich mesiacoch veľmi zhovievavý k úrovni implementácie, že nebude ju vyžadovať úplne na sto percent.

Chvíľu bude trvať, kým dobehneme, čo sme nebudovali. Veľmi by tomu pomohlo, keby sme mali silnejší úrad.

Už mám ale z podnikateľského prostredia signály, že ochrana osobných údajov bude nástroj konkurenčného boja. Na trhoch, kde je veľká konkurencia, budú firmy upozorňovať, že konkurent nechráni dostatočne osobné údaje a môžu byť zneužívané. A samozrejme, treba pamätať na samotných zákazníkov, spotrebiteľov.