Všeobecná predstava o tom, že medzi osobné údaje patrí meno, priezvisko, rodné číslo a číslo občianskeho preukazu, nie je úplne správna. Patrí k nim akýkoľvek druh dát, ktorý umožňuje jednoznačne identifikovať konkrétnu osobu. Je to teda napríklad aj záznam bezpečnostnej kamery, vzorka DNK či biometrické dáta – odtlačky prstov alebo vzor očnej sietnice. Za osobný údaj sa považujú dokonca aj študijné výsledky.

Pred možným zneužitím všetkých týchto dát v neprospech ich nositeľa a zároveň na ochranu jeho súkromia bol na Slovensku v septembri tomto roku zriadený Úrad pre ochranu osobných údajov. „Filozofia systému je jednoduchá: žiadny chránený osobný údaj nesmie byť využívaný bez súhlasu jeho nositeľa,“ hovorí predseda úradu Pavol Husár.

Vznik úradu bol podmienený aj požiadavkami Európskej únie. Súlad pôvodnej legislatívnej úpravy, platnej od roku 1998, s pravidlami únie bol nedostatočný. „Nový zákon je nielen harmonizovaný s európskou smernicou, ale zahŕňa aj naše prvé poznatky a skúsenosti s ochranou osobných údajov,“ tvrdí P. Husár. Ten sa ešte pred vznikom úradu tri roky staral o ochranu osobných údajov ako splnomocnenec vlády SR. Register spracovateľov osobných údajov vtedy viedol Štatistický úrad SR. Nový zákon zlúčil právomoci oboch inštitúcií pod strechu Úradu pre ochranu osobných údajov.

Na ochrane záleží

Ochrana osobných údajov bola súčasťou hneď troch predvstupových kapitol a zástupcovia Európskej komisie jej úroveň viackrát kritizovali. „Mnohí spracovatelia osobných informácií sa napríklad ani nezaregistrovali. Táto povinnosť im pritom vyplývala zo zákona,“ hovorí ekonomická expertka Delegácie Európskej komisie na Slovensku Raffaella Tribuzi.

Nový zákon však výhrady Európskej komisie vyriešil. „Teraz máme podľa hodnotenia EÚ jeden z piatich najlepších zákonov na ochranu osobných údajov v Európe,“ dodáva P. Husár.

Hlavnou úlohou úradu je dohľad nad spracúvaním a využívaním osobných údajov občanov. Úrad dozerá aj na to, aby novoprijímané zákony boli v súlade s pravidlami ochrany osobných údajov. Napríklad každý zákon, ktorý navrhuje vytvorenie nového súboru osobných údajov, musí presne špecifikovať všetky typy údajov, ktoré má obsahovať, a účel ich využitia.

Registre sa prečistia

P. Husár: „Žiadny chránený osobný údaj sa nesmie využívať bez súhlasu jeho nositeľa.“Nový úrad za dva mesiace od účinnosti nového zákona preregistruje pôvodné systémy a potvrdí ich novú registráciu, prípadne oznámi ich prevádzkovateľom, že ich registrovať nemusia. Podľa nového zákona už totiž nepodliehajú registrácii informačné systémy, ktorých existencia vyplýva priamo z osobitných zákonov, napríklad systémy Policajného zboru či pohraničnej stráže.

Rovnako sa nemusia registrovať tie systémy, ktoré zhromažďujú len štyri základné údaje: meno, priezvisko, titul a adresu, prípadne tie, ktoré záznamy využívajú len na osobné účely. Týka sa to napríklad domácich adresárov. „Ak však niekto bude požadovať aj ďalšie údaje so zámerom ďalej ich spracúvať a využívať na svoju činnosť, jeho záznamy už podliehajú registrácii,“ upozorňuje P. Husár. Z pôvodne evidovaných 30-tisíc informačných systémov ich tak po preregistrácii ostane „podstatne menej“, len niekoľko tisíc.

Len adekvátne údaje

Spektrum registrov údajov, ktoré spadajú pod dohľad úradu, je široké. Ide o lekárske záznamy, databázy klientov úverových spoločností či mobilných operátorov. Dôležitým faktorom pri registrácii týchto systémov je však adekvátnosť získavaných údajov. Ak by sa v databáze mali vyskytovať údaje, ktoré na účel databázy prevádzkovateľa nie sú nevyhnutné, musí ich pred zaregistrovaním zo systému vypustiť.

„Mobilný operátor nemá napríklad dôvod získavať údaje o vašom zdravotnom stave,“ hovorí P. Husár. Tie sú však v niektorých prípadoch uvedené v občianskom preukaze. Mobilný operátor tak nesmie požadovať kópiu občianskeho preukazu, pretože ten môže obsahovať aj údaje neadekvátne jeho potrebám. Pri zisťovaní informácií o novom klientovi tak môžu zodpovední zamestnanci odpísať len údaje potrebné napríklad pre aktiváciu novej SIM karty. Akékoľvek ďalšie údaje môže do systému pridať len s výslovným súhlasom ich nositeľa.

Nič pre pokútnych

Zosúladenie zákona o ochrane osobných údajov s európskymi normami sa prejavilo aj zvýšením maximálnej sankcie za jeho porušenie. Pôvodná právna úprava nastavila strop pokuty na jeden milión korún, nová ho zdesaťnásobila. Maximálna sankcia tak má rovnakú výšku ako v Českej republike. „Mohli sme navrhnúť aj nižšiu maximálnu pokutu, lenže by sme riskovali, že pokútni prevádzkovatelia informačných systémov by sa z ČR presťahovali na Slovensko. Pokuta by ich tu totiž vyšla lacnejšie,“ objasňuje P. Husár.

Sankcie sa však nevzťahujú len na prevádzkovateľov či spracovateľov systémov osobných údajov, ale aj na tých, ktorí zámerne poskytnú do systému nepravdivé osobné údaje. Maximálna výška takejto pokuty je stotisíc korún.

Každý za seba

Hoci má úrad len deväť zamestnancov, za spolupracovníkov považuje všetky osoby zodpovedné za bezpečnosť informačného systému u jeho prevádzkovateľa. Zodpovedná osoba poverená dohľadom nad informačným systémom je zaviazaná mlčanlivosťou o obsahu zoznamu osobných údajov.

„Naším cieľom je, aby sa každý prevádzkovateľ staral o bezpečnosť svojho systému v prvom rade sám,“ dodáva P. Husár. Opačná situácia je napríklad v Česku, kde zákon kladie väčší dôraz na zákonnú kontrolu. Aj preto má český dozorný orgán desaťnásobne viac úradníkov než slovenský.

Foto – Miro Nôta