Slovenský úřad pro ochranu údajů: Čísla a výsledky za první polovinu roku 2024

Slovenský úřad pro ochranu osobních údajů (ÚOOÚ) udělil za první pololetí roku 2024 pokuty ve výši 51.200 EUR. To na první pohled může působit jako významný krok směrem k zajištění dodržování pravidel ochrany osobních údajů, zejména ve srovnání s předchozími lety. 

Tato částka však, rozdělena do 23 pokut, představuje průměrnou výši pokuty zhruba 2.226 EUR na jedno řízení. V kontextu velkých firem a korporací, které často operují s obrovským množstvím citlivých údajů, je taková částka diskutabilní. Je otázkou, zda tyto pokuty skutečně plní svůj účel a odrazují firmy od porušování pravidel, nebo zda se jedná pouze o do jisté míry symbolické sankce, které plně neodrážejí rizika spojená s nedodržováním předpisů.

Dalším znepokojivým aspektem je počet dokončených kontrol. ÚOOÚ v prvním pololetí roku 2024 provedl pouze 17 kontrol. To je alarmující číslo ve srovnání s předchozím rokem, kdy jich bylo celkem 67. Tento pokles naznačuje, že ÚOOÚ buď nemá na provádění kontrol dostatečné kapacity, nebo se spíš zaměřuje na osvětovou činnost a další agendy. Tento posun může představovat riziko pro ochranu osobních údajů občanů, zejména v době, kdy technologie pro zpracování a sdílení osobních údajů procházejí rychlým vývojem a potenciální hrozby jsou stále sofistikovanější.

Je však důležité zmínit, že ÚOOÚ dlouhodobě čelí personálnímu poddimenzování, což výrazně omezuje jeho činnost. Navíc slovenský ÚOOÚ byl několik let bez předsedy, což vedlo k určitému vakuu v jeho vedení. Až nedávné jmenování nové předsedkyně lze považovat za pozitivní krok kupředu, který by mohl přinést stabilitu a zlepšení organizace ÚOOÚ. 

I přes tato objektivní omezení se ÚOOÚ snaží vykonávat své úkoly, i když jeho kapacity zjevně nestačí na rostoucí množství rizik a hrozeb v oblasti ochrany osobních údajů.

Na co se ÚOOÚ v roce 2024 zaměřil?

Plán kontrol slovenského úřadu na rok 2024 zahrnuje řadu oblastí, které naznačují určitou systematičnost v přístupu ÚOOÚ. V první části plánu kontrol je pozornost věnována například národní části Schengenského informačního systému (N.SIS) a vízového informačního systému (N.VIS), přičemž byly plánovány specifické kontroly na Ministerstvu zahraničních věcí a Ministerstvu vnitra (automatizovaný systém identifikace otisků prstů Eurodac).

Druhá část plánu kontrol se zaměřuje na zajištění souladu zpracování osobních údajů s požadavky GDPR. Naplánovány jsou kontroly zaměřené na specifické činnosti a nové technologie, které by mohly významně zasáhnout do práv dotčených osob. Jedná se o oblasti, jako je zpracování osobních údajů ve školách, při využívání služeb sdílené mobility, při prodeji a servisu osobních motorových vozidel, v rámci věrnostních programů nebo při elektronické rezervaci návštěv u lékařů. ÚOOÚ celkem plánuje provést 9 takto zaměřených kontrol.

Z praxe ÚOOÚ a z rozhodnutí, které vydává, je však zřejmé, že většinu agendy tvoří primárně kontroly fyzických osob a kamerových systémů jimi instalovaných, které se řeší primárně na základě podnětů sousedů (tzv. sousedské spory).

Ačkoli mluvčí ÚOOÚ Ivana Draškovič tvrdí, že „obecné povědomí o ochraně osobních údajů výrazně vzrostlo,“ zůstává otázkou, zda tento nárůst povědomí skutečně vede k odpovědnějšímu zpracování údajů. Pokud ÚOOÚ během kontrol neustále naráží na zanedbávání ochrany osobních údajů, jak sama Draškovič přiznává, vyvstává otázka, zda toto „povědomí“ postačuje k zajištění skutečného dodržování pravidel.

Závěr

Z mého pohledu se ÚOOÚ stále do velké zaměřuje na menší společnosti nebo fyzické osoby (kamery při sousedských sporech), u kterých je ještě důležitější otázka, zda jsou tyto sankce dostatečně proporční vzhledem k jejich velikosti a ekonomickému postavení. V tomto kontextu by ÚOOÚ při řízení svých dozorových kapacit mohl více zohledňovat velikost a vliv subjektů, které kontroluje, a zaměřit se na skutečně systémové porušování než na jednočlenné správce údajů.

Ačkoliv úřad v roce 2024 učinil určité kroky ke zlepšení ochrany osobních údajů, stále zůstávají významné mezery, které je třeba řešit. Pokud má být ochrana osobních údajů na Slovensku efektivní a důvěryhodná, musí ÚOOÚ posílit své kontrolní kapacity, udělovat přísnější sankce (více zohledňovat metodiku Evropského sboru pro ochranu osobních údajů a nebát se přísných sankcí za závažná pochybení) a zaměřit se na systematické zlepšování svých kontrolních mechanismů. Bez těchto změn hrozí, že ochrana osobních údajů zůstane pouze na papíře, zatímco reálná rizika pro občany budou nadále narůstat.

Článek je rovněž publikován na GDPR.cz