Aktuality

Nezrozumiteľnosť legislatívy komplikuje ochranu osobných údajov

Bratislava  12.  jún  2020 –  Verejná správa nedostatočne zabezpečuje ochranu osobných údajov. Štát nemá informácie koľko financií inštitúcie potrebujú, aby plnili ustanovenia podľa Nariadenia EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov (tzv. GDPR). Kontrolóri zistili, že až 82 % subjektov, najmä menších samospráv, nemá dosť financií na zabezpečenie požadovanej úrovne ochrany údajov. Polovica subjektov pritom považuje zákon o ochrane osobných údajov a príslušné metodické usmernenia za málo zrozumiteľné. Systémové opatrenia, ktoré NKÚ SR odporúča vláde, smerujú k lepšej zrozumiteľnosti a metodickému usmerňovaniu tejto agendy zo strany zodpovedného úradu, ale tiež k otázke financovania tejto agendy.

GDPR - infografika

V máji 2019 uplynul rok od účinnosti nových pravidiel pre GDPR. NKÚ SR preto preveril ako funguje ochrana osobných údajov v podmienkach verejnej správy. Kontrolóri overili plnenie povinností na reprezentatívnej vzorke 62 subjektov miestnej a krajskej samosprávy či v kľúčových inštitúciách štátu. Na základe jasných kritérií bol proces ochrany osobných úradov vyhodnotený známkou 2,87 a národná autorita pre oblasť externej kontroly preto vidí v systéme značné rezervy (graf č. 1).

NEDOSTATOČNÁ ČI FORMÁLNA BEZPEČNOSŤ JE RIZIKOM

Kontrolóri zistili, že kvalita ochrany osobných údajov vo verejnom sektore klesá najmä s veľkosťou inštitúcie. Čím menšia samospráva, tým menej financií si môže dovoliť na zaplatenie tak počítačovej techniky či odborníkov pre oblasť informatiky či práva. Podľa zistení kontrolórov, takmer 30 percent subjektov považuje legislatívu v oblasti ochrany osobných údajov za nezrozumiteľnú a ťažko aplikovateľnú. Približne polovica kontrolovaných subjektov jej čiastočne rozumie, no dodávajú, že bez odbornej pomoci si s ňou nevedia poradiť (grafy 2 a 3).

Nesprávne pochopenie legislatívy je možné ukázať na inštitúte tzv. zodpovednej osoby. Tú musí mať každá inštitúcia, avšak GDPR túto úlohu chápe nie ako vykonávateľa agendy, ktorý za agendu nesie zodpovednosť, ale skôr ako kontrolóra, ktorý stav len monitoruje a vykonáva dohľad na spracovaním osobných údajov v rámci organizácie. Zrejme aj v dôsledku nevhodne zvoleného slovenského termínu pri preklade európskej legislatívy došlo k tomu, že len menej ako štvrtina kontrolovaných subjektov uplatňovala tento inštitút správne. 

Spolu s rozširovaním elektronickej komunikácie medzi občanmi a štátom rastú aj bezpečnostné hrozby možných útokov hackerov, ktorí sa snažia zmocniť chránených osobných údajov. Preto kontrolóri preverovali tiež to, či sú údaje získavané samosprávnymi inštitúciami od občanov dostatočne chránené. Z výsledkov vyplýva, že kontrolované subjekty nemali dostatočne spracované pravidlá pre zamestnancov ako postupovať pri ochrane získaných dát, ale riziká boli kontrolórmi identifikované tiež pri nedostatočnej ochrane IT systémov s využívaním bezpečného softvérového vybavenia.

CHÝBAJÚ FINANCIE NA INFORMAČNÉ SYSTÉMY A ĽUDSKÉ ZDROJE

Štát je povinný zabezpečiť bezpečnosť osobných údajov svojich občanov, ktoré od nich vyžaduje. Na tento účel by mal aj vyčleniť potrebné finančné prostriedky. NKÚ upozorňuje, že štát nemá prehľad o tom, koľko stojí agenda ochrany osobných údajov vo verejnej správe. Ministerstvo financií doteraz nepripravilo takúto analýzu a v konečnom dôsledku náklady ostávajú na pleciach orgánov verejnej správy. Až 81 percent inštitúcií sa pre kontrolný úrad vyjadrilo, že nemajú finančné zdroje, aby splnili všetko, čo sa od nich pri ochrane údajov očakáva (grafy 4 a 5). Bez dostatočných financií je takmer nemožné zabezpečovať akúkoľvek vysoko odbornú činnosť. O to viac v oblasti, ktorá si vyžaduje zvýšené nároky nielen na aktuálne hardvérové a softvérové vybavenie, ale aj na odmeňovanie špecialistov na ochranu osobných údajov.

GDPR - infografika 2

Mnohé, najmä menšie samosprávy si objednali externé firmy, ktoré im zabezpečujú agendu ochrany osobných údajov. Národná autorita pre oblasť externej kontroly tu však upozorňuje na riziko, že činnosť týchto súkromných spoločností nepodlieha žiadnej kontrole ani povoľovaniu, pritom majú prístup k citlivým osobným údajom. Sankcie za nedodržanie povinností vyplývajúcich zo zákona resp. z Nariadenia EÚ však hrozia len subjektom verejnej správy, nie súkromným spoločnostiam, ktoré verejným inštitúciám poskytujú službu.

GDPR - infografika 3

SYSTÉMOVÉ ODPORÚČANIA – LEPŠIA ZROZUMITEĽNOSŤ A METODICKÁ POMOC

Príslušné inštitúcie zodpovedné za dohľad nad ochranou osobných údajov by mali podľa NKÚ SR zintenzívniť informačnú, resp. komunikačnú činnosť. Úrad na ochranu osobných údajov (ÚOOÚ SR) by mal, predovšetkým svojou metodickou činnosťou a preventívnymi krokmi, pomáhať subjektom so správnou aplikáciou predpisov. Nezrozumiteľnosť zákonných povinností ohrozuje ich uplatňovanie v praxi a v konečnom dôsledku môže viesť k nedostatočnej ochrane údajov. Štát by sa preto mal zaoberať aj zmenami vo vnútroštátnej legislatíve. Slovensko má tiež rezervy v nezávislosti ÚOOÚ SR, na čo už našu krajinu upozornila Európska komisia. Ministerstvo spravodlivosti SR, v rozpore s pravidlami únie, nezabezpečilo nezávislú kontrolu nad spracovaním osobných údajov na súdoch pri výkone ich súdnej právomoci.

NKÚ SR odporúča, aby ÚOOÚ SR v spolupráci so zodpovednými inštitúciami prehodnotil či Nariadenie EÚ bolo do slovenskej legislatívy prevzaté dostatočne zrozumiteľne pre prevádzkovateľov i samotných občanov. Výsledky kontroly by mal ÚOOÚ SR v aktívnej spolupráci s rezortom financií využiť pre vypracovanie analýzy finančných nárokov na zabezpečenie ochrany osobných údajov v štátnom i verejnom sektore.

 

PRÍLOHY

Graf č. 1: Stav ochrany osobných údajov v - priemer v celej kontrolovanej vzorke

Graf 1 - Stav ochrany osobných údajov - hodnotenie - priemer 2,7

Metodika: Proces kontroly preverovania súladu prijatých opatrení s Nariadením (EÚ) a zákonom 18/2018 Z. z. bol rozdelený do samostatných ucelených oblastí, ktoré NKÚ SR preveroval komplexne, a to prostredníctvom 300 kontrolných otázok a cca 150 doplňujúcich otázok. 62 prevádzkovateľom boli kladené rovnaké otázky, ktorým bolo priradené bodové ohodnotenie (váha) od 1 do 5 so slovným hodnotením: 1 – dodržiava,  2 – čiastočne dodržiava,  3 – dodržiava s výhradami,  4 – porušuje,  5 – nedodržiava.

 

Graf č. 2 a 3: Zrozumiteľnosť legislatívy (Nariadenie, zákon č. 18/2018 Z. z.) a metodík pre prevádzkovateľov

Graf 2 a 3: Zrozumiteľnosť legislatívy

Graf č. 4 a 5: Finančné prostriedky a ľudské zdroje vyčlenené na ochranu osobných údajov

Graf 4 a 5: Finančné zdroje vyčlenené na ochranu osobných údajov

  Zdroj: Kontrolované subjekty, spracovanie NKÚ SR


Záverečná správa z kontrolnej akcie - Systém ochrany a bezpečnosti údajov vo verejnom sektore (PDF, 1,6 MB)

None

Zdielať: