Lucia Bezáková: Otázky o ochrane osobných údajov je potrebné riešiť na začiatku, nie „potom“
Počas dvojdňového praktického workshopu DPO Bootcamp, ktorý sme zorganizovali 24.-25. júna 2020 v Tatranskej Lomnici, sa nám naskytla možnosť porozprávať sa s Luciou Bezákovou z Úradu na ochranu osobných údajov. Skúsená právnička z odboru právnych služieb nám z pozície odborného hosťa prezradila:
- prečo ju práca v oblasti ochrany osobných údajov baví;
- prečo treba najmä v čase koronakrízy dbať o ochranu osobných údajov;
- ktorí prevádzkovatelia majú najčastejšie problém zaistiť ochranu osobných údajov;
- alebo to, s akými „odborníkmi“ sa v praxi stretáva.
Čomu sa na úrade venujete?
- Na úrade pracujem od roku 2012 ako právnička na právnom odbore, striedavo aj ako jeho hovorkyňa. Ako právnička odboru právnych služieb som si ako „zelenáč“ doteraz prešla všetkými činnosťami, ktoré právny odbor vykonáva a pre úrad zabezpečuje – či už to boli odvolacie konania, telefonické konzultácie, otázky verejnosti alebo práca na zákone o ochrane osobných údajov č. 122/2013 Z. z. Momentálne sa asi najviac venujem legislatívnej činnosti, pripomienkovaniu návrhov zákonov, otázkam verejnosti, a tak ako v minulosti, aj dnes prednášam na školeniach k ochrane osobných údajov. Moja práca a téma ochrany osobných údajov je dynamická a baví ma, pretože si nemôžem povedať, že riešim „zase to isté". Pri ochrane osobných údajov to nikdy nie je o tom istom. Musíme veľa poznať a mať naštudované iné zákony, ktoré spracúvanie osobných údajov ustanovujú, čo mne a kolegom dáva pomerne slušný prehľad v slovenskom právnom prostredí.
Vzhľadom na množstvo Vašej práce, ako je na tom úrad s personálnymi kapacitami? Vystačíte si alebo vnímate nedostatok ľudí?
- Nakoľko agenda v oblasti ochrany osobných údajov je náročná a neustále sa vyvíja, úrad do budúcna zvažuje vzhľadom na nárast agendy navýšenie počtu zamestnancov.
Aké sú aktuálne výzvy GDPR na Slovensku?
- Nariadenie je pre úrad výzvou samo o sebe v tom zmysle, že ho ešte stále musíme „tlmočiť" verejnosti. Laická, ako aj odborná verejnosť musí tiež pochopiť, že otázky spojené s ochranou a spracúvaním osobných údajov je potrebné riešiť už na začiatku legislatívnych a technických procesov. Nie je to niečo, čo sa „potom nejako dorieši“. Osobné údaje sú súkromím každého z nás a ak do neho má zasiahnuť štát alebo súkromná firma, tak by sa mali stanoviť hranice a podmienky, ako sa to bude diať. Najmä dnes, v čase koronakrízy, sa ako ďalšia výzva javí práve samotná podstata ochrany osobných údajov. Naďalej treba dbať o ich bezpečnosť, pretože na pozadí ochrany zdravia ľudí sa z ochrany osobných údajov môže nakoniec stať iba obyčajný slovný obrat.
Aké sú najčastejšie problémy firiem, ktoré sa na úrad obracajú?
- Firmy s nami riešia najmä konkrétne riešenia spracúvania osobných údajov. Ide napríklad o otázky bezpečnosti a otázky týkajúce sa právnych základov nariadenia GDPR. V množstve prípadov však už prevádzkovatelia majú v rámci otázky navrhnuté aj riešenia a náhľady, ako chcú situáciu riešiť. Z nášho pohľadu ide o veľmi správny postoj, nakoľko úrad zohľadní v rámci svojej odpovede len to, čo mu prevádzkovateľ v otázke „prezradí“.
V rámci ktorého sektora vnímate najväčší nedostatok zaistenia ochrany osobných údajov?
- Nedostatky sa nájdu u mnohých prevádzkovateľov z rôznych segmentov, avšak často sa úrad stretáva s nedostatkami v prostredí obcí, najmä tých menších.
V prípade pokút udeľovaných úradom, akú najväčšiu pokutu ste udelili v minulom roku?
- V minulom roku bola uložená najvyššia pokuta vo výške 50 000 eur za porušenie a nedostatočné stanovenie bezpečnostných opatrení.
Ako hodnotíte pripravenosť odborníkov, ktorí poskytujú poradenstvo v tejto oblasti? Sú ich znalosti dostatočné alebo existuje priestor pre ďalšie vzdelávanie?
- Je to rôzne. Za seba a z vlastnej skúsenosti môžem povedať, že som sa stretla s ľuďmi, ktorí sú na expertnej úrovni, otvorení, pripravení dávať riešenia a diskutovať. Na druhej strane sú tu samozrejme však aj takí, ktorí v „poradenstve“ vidia predovšetkým zisk. Takíto odborníci mnohokrát poskytujú klientovi len vzorcové riešenia na princípe COPY&PASTE, ktoré nezohľadňujú jeho konkrétne propozície. Klient si to v horšom prípade uvedomí, až keď je neskoro a vyskytne sa bezpečnostný incident, alebo v lepšom prípade, ak ho na nedostatky niekto upozorní. Hodnotiť úroveň odborníkov paušálne je veľmi ťažké a nie je možné hádzať všetkých do jedného vreca. Z môjho pohľadu je ale nevyhnutné, aby mal daný odborník naštudovanú potrebnú legislatívu a aby bol ochotný komunikovať.
Máte na starosti ochranu osobných údajov? Staňte sa členom DPO Clubu!
Workshopy DPO Bootcamp sú určené pre odborníkov, ktorí sa chcú dozvedieť o praktických ukážkach a návrhoch na riešenie problémov, s ktorými sa pri ochrane osobných údajov môžu stretnúť. Ak máte záujem o podobné školenia, dajte nám o sebe vedieť na stránke DPO Bootcampu, prípadne sa staňte členom DPO Clubu a nadviažte nové kontakty s kolegami z brandže!
DPO Club predstavuje nezávislú slovensko-českú komunitu zodpovedných osôb (DPO), manažérov zodpovedných za riadenie procesov pre zabezpečenie súladu spracúvania osobných údajov s GDPR, osôb zodpovedných za návrh procesov, ich riadenie, manažment, posudzovanie, osôb zodpovedných za manažovanie rizík, zodpovedných za schvaľovanie postupov a procesov a ich súladu s GPDR.
DPO Club poskytuje priestor pre odbornú komunitu a budovanie profesionálnej siete odborníkov, ktorí sú zahrnutí do aktívnych diskusií, riešia problémy, zdieľajú svoje skúsenosti a tým sa spolupodieľajú na zlepšovaní a zefektívňovaní procesov v tejto oblasti.