BRATISLAVA – Verejná správa nedostatočne zabezpečuje ochranu osobných údajov, nezrozumiteľnosť legislatívy predstavuje komplikáciu. Štát nevie, koľko peňazí potrebujú inštitúcie, aby plnili ustanovenia podľa nariadenia EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov (GDPR).
Kontrolóri Najvyššieho kontrolného úradu (NKÚ) zistili, že 82 % subjektov – najmä menších samospráv - na to nemá dostatok financií. Informoval o tom úrad v piatok. V máji 2019 uplynul rok od účinnosti GDPR, NKÚ preto vykonalo kontrolu na reprezentatívnej vzorke 62 subjektov miestnej a krajskej samosprávy či kľúčových inštitúcií štátu. Proces ochrany osobných údajov ohodnotil úrad známkou 2,87 a v systéme vidí značné rezervy.
„Kontrolóri zistili, že kvalita ochrany osobných údajov vo verejnom sektore klesá najmä s veľkosťou inštitúcie. Čím menšia samospráva, tým menej financií si môže dovoliť na zaplatenie počítačovej techniky či odborníkov pre oblasť informatiky či práva,“ uviedol úrad s tým, že takmer 30 % subjektov považuje legislatívu GDPR za nezrozumiteľnú a ťažko aplikovateľnú. Zhruba polovica jej rozumie, ale potrebuje odbornú pomoc pri aplikácii.
Ako dodal úrad, samosprávam v tomto kontexte chýbajú financie na informačné systémy i ľudské zdroje. „NKÚ upozorňuje, že štát nemá prehľad o tom, koľko stojí agenda ochrany osobných údajov vo verejnej správe. Ministerstvo financií doteraz nepripravilo takúto analýzu a v konečnom dôsledku náklady ostávajú na pleciach orgánov verejnej správy,“ zdôraznil úrad.
Úrad tiež upozornil na to, že mnohé samosprávy si objednali externé firmy, ktoré im zabezpečujú agendu GDPR. Tie však nepodliehajú žiadnej kontrole ani povoľovaniu, pričom majú prístup k citlivým osobným údajom. „Sankcie za nedodržanie povinností vyplývajúcich zo zákona, respektíve z nariadenia EÚ však hrozia len subjektom verejnej správy, nie súkromným spoločnostiam, ktoré verejným inštitúciám poskytujú službu,“ dodal úrad.
NKÚ odporúča štátu medzi inými aj zaoberať sa zmenami vo vnútroštátnej legislatíve. Takisto odporúča, aby Úrad na ochranu osobných údajov v spolupráci so zodpovednými inštitúciami prehodnotil, či GDPR bolo do slovenskej legislatívy prevzaté dostatočne zrozumiteľne pre prevádzkovateľov a občanov.