Účelom tejto kontroly malo byť najmä preverenie súladu konania orgánov verejnej správy so všeobecne záväznými právnymi predpismi, ktoré platia pre ochranu osobných údajov a zriadenie nového orgánu, ktorý by dozeral na spracúvanie osobných údajov na súdoch pri výkone ich súdnej právomoci.
Nezrozumiteľnosť a zlý preklad
Kontrolór pri výkone kontroly vo verejnom sektore zistil, že 45% kontrolovaných subjektov považuje prijatú legislatívu za čiastočne nezrozumiteľnú a až 28% kontrolovaných subjektov sa vyjadrilo, že legislatíva v tejto oblasti je náročná, nezrozumiteľná a ťažko aplikovateľná bez odbornej pomoci. Problém nastáva aj pri zlom preklade inštitútu tzv. zodpovednej osoby. V skutočnosti má ísť o osobu, ktorá ma za agendu v oblasti GDPR zodpovednosť, vo verejnej správe ju veľakrát chápu ako osobu kontrolóra, ktorá monitoruje a vykonáva dohľad na spracovanie osobných údajov. Tieto problémy zväčša nastávajú práve v menších inštitúciách, kde je primárnym problémom absencia financií na zaplatenie odborníka pre túto oblasť práva. Ďalším zásadným problémom, ktorý komplikuje správnu aplikáciu nariadení v oblasti GDPR je nedostatočná úroveň technických a organizačných opatrení. Z výsledkov kontroly vyplynulo, že kontrolované subjekty nemali dostatočnú ochranu IT systémov s využívaním bezpečnostného softvérového vybavenia, čo pri prudkom náraste elektronickej komunikácie s verejnou správou predstavuje problém.
V uvedenej súvislosti je potrebné pripomenúť že Slovenská republika je ako členský štát EÚ povinná postarať sa v súlade s princípmi, ktoré sú zakotvené v Nariadeniach EÚ o bezpečnosť osobných údajov svojich občanov. Na tento účel by teda štát mal vyčleniť pre orgány štátnej správy a samosprávy potrebné finančné prostriedky. Bez dostatočných finančných prostriedkov je totiž zabezpečiť akúkoľvek odbornú činnosť spravidla nemožné.
Odporúčanie kontrolóra
Väčšia časť vzorky kontrolovanej verejnej správy mala vytvorené opatrenia vo forme pokynov, z ktorých vyplývalo, ako majú pri jednotlivých situáciách postupovať, avšak popri kontrole boli prijaté závery, že tieto pokyny neboli tak podrobné, aby pokrývali celý rozsah požiadaviek príslušnej európskej legislatívy. Najlepšie na tom obstáli okresné mestá a najhoršie menšie mestá a obce.
Najvyšší kontrolný úrad Slovenskej republiky preto odporúča zodpovedným inštitúciám prehodnotiť, či Nariadenie GDPR bolo do slovenskej legislatívy prevzaté dostatočne zrozumiteľné a zároveň poukazuje na to, že právny jazyk nariadenia EÚ je zložitý a o to ťažšie je aplikovať ho priamo. Zákon č. 18/2018 Z. z. o ochrane osobných údajov už viacero subjektov vyhodnotilo ako nezrozumiteľný a vnútorne rozporný. Zrozumiteľnosti neprispieva ani to, že sa prevzalo doslovne celé znenie Nariadenia EÚ, čo zároveň kritizuje viacero odborníkov z oblasti európskeho práva a to v otázke vhodnosti tohto postupu, ktorým je doslovné prevzatie právneho aktu EÚ namiesto prispôsobenia jeho ustanovení ako aj jazyka, slovenskému právnemu poriadku.
Zároveň ako odporúčanie uvádza aj v spolupráci s Ministerstvom financií Slovenskej republiky, vypracovať analýzu, ktorá by poskytla ucelený obraz o tom, koľko finančných prostriedkov by mal štát vynakladať ročne na ľudské zdroje, technické a organizačné opatrenia pre zabezpečenie ochrany osobných údajov.