Správa sumarizuje právoplatné rozhodnutia úradu a prináša aj prehľad pokút, ktoré ÚOOÚ za rok 2021 udelil. Najvyššia pokuta bola vo výške 13.300 eur, najnižšia známa 500 eur. Správa spomína aj pokutu vo výške 40.000 eur (celkovo druhú najvyššiu pokutu uloženú v režime GDPR v SR), ktorá však nadobudla právoplatnosť až v roku 2022, a preto v sumáre nie je detailne spracovaná. V správe sa spomína aj neúspešná voľba predsedu Úradu na ochranu osobných údajov, ale aj Národná stratégia kybernetickej bezpečnosti. Pozitívne vníma rozhodnutie Ústavného súdu SR v prípade eKasa, ktoré pomôže lepšie chápať pojem osobné údaje a pracovať s ním. Zároveň umožní kvalitnejšie formulovať právne normy, ktoré majú slúžiť ako právny základ spracúvania osobných údajov a v neposlednom rade aj chápať mantinely štátu pri zbere dát, vrátane nemožnosti zbierať dáta pre prípadnú potrebu v budúcnosti.
V prvej časti správa hodnotí legislatívne udalosti, kde spomína novelu zákona o kyberbezpečnosti a informačných technológiach vererjnej správy, novelu zákona o ochrane osobných údajov, ale aj nový zákon o elektronických komunikáciách (ZEK). Kým v prvých dvoch prípadoch išlo skôr o kozmetické úpravy, ako problematický vníma správa nový ZEK účinný od 1. februára 2022. Zmeny v ňom sa dotkli predovšetkým tele-marketingu: „V zásade došlo k liberalizácií tele-marketingových volaní bez akejkoľvek verejnej debaty v rámci legislatívneho konania alebo mimo neho. Tieto nové pravidlá neboli totiž v pôvodnom vládnom návrhu zákona z leta 2021 a dostali do znenia ZEK až pozmeňujúcim návrhom skupiny poslancov. Napriek tomu sa zdá, že Úrad pre reguláciu je s týmito diametrálne odlišnými pravidlami stotožnený, aj keď nie je ich autorom.“
Odborníci považujú zmeny, ktoré nový zákon priniesol, za kontroverzné a nerealizovateľné v súlade s GDPR, niektoré zo zmien v § 116 ZEK dokonca až za diskriminačné z pohľadu Ústavy SR a základných ľudských práv, najmä vo vzťahu k fyzickým osobám podnikateľom, ktorí majú podľa nových pravidiel nižšiu úroveň ochrany proti tele-marketingu ako fyzické osoby. ZEK navyše ponecháva dohľad nad príslušnými ustanoveniami (napr. oblasť cookies) aj naďalej Úradu pre reguláciu v elektronických komunikácií a poštových služieb. Dohľad nad ustanoveniami GDPR je pritom v pôsobnosti Úradu na ochranu osobných údajov. „Viacero prípadov z roku 2021 potvrdzuje, že témy ePrivacy a GDPR nemožno ani legislatívne ani v praxi oddeľovať. Obe témy sú nakoľko previazané, že sa im podľa nášho názoru musí venovať jeden regulátor, obdobne ako je tomu v mnohých členských krajinách, vrátane Českej republiky. Možnosť takejto voľby podľa ePrivacy smernice máme, ale nevyužívame ju, čím táto oblasť nesmierne trpí. Netreba sa potom čudovať, že 9 z 10 webstránok a mobilných aplikácií na Slovensku nespĺňa základné podmienky ePrivacy a GDPR“, upozorňuje Jakub Berthoty.
