Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Elektronická spisová služba a zákon o ochraně osobních údajů Vanda Foldová Úřad pro ochranu osobních údajů.

Podobné prezentace


Prezentace na téma: "Elektronická spisová služba a zákon o ochraně osobních údajů Vanda Foldová Úřad pro ochranu osobních údajů."— Transkript prezentace:

1 Elektronická spisová služba a zákon o ochraně osobních údajů Vanda Foldová Úřad pro ochranu osobních údajů DRMS fórum & Kancelář 21. století Říjen 2011

2 2 Obsah Úvodkapitola 1 Nejdůležitější ustanovení zákonakapitola 2 Dotazy kapitola 3 Závěr kapitola 4

3 3 Elektronická spisová služba sama o sobě ochranu osobních údajů ani nezaručuje ani neohrožuje. Úvod  Právo na ochranu osobních údajů – součást práva na ochranu soukromého života (čl. 10 odst. 3 Listiny): –Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním, nebo jiným zneužíváním údajů o své osobě.  Koncept „Privacy by Design“ –takový přístup k ochraně soukromí, který zahrnuje zakotvení zásad ochrany soukromí již ve fázi návrhů různých technologií či situací, tj. uplatňování požadavků souvisejících s ochranou osobních údajů co nejdříve od počátečních fází existence (nejen) technologických novinek.  obdobně „Privacy Enhanced Technologies (PETs)“

4 4 1. úprava práva na ochranu osobních údajů v ČR – zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech. Úvod  Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů –Předmět úpravy: 1.naplnění práva na ochranu před neoprávněným zasahováním do soukromí, 2.upravuje práva a povinnosti při zpracování údajů 2.upravuje práva a povinnosti při zpracování údajů, 3.stanoví podmínky předávání údajů do jiných států.

5 5 Nejdůležitější ustanovení zákona  Smlouva o zpracování osobních údajů (§ 6) –předepsaná písemná forma –obsah: 1.v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá, 2.záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů (k tomu více § 13). Z hlediska ochrany osobních údajů základní smluvní dokument mezi subjektem, který elektronickou spisovou službu užívá, a externím subjektem, který zajišťuje další administraci systému.

6 6 Nejdůležitější ustanovení zákona  Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů –platí i po ukončení zpracování osobních údajů, –bezpečnost: objektová, technická, bezpečnost informačních systémů a personální.  Správce nebo zpracovatel je povinen uvedená opatření zpracovat a dokumentovat (tzn. administrativní opatření). Bezpečnostní opatření – podpůrné normy: zákon o archivnictví a spisové službě, zákon o ochraně utajovaných informací s prováděcími předpisy.

7 7 Nejdůležitější ustanovení zákona  V rámci opatření správce nebo zpracovatel posuzuje rizika týkající se: 1.plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům, 2.zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, 3.zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a 4.opatření, která umožní určit a ověřit, komu byly osobní údaje předány. Kvalitní a kvalifikované posouzení rizik je základním předpokladem pro řádné splnění povinností týkajících se bezpečnosti zpracovávaných osobních údajů.

8 8 Nejdůležitější ustanovení zákona  V oblasti automatizovaného zpracování osobních údajů je správce nebo zpracovatel v rámci opatření povinen také 1.zajistit, aby systémy používaly pouze oprávněné osoby, 2.zajistit, aby fyzické osoby oprávněné k používání systémů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, 3.pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a 4.zabránit neoprávněnému přístupu k datovým nosičům. Automatizované zpracovaní obecně znamená zvýšené riziko vážných následků neoprávněného zpracování osobních údajů, proto vyžaduje přísnější pravidla.

9 9 Nejdůležitější ustanovení zákona  Povinnost zpracovávat údaje pouze za podmínek a v rozsahu správcem stanoveném –zaměstnanci a jiné osoby zpracovávající údaje na základě smlouvy, –zaměstnanec potrestán pouze v rámci pracovněprávního vztahu.  Povinnost mlčenlivosti –zaměstnanci, jiné osoby, které zpracovávají údaje na základě smlouvy se správcem, a další osoby, které přicházejí s údaji do styku u správce nebo zpracovatele, –o údajích samotných, ale i o bezpečnostních opatřeních, –i po skončení zaměstnání, –pokutou do výše Kč + i v rámci pracovněprávního vztahu. Ochrana osobních údajů je víc než povinnost mlčenlivosti – je založená na „need to know“; tzn. každý má přístup jen k takovým informacím, které ke své činnosti opravdu potřebuje.

10 10 Nejdůležitější ustanovení zákona  Obsah povinnosti zabezpečit osobní údaje: 1.posoudit hrozící rizika, 2.přijmout odpovídající opatření (včetně vytvoření odpovídající dokumentace), 3.provést tato opatření v praxi, 4.poučit a proškolit zaměstnance, 5.kontrolovat dodržování přijatých opatření, 6.vše výše uvedené dle potřeby pravidelně aktualizovat. Nejsou-li splněny všechny komponenty, nelze hovořit o řádném zabezpečení osobních údajů.

11 K dotazům  Na zpracování osobních údajů prostřednictvím elektronické spisové služby se nevztahuje oznamovací povinnost podle § 16 zákona, neboť se jedná o zpracování, které správci ukládá zvláštní zákon, kterým je zákon č. 499/2004 Sb., o archivnictví a spisové službě [viz výjimka stanovená v § 18 odst. 1 písm. b) zákona č. 101/2000 Sb.].  Zaměstnanci musí mít v systému přiděleny role tak, aby to odpovídalo požadavku § 13 odst. 4 písm. b) zákona; tj. musí se jednat o individualizovaná uživatelská oprávnění, na základě kterých mají přístup pouze k těm údajům, které odpovídají jejich pracovnímu zařazení a pouze k činnostem spadajícím do jejich pracovní náplně. O všech svých povinnostech musí být řádně poučeni. 11

12 K dotazům  V elektronické spisové službě mohou být zpracovávány pouze takové osobní údaje, k jejichž zpracování je správce oprávněn a pouze za týmž účelem, resp. účelem stanoveným zvláštním zákonem.  Zpracování rodného čísla/data narození ve jmenném rejstříku elektronické spisové služby –umožňuje jej § 64 zákona o archivnictví a spisové službě, který odst. 7 stanoví též účel zpracování, tj. vyhledávání v tomto rejstříku, –jedná se o automatizované zpracování osobních údajů, tzn. měla by být současně splněna podmínka rozdělení rolí v systému i povinnost logování [viz § 13 odst. 4 písm. b) a c) zákona č. 101/2000 Sb.], –datum narození, ani rodné číslo není třeba uvádět na obálku pro přesnou identifikaci adresáta – dostačuje rok narození. 12

13 13 Závěr  Další dotazy lze zodpovědět prostřednictvím: (právní předpisy, stanoviska, kontakty), (žádosti o konzultace, podání, stížnosti), Je třeba hledat, kdy lze maximální efektivity dosáhnout při minimálním zásahu do práv subjektu údajů.

14 Děkuji Vám za pozornost! A těším se na Vaše případné dotazy. Vanda Foldová Říjen 2011


Stáhnout ppt "Elektronická spisová služba a zákon o ochraně osobních údajů Vanda Foldová Úřad pro ochranu osobních údajů."

Podobné prezentace


Reklamy Google