Elektronická spisová služba a zákon o ochraně osobních údajů Vanda Foldová (vanda.foldova@uoou.cz) Úřad pro ochranu osobních údajů DRMS fórum & Kancelář 21. století Říjen 2011
Nejdůležitější ustanovení zákona kapitola 2 Dotazy kapitola 3 Obsah Úvod kapitola 1 Nejdůležitější ustanovení zákona kapitola 2 Dotazy kapitola 3 Závěr kapitola 4
Koncept „Privacy by Design“ Úvod Elektronická spisová služba sama o sobě ochranu osobních údajů ani nezaručuje ani neohrožuje. Právo na ochranu osobních údajů – součást práva na ochranu soukromého života (čl. 10 odst. 3 Listiny): Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním, nebo jiným zneužíváním údajů o své osobě. Koncept „Privacy by Design“ takový přístup k ochraně soukromí, který zahrnuje zakotvení zásad ochrany soukromí již ve fázi návrhů různých technologií či situací, tj. uplatňování požadavků souvisejících s ochranou osobních údajů co nejdříve od počátečních fází existence (nejen) technologických novinek. obdobně „Privacy Enhanced Technologies (PETs)“
Úvod 1. úprava práva na ochranu osobních údajů v ČR – zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech. Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů Předmět úpravy: naplnění práva na ochranu před neoprávněným zasahováním do soukromí, upravuje práva a povinnosti při zpracování údajů, stanoví podmínky předávání údajů do jiných států.
Nejdůležitější ustanovení zákona Smlouva o zpracování osobních údajů (§ 6) předepsaná písemná forma obsah: v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá , záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů (k tomu více § 13). Z hlediska ochrany osobních údajů základní smluvní dokument mezi subjektem, který elektronickou spisovou službu užívá, a externím subjektem, který zajišťuje další administraci systému.
Nejdůležitější ustanovení zákona Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů platí i po ukončení zpracování osobních údajů, bezpečnost: objektová, technická, bezpečnost informačních systémů a personální. Správce nebo zpracovatel je povinen uvedená opatření zpracovat a dokumentovat (tzn. administrativní opatření). Bezpečnostní opatření – podpůrné normy: zákon o archivnictví a spisové službě, zákon o ochraně utajovaných informací s prováděcími předpisy.
Nejdůležitější ustanovení zákona V rámci opatření správce nebo zpracovatel posuzuje rizika týkající se: plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům, zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a opatření, která umožní určit a ověřit, komu byly osobní údaje předány. Kvalitní a kvalifikované posouzení rizik je základním předpokladem pro řádné splnění povinností týkajících se bezpečnosti zpracovávaných osobních údajů.
Nejdůležitější ustanovení zákona V oblasti automatizovaného zpracování osobních údajů je správce nebo zpracovatel v rámci opatření povinen také zajistit, aby systémy používaly pouze oprávněné osoby, zajistit, aby fyzické osoby oprávněné k používání systémů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a zabránit neoprávněnému přístupu k datovým nosičům. Automatizované zpracovaní obecně znamená zvýšené riziko vážných následků neoprávněného zpracování osobních údajů, proto vyžaduje přísnější pravidla.
Nejdůležitější ustanovení zákona Povinnost zpracovávat údaje pouze za podmínek a v rozsahu správcem stanoveném zaměstnanci a jiné osoby zpracovávající údaje na základě smlouvy, zaměstnanec potrestán pouze v rámci pracovněprávního vztahu. Povinnost mlčenlivosti zaměstnanci, jiné osoby, které zpracovávají údaje na základě smlouvy se správcem, a další osoby, které přicházejí s údaji do styku u správce nebo zpracovatele, o údajích samotných, ale i o bezpečnostních opatřeních, i po skončení zaměstnání, pokutou do výše 100.000 Kč + i v rámci pracovněprávního vztahu. Ochrana osobních údajů je víc než povinnost mlčenlivosti – je založená na „need to know“; tzn. každý má přístup jen k takovým informacím, které ke své činnosti opravdu potřebuje.
Nejdůležitější ustanovení zákona Obsah povinnosti zabezpečit osobní údaje: posoudit hrozící rizika, přijmout odpovídající opatření (včetně vytvoření odpovídající dokumentace), provést tato opatření v praxi, poučit a proškolit zaměstnance, kontrolovat dodržování přijatých opatření, vše výše uvedené dle potřeby pravidelně aktualizovat. Nejsou-li splněny všechny komponenty, nelze hovořit o řádném zabezpečení osobních údajů.
K dotazům Na zpracování osobních údajů prostřednictvím elektronické spisové služby se nevztahuje oznamovací povinnost podle § 16 zákona, neboť se jedná o zpracování, které správci ukládá zvláštní zákon, kterým je zákon č. 499/2004 Sb., o archivnictví a spisové službě [viz výjimka stanovená v § 18 odst. 1 písm. b) zákona č. 101/2000 Sb.]. Zaměstnanci musí mít v systému přiděleny role tak, aby to odpovídalo požadavku § 13 odst. 4 písm. b) zákona; tj. musí se jednat o individualizovaná uživatelská oprávnění, na základě kterých mají přístup pouze k těm údajům, které odpovídají jejich pracovnímu zařazení a pouze k činnostem spadajícím do jejich pracovní náplně. O všech svých povinnostech musí být řádně poučeni.
K dotazům V elektronické spisové službě mohou být zpracovávány pouze takové osobní údaje, k jejichž zpracování je správce oprávněn a pouze za týmž účelem, resp. účelem stanoveným zvláštním zákonem. Zpracování rodného čísla/data narození ve jmenném rejstříku elektronické spisové služby umožňuje jej § 64 zákona o archivnictví a spisové službě, který odst. 7 stanoví též účel zpracování, tj. vyhledávání v tomto rejstříku, jedná se o automatizované zpracování osobních údajů, tzn. měla by být současně splněna podmínka rozdělení rolí v systému i povinnost logování [viz § 13 odst. 4 písm. b) a c) zákona č. 101/2000 Sb.], datum narození, ani rodné číslo není třeba uvádět na obálku pro přesnou identifikaci adresáta – dostačuje rok narození.
Další dotazy lze zodpovědět prostřednictvím: Závěr Další dotazy lze zodpovědět prostřednictvím: www.uoou.cz (právní předpisy, stanoviska, kontakty), posta@uoou.cz (žádosti o konzultace, podání, stížnosti), vanda.foldova@uoou.cz Je třeba hledat, kdy lze maximální efektivity dosáhnout při minimálním zásahu do práv subjektu údajů.
Děkuji Vám za pozornost! A těším se na Vaše případné dotazy. Vanda Foldová (vanda.foldova@uoou.cz) Říjen 2011