Elektronická spisová služba a zákon o ochraně osobních údajů

1. Elektronická spisová služba a zákon o ochraně osobních údajů Vanda Foldová (vanda.foldova@uoou.cz) Úřad pro ochranu osobních údajů DRMS fórum & Kancelář 21. století Říjen 2011

2. Obsah Úvod kapitola 1 Nejdůležitější ustanovení zákona kapitola 2 Dotazy kapitola3 Závěr kapitola4

3. Úvod • Právo na ochranu osobních údajů – součást práva na ochranu soukromého života (čl. 10 odst. 3 Listiny): • Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním, nebo jiným zneužíváním údajů o své osobě. • Koncept „Privacy by Design“ • takový přístup k ochraně soukromí, který zahrnuje zakotvení zásad ochrany soukromí již ve fázi návrhů různých technologií či situací, tj. uplatňování požadavků souvisejících s ochranou osobních údajů co nejdříve od počátečních fází existence (nejen) technologických novinek. • obdobně „Privacy Enhanced Technologies (PETs)“ • Elektronická spisová služba sama o sobě ochranu osobních údajů ani nezaručuje ani neohrožuje.

4. Úvod • Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů • Předmět úpravy: • naplnění práva na ochranu před neoprávněným zasahováním do soukromí, • upravuje práva a povinnosti při zpracování údajů, • stanoví podmínky předávání údajů do jiných států. 1. úprava práva na ochranu osobních údajů v ČR – zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech.

5. Nejdůležitější ustanovení zákona • Smlouva o zpracování osobních údajů (§ 6) • předepsaná písemná forma • obsah: • v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá , • záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů (k tomu více § 13). • Z hlediska ochrany osobních údajů základní smluvní dokument mezi subjektem, který elektronickou spisovou službu užívá, a externím subjektem, který zajišťuje další administraci systému.

6. Nejdůležitější ustanovení zákona • Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů • platí i po ukončení zpracování osobních údajů, • bezpečnost: objektová, technická, bezpečnost informačních systémů a personální. • Správce nebo zpracovatel je povinen uvedená opatření zpracovat a dokumentovat (tzn. administrativní opatření). • Bezpečnostní opatření – podpůrné normy: zákon o archivnictví a spisové službě, zákon o ochraně utajovaných informací s prováděcími předpisy.

7. Nejdůležitější ustanovení zákona • V rámci opatření správce nebo zpracovatel posuzuje rizika týkající se: • plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům, • zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, • zabránění neoprávněnémučtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a • opatření, která umožní určit a ověřit, komu byly osobní údaje předány. • Kvalitní a kvalifikované posouzení rizik je základním předpokladem pro řádné splnění povinností týkajících se bezpečnosti zpracovávaných osobních údajů.

8. Nejdůležitější ustanovení zákona • V oblasti automatizovaného zpracování osobních údajů je správce nebo zpracovatel v rámci opatření povinen také • zajistit, aby systémy používaly pouze oprávněné osoby, • zajistit, aby fyzické osoby oprávněné k používání systémů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, • pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a • zabránit neoprávněnému přístupu k datovým nosičům. • Automatizované zpracovaní obecně znamená zvýšené riziko vážných následků neoprávněného zpracování osobních údajů, proto vyžaduje přísnější pravidla.

9. Nejdůležitější ustanovení zákona • Povinnost zpracovávat údaje pouze za podmínek a v rozsahu správcemstanoveném • zaměstnanci a jiné osoby zpracovávající údaje na základě smlouvy, • zaměstnanec potrestán pouze v rámci pracovněprávního vztahu. • Povinnost mlčenlivosti • zaměstnanci, jiné osoby, které zpracovávají údaje na základě smlouvy se správcem, a další osoby, které přicházejí s údaji do styku u správce nebo zpracovatele, • o údajích samotných, ale i o bezpečnostních opatřeních, • i po skončení zaměstnání, • pokutou do výše 100.000 Kč + i v rámci pracovněprávního vztahu. • Ochrana osobních údajů je víc než povinnost mlčenlivosti – je založená na „need to know“; tzn. každý má přístup jen k takovým informacím, které ke své činnosti opravdu potřebuje.

10. Nejdůležitější ustanovení zákona • Obsah povinnosti zabezpečit osobní údaje: • posoudit hrozící rizika, • přijmout odpovídající opatření (včetně vytvoření odpovídající dokumentace), • provést tato opatření v praxi, • poučit a proškolit zaměstnance, • kontrolovat dodržování přijatých opatření, • vše výše uvedené dle potřeby pravidelně aktualizovat. • Nejsou-li splněny všechny komponenty, nelze hovořit o řádném zabezpečení osobních údajů.

11. K dotazům Na zpracování osobních údajů prostřednictvím elektronické spisové služby se nevztahuje oznamovací povinnost podle § 16 zákona, neboť se jedná o zpracování, které správci ukládá zvláštní zákon, kterým je zákon č. 499/2004 Sb., o archivnictví a spisové službě [viz výjimka stanovená v § 18 odst. 1 písm. b)zákona č. 101/2000 Sb.]. Zaměstnanci musí mít v systému přiděleny role tak, aby to odpovídalo požadavku § 13 odst. 4 písm. b) zákona; tj. musí se jednat o individualizovaná uživatelská oprávnění, na základě kterých mají přístup pouze k těm údajům, které odpovídají jejich pracovnímu zařazení a pouze k činnostem spadajícím do jejich pracovní náplně. O všech svých povinnostech musí být řádně poučeni.

12. K dotazům • V elektronické spisové službě mohou být zpracovávány pouze takové osobní údaje, k jejichž zpracování je správce oprávněn a pouze za týmž účelem, resp. účelem stanoveným zvláštním zákonem. • Zpracování rodného čísla/data narození ve jmenném rejstříku elektronické spisové služby • umožňuje jej § 64 zákona o archivnictví a spisové službě, který odst. 7 stanoví též účel zpracování, tj. vyhledávání v tomto rejstříku, • jedná se o automatizované zpracování osobních údajů, tzn. měla by být současně splněna podmínka rozdělení rolí v systému i povinnost logování [viz § 13 odst. 4 písm. b) a c) zákona č. 101/2000 Sb.], • datum narození, ani rodné číslo není třeba uvádět na obálku pro přesnou identifikaci adresáta – dostačuje rok narození.

13. Závěr • Další dotazy lze zodpovědět prostřednictvím: www.uoou.cz(právní předpisy, stanoviska, kontakty), posta@uoou.cz(žádosti o konzultace, podání, stížnosti), vanda.foldova@uoou.cz • Je třeba hledat, kdy lze maximální efektivity dosáhnout při minimálním zásahu do práv subjektu údajů.

14. Děkuji Vám za pozornost! A těším se na Vaše případné dotazy. Vanda Foldová (vanda.foldova@uoou.cz) Říjen 2011