Pokračující příprava na GDPR s IS Munis

Článek navazuje na předchozí představení zodpovědné přípravy na GDPR s IS Munis. Aktuálně konkretizujeme kroky, které by měly být správci a zpracovateli osobních údajů prováděny právě v tomto období tak, aby byli připraveni na 25. května 2018, kdy Nařízení Evropského parlamentu a Rady EU 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR) nabude účinnosti. Vybereme ty kroky, které se bezprostředně týkají komplexního informačního systému města či obce.

Rekapitulace ochrany osobních údajů

Ochrana osobních údajů je regulována v ČR již mnoho let. Nicméně v letošním roce dojde k celkové unifikaci této regulace na evropské úrovni, a to právě prostřednictvím zmíněného nařízení č. 2016/679. Osobní údaje smí být obecně zpracovávány pouze v určených případech, přičemž každý tento případ má svá specifika, která také vymezují práva subjektu údajů. Např. je-li zpracování prováděno z důvodu splnění právní povinnosti, nemůže subjekt údajů vznést námitku nebo se domáhat práva na výmaz. Naopak pokud je zpracování osobních údajů nezbytné pro splnění úkolu prováděného při výkonu veřejné moci, kterým je pověřen správce, může subjekt údajů vznést námitku proti takovému zpracování svých osobních údajů. Proto je třeba si správně vyhodnotit všechny aspekty zpracování osobních údajů, které organizace provádí.

Vyhledání uživatelů IS Munis podle konkrétních práv.
Obr. 1. Vyhledání uživatelů IS Munis podle konkrétních práv.

V případě měst a obcí bude nejčastějším důvodem zpracování osobních údajů splnění právní povinnosti, ačkoliv prvotní rozbory ukazovaly spíše na zpracování při výkonu veřejné moci. Pokud je však povinnost konkrétního zpracování daná zákonem včetně přesného rozsahu evidovaných údajů, pak jde o důvod splnění právní povinnosti, i když je daná agenda součástí výkonu veřejné moci. Všechny tyto aspekty by měly být zohledněny v analýze zpracování osobních údajů, jejímž výstupem budou jednak záznamy o činnostech zpracování podle čl. 30 GDPR a jednak identifikace rizik s tímto zpracováním spojených. Příprava této analýzy je jednoznačně nejdůležitější krok, kterým by se všichni správci a zpracovatelé osobních údajů měli aktuálně zabývat.

Úloha informačního systému, v němž jsou osobní údaje zpracovávány, je dvojí. Primárně musí být na základě vyhodnocených rizik správnými organizačními a technickými opatřeními zabezpečeno jejich snížení. Druhou rolí je usnadnění výkonu práv subjektu údajů. Mnoho metodických pokynů se soustředí zejména na první jmenovanou úlohu, která je spjata s právě prováděnou výše zmíněnou analýzou. Ale je vhodné se připravit i na výkon práv subjektu údajů, zejména právo přístupu, které se týká všech důvodů zpracování osobních údajů. Tedy i v případě, kdy jsou osobní údaje zpracovávány z důvodu splnění právní povinnosti, se může subjekt údajů dotázat, jaké údaje jsou o něm zpracovávány. Hned 25. května 2018 může přijít první dotaz, přičemž na vyřízení má správce 30 dnů. Kromě přípravy analýzy zpracování osobní údajů v organizaci, identifikaci rizik spojených s tímto zpracováním, stanovení vhodných opatření na jejich snížení, jmenování pověřence pro ochranu osobních údajů a revizi smluv s dodavateli informačních technologií, je vhodné si také připravit scénář postupu výkonu práv subjektu údajů, které v jednotlivých typech zpracování přichází v úvahu.

Konkrétní příprava s IS Munis

Plnotextové vyhledání osobních údajů v elektronické spisové službě Munis ERMS.
Obr. 2. Plnotextové vyhledání osobních údajů v elektronické spisové službě Munis ERMS.

Z uvedené rekapitulace problematiky ochrany osobních údajů plynou v souvislosti s komplexním informačním systémem následující okruhy:

  1. Realizace opatření pro snížení rizik plynoucích ze zpracování osobních údajů. Tato opatření jsou jak technického, tak organizačního charakteru, ale i ta organizační musí informační systém vhodně podpořit. Např. je-li stanoveno, že do matričních knih smí přistupovat pouze dva matrikáři, měl by informační systém umožnit kontrolu, že toto oprávnění nemá (byť omylem) přiřazen i jiný uživatel. Příklad tohoto ověření pro IS Munis je na Obr. 1.
  2. Revize smluvního vztahu s dodavatelem informačního systému zejména v případě, kdy je dodavatel zpracovatelem osobních údajů. Případ, kdy je dodavatel informačního systému zpracovatelem osobních údajů, není jen v hostovaných řešeních, ale také v případě různých provázaných portálových řešení. Např. informační systém Munis je navázán na portál iMunis.cz při realizaci zveřejnění obsahu úřední desky způsobem umožňujícím dálkový přístup podle § 26 správního řádu.
  3. Příprava scénářů a ověření postupů pro výkon práv subjektu údajů. V případě informačního systému měst a obcí je nejpodstatnější právo na přístup, protože ostatní práva se v případě zpracování plynoucí ze splnění právní povinnosti buď neuplatňují vůbec, nebo se uplatňují spíše automatizovaně, jako je právo na výmaz po provedení skartačního řízení. Usnadnit výkon práv subjektu údajů mohou zejména vhodné vyhledávací procesy. Příklad pro IS Munis je na Obr. 2.

Opatření pro snížení rizik

Realizace opatření pro snížení rizik plynoucích ze zpracování osobních údajů spočívá v synergickém působení organizačních a technických kroků. Mezi technické kroky patří např. správná politika hesel, která musí být podpořena organizačním opatřením zakazujícím vzájemné sdělování hesel mezi uživateli, popř. jejich zápis na okraje monitorů, spodní strany klávesnic či jiná nevhodná místa. Již z tohoto příkladu jasně plyne, že role informačního systému je v tom, aby umožnoval správná bezpečná nastavení, ale jejich vlastní aplikování je již organizační záležitostí.

Rozdělovník aktuálních přístupů k dokumentu v elektronické spisové službě Munis ERMS.
Obr. 3. Rozdělovník aktuálních přístupů k dokumentu v elektronické spisové službě Munis ERMS.

U každé agendy realizované v jednotlivém modulu informačního systému musí být jasně stanoveno, kdo má právo data zapisovat, kdo je prohlížet a v jakém rozsahu, kdo je měnit či jinak s nimi nakládat. Přístupová práva se ale nevztahují jen na konkrétní agendy, ale mohou jít až na úroveň jednotlivých záznamů a dokumentů. Příklad tohoto přístupu pro IS Munis je na Obr. 3.

Jsou případy, kdy nelze dopředu určit, který uživatel má mít přístup ke kterému záznamu, protože to závisí na aktuálních potřebách. Nicméně jednotlivé omezení je přesto v některých případech vhodné. Uvažme dva příklady. Jedním může být evidence plátců místního poplatku za psy. V rámci výkonu této agendy jsou prováděny jak úkony s jednotlivými záznamy, např. platba poplatku nebo tisk výměru, ale také hromadné operace se všemi záznamy najednou. Např. tisk složenek pro plátce za určité období. V takovém případě je jednotlivé omezení přístupu ke konkrétnímu záznamu nadbytečné a jdoucí proti smyslu takové evidence. Druhým příkladem přesně opačného charakteru je jmenný rejstřík v elektronické spisové službě. Využití konkrétního záznamu z tohoto rejstříku je vždy podmíněno potřebou práce s daným dokumentem, nebo skupinou dokumentů, popř. spisem. Nelze však dopředu definovat, který uživatel bude v daném okamžiku konkrétní záznam potřebovat, a proto se aplikuje kontrolní mechanismus, který umí zpětně prokázat jednotlivé přístupy (viz Obr. 4). Spolu se směrnicí, která bude ukládat přístup jen v oprávněných případech a jejíž dodržování bude tímto způsobem kontrolovatelné, jde o naprosto vyhovující přístup ke snížení daného rizika plynoucího ze zpracování osobních údajů ve jmenném rejstříku v elektronickém systému spisové služby.

Protokol náhledů a použití osobních údajů ve jmenném rejstříku v elektronické spisové službě Munis ERMS.
Obr. 4. Protokol náhledů a použití osobních údajů ve jmenném rejstříku v elektronické spisové službě Munis ERMS.

Revize smluvních vztahů

Revize smluvních vztahů je z pohledu měst a obcí zjednodušena, pokud si za dodavatele svého informačního systému vybrali silného partnera, který má větší množství zákazníků. Takový dodavatel musí odpovídající změny provést ve smluvních vztazích se svými zákazníky, a proto bude úprava těchto smluv iniciována z jeho strany. Společnost Triada, tvůrce a dodavatel IS Munis, připravuje pro své zákazníky aktualizaci všech adekvátních smluv, u kterých bude aktualizace s ohledem na GDPR potřeba.

Pokud organizace zakoupila jakékoliv programové vybavení a provozuje ho na své technice, nevzniká mezi ní a dodavatelem žádný vztah z pohledu osobních údajů zpracovávaných v tomto softwaru. Organizace je tedy správcem a dodavatel se nestává zpracovatelem, proto v tomto případě není nutné upravovat smluvní vztahy. Pokud dodavatel, či jiná firma, provádí na nainstalovaném HW či SW různé servisní zásahy (opravy techniky, instalace nových verzí, konzultace, podpora práce uživatelů), nejedná se zpravidla ani v tomto případě o zpracování osobních údajů. Servisní organizace je pak v postavení pověřené osoby (čl. 29 GDPR), není nutné uzavírat smlouvu o zpracování dat, ale je velice vhodné existující servisní smlouvu doplnit o část týkající se ochrany důvěrných informací. Jiná situace nastane, pokud je cílem servisního zásahu samotná manipulace s osobními údaji. Může se jednat například o hromadné převody či výmazy dat, zálohování či archivaci. V takovém případě se již jedná o zpracování osobních údajů, servisní organizace se stává zpracovatelem a tento vztah je nutné ošetřit smluvně. Stejně tak se zpracovatelem stává každý dodavatel, který organizaci poskytuje služby cloudového či hostovaného charakteru, tedy typicky provozovatel webových stránek, cloudového úložiště či jiné služby podobného charakteru, poskytovatel externího e-mailového systému nebo provozovatel kamerového systému apod.

Příprava scénářů pro výkon práv subjektu údajů

Věnujme se tomu nejtypičtějšími případu, který jistě po 25. květnu 2018 nastane, a tou je zpracování žádosti subjektu údajů podle čl. 15 GDPR, tedy uplatnění práva na přístup k osobním údajům.

Tato žádost může obsahovat jak obecné vymezení všech osobních údajů zpracovávaných správcem, tak konkrétní vymezení určitých činností, např. určitých agend. V rámci přípravy scénářů reakce na tuto žádost je třeba uvažovat tedy obě možnosti. Prvním krokem je jasné ztotožnění subjektu údajů s údaji vedenými v příslušném informačním systému. Nesmí dojít k tomu, že subjekt údajů bude (byť omylem) informován o údajích, které náleží jinému subjektu údajů a na které tedy nemá žádné právo. Takový postup by byl naopak porušením ochrany osobních údajů (blíže viz čl. 15 a čl. 20 GDPR).

Velmi podstatná je také otázka, jak vyhledávat osobní údaje patřící jednomu subjektu údajů v různých agendách. Jednoznačně se domníváme, že toto nemůže být prováděno automatizovaným způsobem, protože pak by docházelo ke slučování osobních údajů vedených pro různé účely, a to je nepřípustné. Postup by tedy měl být takový, že pověřená osoba vznese dotaz na oprávněné uživatele konkrétních agend a jejich odpovědi pak sumarizuje do celkové odpovědi subjektu údajů. Tento sumarizační postup však již může být podpořen vhodným elektronickým nástrojem, který je v rámci IS Munis aktuálně připravován. Tento nový modul umožní nejen evidenci jednotlivých případů žádostí o přístup k osobním údajům, ale také kontrolu úplnosti jednotlivých odpovědí.

IS Munis je tedy plně připraven na plnění povinností plynoucích z GDPR. Nicméně je dále rozvíjen, aby komfort naplnění nových úkolů byl pro uživatele IS Munis co největší.