GDPRInformační systém Munis a GDPR

[ GDPR ]

Nové povinnosti od 25. května 2018

GDPR nově definuje práva subjektů údajů ve vztahu ke správci a zpracovateli. Jedná se především o právo na přístup k osobním údajům – tedy správce či zpracovatel musí subjektu údajů (osobě) sdělit, jaké osobní údaje a proč o něm zpracovává. Počátkem dubna představíme nový zpoplatněný modul GDPR asistent, který usnadní činnosti související se zajištěním výkonu práv subjektu údajů. Modul umožní vedení evidence žádostí, vyhledání osobních údajů občana v IS a sestavení odpovědi pomocí šablony. Postupně budou přidávány funkce pro vyřízení námitky a omezení zpracování, výmazu dat po ukončení zpracování. V případech, kdy je zpracování založeno na plnění smlouvy nebo souhlasu, bude možná také přenositelnost osobních údajů – tedy export do XML.

Příprava IS Munis na GDPR

Zpracovávané osobní údaje

V IS Munis jsou zpracovávány osobní údaje tří základních kategorií subjektů údajů (osob):

  • Zaměstnanci zákazníka, případně další pověřené osoby – zastupitelé apod. Zde se jedná o zpracování z důvodu splnění právních povinností (pracovněprávní, mzdové, sociální a zdravotní pojištění, …) – v tomto případě jsou rozsah osobních údajů i doba zpracování určeny právním předpisem a zákazník by měl zajistit, že tyto hranice nepřekračuje (např. shromažďováním osobních údajů, které nejsou nezbytně nutné k naplnění účelu). Dalším důvodem může být oprávněný zájem zaměstnavatele (např. síťová a IT bezpečnost).
  • Obchodní partneři, tedy osoby se kterými má zákazník smluvní vztah. Kromě běžných případů dodavatelsko-odběratelských vztahů se bude jednat např. i o evidenci pronájmů zahrádek, pronájmu sportoviště, poskytování přístupu k wifi nebo pořádání zájezdů. Zde se jedná o zpracování z důvodu plnění smlouvy (rozsah a doba zpracování záleží na účelu smlouvy). Samozřejmě i v tomto případě existuje zákonný důvod splnění právní povinnosti – zejména předpisy z oblasti daňové.
  • Občané, jejichž osobní údaje zpracovává zákazník v rámci činnosti orgánu veřejné moci. Zde se jedná o zpracování z důvodu splnění právní povinnosti, přičemž příliš nezáleží, zda se jedná o přenesenou působnost nebo samosprávnou činnost. V některých případech, kdy legislativa přímo nestanovuje způsob provedení, se může jednat i o zpracování prováděné při výkonu veřejné moci nebo ve veřejném zájmu.

V žádném z těchto případů nedochází k podstatným změnám oproti stávajícímu stavu. To znamená, že pokud zákazník v IS zpracovává nyní osobní údaje a má pro to zákonné důvody a účely, bude pokračovat ve zpracování obdobným způsobem i po datu účinnosti GDPR. Z tohoto důvodu není potřeba k datu účinnosti nařízení instalovat žádný zcela zásadní upgrade IS Munis. Většina úkolů, které kvůli GDPR budou muset uživatelé jakéhokoliv informačního systému splnit, je dlouhodobého charakteru a datum 25. května 2018 nepředstavuje žádný významný zlom. Jsou však oblasti, které budeme v IS Munis v souvislosti s GDPR upravovat.

Bezpečnost

Již od aktualizace v lednu 2018 se zaměřujeme na základní bezpečnost IS Munis – tedy přihlašování uživatelů, přidělování práv a protokolování přihlášení a změn práv. Zejména vetší úřady by měly věnovat pozornost kontrole, zda v IS nemají „mrtvé duše“ a zda všichni uživatelé mají nastavena práva v rozsahu potřebném pro svoji práci. Nově do IS Munis připravujeme možnost nastavení politiky hesel – tedy požadované délky a složitosti. Systém bude také sledovat neúspěšné pokusy o přihlášení a umožní zjistit, jaká oprávnění měl uživatel při každém přihlášení k IS.

Prokazování

Připravujeme také řešení pro centrální protokolování přístupu k osobním údajům v IS. K této problematice zatím neexistují všeobecně uznávané výklady zabývající se rozsahem protokolování – tedy zejména, zda postačuje zaznamenání přístupu až v případě, kdy uživatel pracuje s osobními údaji konkrétního člověka, nebo je nutné zaznamenávat přístup při každém nahlížení do seznamu nebo přípravě tiskové sestavy zahrnující více osob. Je pravděpodobné, že konečná podoba protokolování bude k dispozici až po datu účinnosti GDPR.

Zákonné důvody a účel zpracování

Správce osobních údajů musí být schopen určit, z jakého zákonného důvodu a za jakým účelem zpracovává každý osobní údaj. Prozatím předpokládáme, že tyto skutečnosti vyplývají především z konkrétní agendy a modulu IS Munis, ve kterém se zpracování provádí. Nicméně některé moduly – např. Poplatky – mohou sloužit k evidenci místních poplatků (zákonný důvod splnění právní povinnosti) a zároveň k evidenci smluv a plateb na pronájmy (zákonný důvod plnění smlouvy). V těchto případech bude řešení složitější, zejména s ohledem na potenciálně různé doby zpracování. Evidence zákonných důvodů a účelů zpracování připravujeme.

Výmaz a skartace

Z praxe víme, že někteří zákazníci provozují IS Munis již více než 20 let a za tuto dobu se nikdy nevěnovali odstranění (skartaci) dat včetně osobních údajů, pro jejichž zpracování již nyní nemají žádný zákonný důvod. Připravujeme řešení, zpočátku zejména v podobě metodického návodu, jak „stará data“ z IS Munis hromadně odstranit. Do budoucna se pak chceme zaměřit hlavně na umožnění stanovení skartačních lhůt pro jednotlivé agendy a evidenci spouštěcích událostí pro skartaci. V této souvislosti také upozorňujeme na nutnost, aby obec měla aktuální Spisový a skartační řád včetně příloh – spisového plánu. V průběhu dubna nabídneme zákazníkům službu Revize spisového řádu. V současné době probíhá zpracování u pilotních zákazníků.

Smluvní vztahy mezi zákazníkem a dodavatelem (Triadou)

Pořízení IS Munis

Pokud zákazník zakoupil jakékoliv programové vybavení a provozuje ho na své technice, nevzniká mezi ním a dodavatelem software žádný vztah z pohledu osobních údajů zpracovávaných v tomto software. Zákazník je tedy správcem a dodavatel se nestává zpracovatelem, proto v tomto případě není nutné upravovat smluvní vztahy.

Servis IS Munis

Pokud dodavatel, či jiná firma, provádí na nainstalovaném hardware či software různé servisní zásahy (opravy techniky, instalace nových verzí, konzultace, podpora práce uživatelů), nejedná se zpravidla ani v tomto případě o zpracování osobních údajů. Účelem poskytování servisních služeb (zpravidla založených na Smlouvě o technické podpoře) není systematické nakládání s osobními údaji zpracovávanými zákazníkem jakožto správcem nebo zpracovatelem. Ze strany dodavatele tak nedochází ke zpracování osobních údajů shromážděných, spravovaných anebo zpracovávaných zákazníkem ve smyslu „zpracování“ dle GDPR. Dodavatel servisu je pak v postavení pověřené osoby (čl. 29 GDPR) a není nutné uzavírat samostatnou smlouvu o zpracování dat.

Jiná situace nastane, pokud je cílem servisního zásahu samotná manipulace s osobními údaji. Může se jednat například o hromadné převody či výmazy dat, zálohování či archivaci. V takovém případě se již jedná o zpracování osobních údajů, dodavatel se stává zpracovatelem a tento vztah je nutné ošetřit smluvně.

Stejně tak se zpracovatelem stává každý dodavatel, který zákazníkovi poskytuje služby cloudového či hostovaného charakteru, tedy typicky provozovatel webových stránek, cloudového úložiště či jiné služby podobného charakteru, poskytovatel externího mailového systému nebo provozovatel kamerového systému apod.

Při plnění smlouvy o technické podpoře bude Triada samozřejmě zpracovávat osobní údaje zaměstnanců (nebo pověřených osob) zákazníka. V tomto případě je zákonným důvodem splnění právních povinností (např. daňových, pracovněprávních, …), splnění smlouvy (evidence servisních zásahů) a oprávněné zájmy dodavatele (rozvoj a optimalizace služeb, obchodní a marketingové aktivity). Rozsah zpracovávaných osobních údajů odpovídá potřebnému účelu – tedy jméno, příjmení, tituly, kontaktní telefon a email, pracovní pozice, přihlašovací údaje do helpdesku, emailová komunikace apod.

Existující smlouvy o technické podpoře budou doplněny o dodatek, který nově definuje pravidla ochrany osobních údajů a zpřesňuje podmínky poskytování služeb. Zákazníci obdrží tento dodatek na přelomu března a dubna.