Setkání ve znamení ochrany osobních údajů

Setkání uživatelů informačního systému Munis jsou na konferenci ISSS tradicí. Letos se nejvíce diskusí točilo kolem osobních údajů a nového evropského nařízení o jejich ochraně. Tato problematika má celou řadu souvislostí, které byly v rámci jednotlivých přednášek zmiňovány jak z obecného pohledu, tak hlavně na příkladech z praxe. V rámci tohoto příspěvku představíme obsahy stěžejních přednášek pro ty, kterým v nabitém programu letošního jara nezbyl čas, aby na konferenci vyrazili osobně.

Příprava na GDPR s IS Munis

Setkání ve znamení ochrany osobních údajů

Ačkoliv obce a města již 18 let musí o ochranu osobních údajů pečlivě dbát, jak jim to ukládá zákon č. 101/2000 Sb., o ochraně osobních údajů, přináší jim nové Nařízení Evropského parlamentu a Rady EU 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), pro které se často používá zkratka GDPR, nové povinnosti. Kromě toho se také mění celkový přístup k dané problematice. Dochází k odklonu od deklaratorních registrací a prosazuje se přístup založený na vyhodnocení rizik. Města a obce tedy musí vyhodnotit rizika jednotlivých zpracování osobních údajů a přijmout adekvátní opatření k jejich snižování.

Ochrana osobních údajů se netýká jen informačních systémů, ale také listinných evidencí a dokumentů. Nicméně na konferenci ISSS byly zmiňovány zejména aspekty, které s informačními systémy souvisí. Zde si všimneme tří konkrétních okruhů, které byly na přednáškách diskutovány. Konkrétně půjde o:

  • analýzu jednotlivých případů zpracování osobních údajů,
  • opatření pro snížení rizik jednotlivých zpracování osobních údajů a
  • přípravu na výkon práv subjektu údajů.

V rámci analýzy jednotlivých zpracování osobních údajů je vždy stěžejní otázka zvolené ganularity, tedy podrobnosti, s jakou jsou jednotlivá zpracování rozdělována. Nejhrubší přístup by byl pojmout IS Munis jako celek, nejjemnější pak rozděluje i dílčí případy v různých modulech. Ing. Jaroslav Kordina v této souvislosti představil přístup aplikovaný na Městském úřadě Červený Kostelec, kde se jako nevýhodnější ukázalo členění podle pracovních pozic. Byť tento přístup některé moduly spojuje dohromady, přináší pro úřad nejpřehlednější pohled na zpracování osobních údajů a naprosto odráží praktickou stránku ochrany a přístupu jednotlivých uživatelů, kteří dané pracovní pozice vykonávají. Např. lze takto spojit moduly Poplatky a Pokladna, pokud v nich pracuje jeden uživatel mající přístupová práva do obou těchto agend.

V rámci analýzy je třeba vždy rozlišovat, v jaké roli úřad vystupuje, zda jako správce nebo jako zpracovatel, anebo spojuje obě tyto role dohromady. V rámci představené případové studie Městského úřadu Červený Kostelec byly zmíněny všechny tři příklady těchto různých rolí:

  • Aplikace CzechPOINT je jasným příkladem, kdy městský řad je v roli zpracovatele. Správcem je Ministerstvo vnitra, které určuje účely a prostředky zpracování osobních údajů.
  • Elektronický systém spisové služby Munis ERMS je příkladem, kdy je městský úřad zároveň správcem (určuje podmínky, vybírá si dodavatele IS) i zpracovatelem (následně provozuje vlastní systém a zpracovává v něm osobní údaje).
  • Úřední deska informačního systému Munis je příkladem, kdy je městský úřad správcem, tedy určuje podmínky a vybírá si dodavatele IS, ale zpracovatelem je externí subjekt, v tomto případě společnost Triada, která prezentační vrstvu zajišťuje na svém portálu sdílených služeb iMunis.cz. To musí být samozřejmě podloženo zpracovatelskou smlouvou, kterou má společnost Triada pro své uživatele připravenu.

Opatření pro snížení rizik vyplývají z předchozí analýzy. V souvislosti s informačním systémem jich lze aplikovat mnoho, přičemž se rozdělují na opatření technická zaměřená např. na kontrolu přístupových práv, politiku hesel, pravidelné a bezpečné zálohování apod., a na opatření organizační, bez kterých ta technická často ztrácejí význam. Např. super bezpečné heslo napsané na spodní straně klávesnice je přesně takovým příkladem.

V přípravě na GDPR nelze opomenout fakt, že ihned od začátku účinnosti tohoto nařízení může přijít žádost týkající se výkonu práv subjektu údajů. Pro zjednodušení výkonu práv subjektu údajů připravila společnost Triada nový modul GDPR asistent, kterým rozšiřuje portfolio modulů informačního systému Munis. Modul GDPR asistent obsahuje podporu vyřizování přijatých žádostí podle charakteru příslušného práva a za využití celé řady šablon. Pro případ práva na přístup obsahuje modul GDPR asistent vazbu do všech příslušných modulů IS Munis, v nichž jsou konkrétní osobní údaje evidovány, i do evidencí vedených mimo tento systém. Zpracování odpovědi vždy patří do kompetence uživatele (pracovní pozice), který má do příslušné agendy (modulu) přístup. Nevytváří se tak žádná pozice „superúředníka“, který by z důvodu přípravy odpovědi měl přístup do všech agend nad rámec svých běžných oprávnění. Sestavení výsledné odpovědi podporuje jak automatické vstupy odpovědí od jednotlivých úředníků (obdoba koordinovaného stanoviska), tak možnosti ručních vstupů pro části odpovědi týkající se listinných nebo neprovázaných elektronických evidencí.

Nový modul informačního systému Munis GDPR asistent si mohli návštěvníci Výstavní síně společnosti Triada na konferenci ISSS rovnou prohlédnout a vyzkoušet. Byly chvíle, kdy takto vznikalo jedno sdělení informací o osobních údajích evidovaných v jednotlivých modulech IS Munis za druhým. Uživatelé se shodli, že se jedná o výkonného pomocníka, díky kterému se vyřizování žádostí týkajících se výkonu práv subjektu údajů podle GDPR skutečně výrazným způsobem zjednoduší.

Spisová služba, spisový řád a skartační řízení

Elektronický systém spisové služby jako centrální evidence dokumentů přijatých úřadem i na úřadě vzniklých hraje z hlediska ochrany osobních údajů významnou, až stěžejní, úlohu. Konkrétní pravidla pro fungování spisové služby na úřadě vždy upřesňuje spisový řád. Samozřejmě, že je třeba cítit zákony, prováděcí vyhlášky a v případě elektronické formy spisové služby též národní standard pro elektronický systém spisové služby. Ale právě spisový řád úřadu toto vše spojuje, zastřešuje a konkretizuje. Jeho kvality jsou tedy z hlediska výkonu spisové služby i ochrany osobních údajů zásadní. Protože problematika tvorby spisových řádů a spisových a skartačních plánů není jednoduchá, přichází společnost Triada s nabídkou pomoci původcům s tímto úkolem. V mnoha případech bývá tato povinná směrnice vydána pouze formálně, aniž skutečně odráží pravý stav věci, aniž přesně popisuje a upřesňuje kroky výkonu spisové služby, nakládání s dokumenty, ochranu osobních údajů uložených jak v dokumentech, tak v metadatech o těchto dokumentech a v neposlední řadě pak také ve jmenném rejstříku. A to samozřejmě není dobře. Právě proto společnost Triada nabízí novou službu „Tvorba spisových řádů“.

V rámci konference ISSS vystoupila starostka obce Krchleby, paní Lidmila Pinterová, která přistupuje k řešení otázky ochrany osobních údajů velmi zodpovědně a pro úpravu spisového řádu využila zmíněné nabídky. Paní starostka konkrétně popsala, jak u nich na úřadě probíhaly jednotlivé kroky analýzy spojené s tvorbou nového spisového řádu. Pracovník společnosti Triada nejprve provedl místní dotazníkové šetření, na které navázala analýza stávající směrnice a její nezbytné přílohy, spisového a skartačního plánu. Následně společnost Triada sestavila návrh nového spisového řadu tak, aby výsledná směrnice reflektovala reálný stav na úřadě, ale zároveň také plně respektovala povinnosti a pravidla stanovená aktuálními předpisy, zejména zákonem č. 499/2004 Sb., o archivnictví a spisové službě, vyhláškou č. 259/2012 Sb., o podrobnostech výkonu spisové služby, a národním standardem pro elektronický systém spisové služby. Po zapracování připomínek byla předána výsledná směrnice, přičemž z analýzy vyplynuly i návrhy na změny některých procesů. Nezbytným krokem při změně spisového řádu je seznámení všech zaměstnanců s touto novou směrnicí. I tuto službu samozřejmě společnost Triada nabízí.

Význam spisové služby a jejího postavení jako páteřního systému úřadu zdůraznil také vedoucí odboru informatiky Bc. Pavel Knytl, DiS., z Městského úřadu Poděbrady. Hovořil zejména o možnostech a výhodách provázání elektronického systému spisové služby a agendových informačních systémů, které Městský úřad Poděbrady provozuje. Vyzdvihl prozíravost, s jakou má informační systém Munis již několik let implementováno rozhraní vycházejí z “Best practise“, neboť právě toto rozhraní bylo v polovině roku 2017 standardizované v celostátně závazném předpisu. V rámci své prezentace Bc. Pavel Knytl, DiS. řekl: „Standardizované rozhraní vnímáme z pohledu města Poděbrady jako konečně dostupnější systémy a možnost rychlého implementování propojení dalších agendových systémů v rámci organizace.“

Zmíněná provázanost je nezbytná pro následné uložení digitálních dokumentů v digitální spisovně úřadu. Roli této spisovny vykonává elektronický systém spisové služby, který tak v případě Munis ERMS sjednocuje evidenci klasické a elektronické spisovny. Příprava a realizace elektronického skartačního řízení je pak již jen přímočarým pokračováním předchozí evidence vedené ve spisové službě.

Portály a panely

V rámci konference ISSS se také opakovaně diskutovala různá portálová řešení. Ve srovnání s předchozím rokem však poněkud ustoupila do pozadí před stěžejním tématem ochrany osobních údajů. A to navzdory tomu, že se blíží okamžik, kdy zákon o elektronické identifikace nabude účinnosti a začnou se vydávat občanské průkazy s čipem, který bude elektronickou identifikaci umožňovat. Společnost Triada již delší dobu provozuje svůj portál iMunis.cz, v rámci kterého nabízí různé služby, které zvyšují transparentnost úřadu. Kromě toho má připraveno napojení na centrálně připravovaný portál občana realizovaný Ministerstvem vnitra v rámci změny funkcí portálu veřejné správy. Sdílené služby portálu iMunis.cz se tedy budou i nadále rozšiřovat.

Kromě prezentací dat a služeb pro občany se rozšiřují také možnosti přehledových náhledů na data v informačním systému Munis určená úředníkům. Na konferenci ISSS byly představeny hned tři funkčně rozdílné panely: Panel úředníka, Panel vedoucího a Panel správce, které dávají pro tyto tři různé role uživatelů zásadní informace z jednotlivých modulů a součástí komplexního informačního systému Munis. Novinek představených v rámci setkání uživatelů informačního systému Munis na konferenci ISSS bylo tedy poměrně hodně. Je vidět, že i po více než dvaceti letech od svého vzniku, se informační systém Munis stále rozvíjí tak, aby nabízel svým uživatelům komfortní řešení potřeb vyplývajících ze všech aktuálních úkolů, které musí města a obce řešit.