facebook LinkedIN LinkedIN - follow
Veřejný sektor a zdravotnictví

Informační systémy a ochrana osobních údajů

Důsledná ochrana osobních údajů nemusí být složitá

Mgr. Jan Hodač


VERAInformační systémy, v rámci kterých uživatelé nakládají s osobními údaji fyzických osob, musí zajišťovat důslednou ochranu těchto dat před zneužitím. Účinnost nové unijní legislativy, zejména GDPR od 25. května 2018, v této oblasti nepřináší vyloženou revoluci, avšak rozšiřuje rozsah povinností, které správce osobních údajů musí plnit, a zodpovědnosti, kterou nese za případnou ztrátu, únik či jiné neoprávněné nakládání s osobními údaji. Čím více informačních systémů takový správce využívá, tím více smluvních vztahů si musí s dodavatelem (zpracovatelem osobních údajů) právně ošetřit a o to více práce pro administrátora změna přináší. Uhlídat jeden systém může být snadné, uhlídat jich pět, šest nebo i deset, to je již „výzva“ pro celý tým kompetentních informatiků.


Důvody zpracování údajů

Všechny informační systémy musí nabízet základní funkcionality – každý osobní údaj musí mít vyznačenu zákonnost zpracování, stejně jako jeho účel a časovou definici účelu zpracování. Správce musí mít možnost osobní údaj aktualizovat nebo naopak anonymizovat, pomine-li lhůta nutná pro jeho zpracovávání. Nad rámec zákonného a smluvního důvodu by měl mít správce snadný přehled o udělených souhlasech se zpracováním osobních údajů – takový souhlas musí být zejména přesně věcně i časově omezený, dobrovolný a svobodně poskytnutý. Souhrnně s ohledem na všechny možné zákonné důvody zpracování musí systém umožnit vygenerovat přehled o zpracovávaných osobních údajích, pokud si o něj občan zažádá. Analogicky pak musí správce občanovi vyhovět v žádosti o výmaz osobních údajů všude tam, kde občan odňal souhlas se zpracováním, popř. pominuly právní, smluvní či jiné důvody pro jejich zpracovávání. V případě, že správce administruje jeden, dva, maximálně tři informační systémy, je vyhovění všem těmto základním standardům snadné. S přibývajícím počtem informačních systémů neúměrně narůstá objem práce vynaložený ke stejnému účelu.

Bezpečnostní politika

Z hlediska bezpečnosti je ideální, pokud systém umožňuje detekovat bezpečnostní incidenty nebo neobvyklé události. Za bezpečnostní „minimum“ lze považovat důsledné oddělení uživatelských účtů v systému, jejich snadnou administraci, správu hesel, logování přístupů jednotlivých pracovníků systému a možnost reagovat na personální změny v řadách uživatelů. Každá uživatelská role, resp. úroveň, by měla mít odlišná práva v systému a k tomu i adekvátní dokumentaci, příručky, uživatelské manuály atd. Jelikož se GDPR netýká zdaleka jen světa digitálních dat, je vhodné mít na úřadě i sepsané kodexy, manuály či pracovní postupy, jak se chovat při bezpečnostních incidentech, jaká preventivní opatření realizovat a na koho se obracet v případě úniku či zneužití osobních údajů.

Z hlediska aktuálnosti zpracovávaných osobních údajů i jejich reálné použitelnosti je nanejvýš důležité systém pravidelně zálohovat, ověřovat funkčnost záloh, pravidelně trénovat „disaster recovery“ a provádět pravidelnou profylaxi, aby k žádnému černému scénáři nedošlo. Opět platí, že máte-li z pozice administrátora úřadu na starosti jeden nebo dva informační systémy, vše je snazší, než když zodpovídáte za množinu osmi či deseti různých systémů, z nichž každý může GDPR plnit v detailu odlišně. GDPR totiž není technickou normou, je to nařízení (jak jeho název ostatně napovídá) velmi „obecné“ a proto je legitimní si jej vykládat různými způsoby.

Výhoda veřejné správy

GDPR nepředstavuje revoluci pro všechny ty, kteří plnili základní parametry českého zákona č. 101/2000 Sb., o ochraně osobních údajů. Orgány veřejné moci mají své specifické povinnosti, spisová služba u nich nastavuje celkový archivační i skartační režim u všech spisů úřadu a pomocí jasně dohledatelných kroků v ní pracují referenti i vedoucí pracovníci vždy přesně v souladu s organizační strukturou úřadu. Spisová služba plnící nejnovější národní standard je pevnou páteří úřadu, skrze níž je nastaven „pořádek“ ve všech spisech úřadu, na kterou jsou „zavěšeny“ všechny ostatní agendy skrz transparentní pravidla. Důsledná ochrana osobních údajů tedy vlastně není tak složitá.

Mgr. Jan Hodač
Autor článku působí jako Business Development Director ve společnosti VERA, spol. s r.o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.