průmysl, výroba, sklady…
facebook
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Compas automatizace
IT SYSTEMS 3/2019 , IT právo , Veřejný sektor a zdravotnictví

GDPR ovlivnilo i základní registry

Mgr. Tomáš Lechner, Ph.D.


GDPR ovlivnilo i základní registryV loňském roce zjitřený zájem o oblast ochrany osobních údajů sice zvolna polevuje, avšak o co méně se o této problematice veřejně mluví, o to více a hlouběji prosakují její dopady do informačních systémů veřejné správy.

Alvao

Stručná rekapitulace GDPR

Téměř před rokem, konkrétně dne 25. května 2018, nabylo účinnosti nařízení Evropského parlamentu a Rady (EU) č. 679/2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), které je i v České republice známo pod anglickou zkratkou GDPR. Dnes můžeme s odstupem hodnotit konkrétní dopady, které nová právní úprava s celoevropskou přímou působností měla a má. Vzhledem k tomu, že i předchozí český zákon č. 101/2000 Sb., o ochraně osobních údajů, byl poměrně přísný, naplnila se jednoznačně slova dozorového úřadu, že nová pravidla ochrany osobních údajů jsou evoluční reakcí na rozvoj informační společnosti, a nikoliv zásadní revolucí přinášející převratné změny. Samozřejmě nelze popřít, že GDPR přineslo několik významných novinek, avšak po stránce smyslu ochrany osobních údajů zakotvené již v Listině základních práv a svobod šlo spíše o renesanci dodržování těchto zásad správci a zpracovateli, které musí být podloženo konkrétními opatřeními. Fakt, že revoluce se nekonala, je také patrný z celkového poměrně rychlého utlumení diskusí na uvedené téma již velmi brzo po nabytí účinnosti GDPR.

Asi nejdůležitější změnou, kterou GDPR přineslo, je odklon od deklaratorních přístupů a aplikování ochrany osobních údajů založené na analýze rizik. Ve srovnání s postupy v oblasti kybernetické bezpečnosti se jedná o osvědčenou cestu, která na rozdíl od deklaratorních přístupů nutí správce a zpracovatele osobních údajů hlouběji analyzovat konkrétní případy zpracování a přijímat odpovídající opatření. Neznamená to však, že by nová pravidla byla zcela oproštěna od formalismu, ke kterému celé řešení ochrany osobních údajů bohužel někdy sklouzává. Formalismus ve světle GDPR vychází zejména z povinnosti uložené správcům, aby byli schopni doložit, že provedli opatření přiměřená závažnosti rizikům pro práva a svobody subjektů údajů souvisejících s daným zpracováním a zároveň přiměřená jejich možnostem s cílem snížit identifikovaná rizika. V dané oblasti, na rozdíl od problematiky kybernetické bezpečnosti, neexistují všeobecně uznávané, nebo dokonce právně závazné, technické standardy, takže vlastní doložení musí být vždy posouzeno ve vztahu ke konkrétnímu zpracování konkrétním správcem.

Mezi další základní principy zpracování osobních údajů patří zákonnost, korektnost, transparentnost, účelové omezení, minimalizace údajů, přesnost údajů, omezení uložení a integrita a důvěrnost. Zákonnost zpracování je založena na šesti taxativně určených variantách, které mohou zpracování zdůvodnit. Na rozdíl od předchozí glorifikace postupu založeném na souhlasu se zpracováním osobních údajů, lze nově pro zpracování osobních údajů využít souhlas subjektu údajů pouze v případě, pokud toto zpracování nemůže být podloženo jinými důvodem (např. plněním smlouvy, zákonnou povinnosti apod.). Přesto jsme byli všichni v loňském roce zavaleni velkým množstvím žádostí o znovu udělení souhlasu se zpracováním osobních údajů podle GDPR, ačkoliv tyto souhlasy mnohdy odporovaly pravidlům, které na souhlasy nově GDPR klade, neboť nebyly svobodné a odvolatelné, právě z důvodu, že správce stejně dále osobní údaje musí zpracovávat například na základě splnění právní dané zákonem o účetnictví nebo zákonem o DPH, pokud mezi správcem a subjektem údajů došlo v poslední době k nějakému finančnímu plnění.

Obecné dopady na veřejnou správu

V případě veřejné správy je na základě stanoviska pracovní skupiny WP 29 souhlas, jako zákonný důvod pro zpracování osobních údajů, téměř vyloučen, a to z důvodu nerovného postavení subjektů veřejné správy a občanů. Jedině, když v daném okamžiku nevystupuje orgán veřejné moci ve svém vrchnostenském postavení, je zpracování na základě souhlasu přípustné. Např. pokud obec nabízí služby internetového připojení, ale i v tomto případě lze zpracování založit na důvodu splnění smlouvy.

Většina případů zpracování osobních údajů subjekty veřejné správy se zakládá na splnění právní povinnosti, splnění smlouvy anebo jde o zpracování ve veřejném zájmu či při výkonu veřejné moci. Z toho důvodu bylo asi nejpodstatnější změnou, kterou GDPR přineslo speciálně pro veřejnou správu (tedy navíc k těm obecným novinkám, které byly již zmíněny), povinné jmenování pověřence pro ochranu osobních údajů a zveřejnění kontaktních údajů na tohoto pověřence.

Institut pověřence pro ochranu osobních údajů je v České republice něčím zcela nový, co předchozí právní úprava neznala. Vzhledem k významnému množství malý obcí, zasáhla tato povinnost mnohde významně do jejich rozpočtů. Avšak i v této oblasti již lze vnímat uklidnění situace a časté řešení v podobě sdílení jednoho pověřence více subjekty.

GDPR má dopady také do informačních systémů veřejné správy, přičemž tyto dopady jsou značně závislé na rozsahu zpracovávané agendy. Proto se asi nejvýrazněji projevují v centrálních rejstřících. Příkladem za všechny lze jmenovat změny v oblasti katastru nemovitostí, které provedl Český úřad zeměměřický a katastrální, například tím, že zcela odstranil osobní údaje z dat poskytovaných ve výměnném formátu ISKN.

Změny v základních registrech

Nejrozsáhlejší zpracování osobních údajů ve veřejné správy jednoznačně probíhá v systémech základních registrů. Všude jinde je vždy zpracováván jen určitý výběr fyzických osob, ale základní registr obyvatel obsahuje údaje o všech státních občanech České republiky, dále cizincích, kteří pobývají na území České republiky, a dalších občanech, o kterých to stanoví zákon anebo kteří mají mít přidělen agendový identifikátor fyzické osoby. Díky tomu jde bezpochyby o jednu z nejrozsáhlejších databází s osobními údaji ve veřejné správě. Adekvátně tomu musí být toto zpracování zabezpečeno z hlediska ochrany osobních údajů.

Každá opatření směřující na snížení rizik pro práva a svobody subjektů údajů souvisejících s daným zpracováním v sobě musí spojovat technickou a organizační stránku. Po technické stránce je ochrana osobních údajů v základních registrech zajištěna zejména systémem agendových identifikátorů fyzické osoby, což je přímo ukázkové využití pseudonymizace popsané v GDPR. Aby toto rozdělení ale skutečně fungovalo a vedlo k adekvátní ochraně osobních údajů, musí být správně vydefinovány jednotlivé agendy, tedy účely, pro které jsou referenční údaje ze základních registrů využívány.
V souvislosti s nabytím účinnosti GDPR provedl snad každý orgán veřejné moci analýzu jednotlivých případů zpracování, minimálně pro to, aby správně vytvořil tzv. záznamy o činnostech zpracování podle čl. 30. Nicméně zdá se, že oblast definic agend v základních registrech se v této souvislosti trochu podcenila, což dokazuje také šetření Úřadu pro ochranu osobních údajů, v němž se konstatuje, že nastavení přístupů pro oprávněné subjekty a jejich rozsah neodpovídá požadavkům ochrany osobních údajů (jedná se o šetření z I. pol. roku 2018, tedy z doby těsně před nabytím účinnosti GDPR). Na nekvalitu registrovaných agend upozornilo i několik akademických analýz.

Protože zodpovědnost za definování agend je v kompetenci centrálních orgánů, do jejichž kompetencí výkon dané agendy spadá, vyžaduje zkvalitnění registrace agend poměrně rozsáhlou koordinaci napříč ministerstvy a dalšími centrálními orgány státní správy. To je poměrně náročný úkol. Správa základních registrů proto aktuálně přistoupila k technickému řešení, které může sama přímo ovlivnit, a přenesla určitou část odpovědnosti za rozsah využívání osobních údajů ze základních registrů na orgány veřejné moci, které dané údaje skutečně používají v oprávněných případech pro svoji činnost. Znamená to, že navzdory rozdělení agend na činnostní role, které by měly odpovídajícím způsobem definovat rozsah přístupu k jednotlivým kategoriím osobních údajů obsažených v základním registru obyvatel, musí každý orgán veřejné moci při každém dotazu do základních registrů tento rozsah znovu specifikovat, a to samozřejmě vždy odpovídajícím způsobem podle úkonu, pro který data čerpá, a zákonného zmocnění tyto data použít. Uvedený postup jednoznačně zajistí větší míru ochrany osobních údajů v základních registrech, ale poměrně významným způsobem degraduje smysluplnost aktuálních definic agend v základním registru práv a povinnosti.

Mgr. Tomáš Lechner, Ph.D.
Autor pracuje ve společnosti Triada jako konzultant a také působí na VŠE v Praze, kde se zabývá oblastí e-Governmentu a vede výzkumy týkající se ochrany osobních údajů.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.