Zkušenosti z praxe Hlavním cílem zákona č. 101/200 Sb., o ochraně osobních údajů a o změně některých zákonů, je chránit právo občanů na soukromí. Vznikem zákona a především různými výklady a úhly pohledu se však především v odborné a "dotčené" veřejnosti rozpoutala vlna diskuzí a polemik. Zákon...
Zkušenosti z praxe
Hlavním cílem zákona č. 101/200 Sb., o ochraně osobních údajů a o změně některých zákonů, je chránit právo občanů na soukromí. Vznikem zákona a především různými výklady a úhly pohledu se však především v odborné a "dotčené" veřejnosti rozpoutala vlna diskuzí a polemik.
Zákon stanovuje svoji působnost na veškeré osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci a fyzické i právnické osoby. Zpracování osobních údajů je definováno jako jakákoliv činnost, která je s osobními údaji prováděna, a to jak automatizovaně, tak i manuálně. Tím trochu "předbíháme" evropské předpisy, které se vztahují většinou jen na automatizované zpracování dat.
Současný stav
Průzkum stavu informační bezpečnosti z roku 2001 (společně prováděly společnosti PricewaterhouseCoopers, DSM - data security management a Národní bezpečnostní úřad), zda organizace zpracovává nebo bude zpracovávat osobní údaje, jež vyžadují registraci u Úřadu pro ochranu osobních údajů (ÚPOOÚ), ve smyslu zákona č. 101/2000 Sb., je následující: 30 % organizací má jistotu, že u nich bude probíhat zpracování, které bude třeba zaregistrovat, 38 % dosud neví a 32 % tvrdí, že nebude zpracovávat osobní údaje, které vyžadují registraci.
Z tohoto procentuálního rozložení je zřejmé, že přinejmenším jedna třetina všech organizací bude muset splnit oznamovací povinnost a ostatní povinnosti stanovené zákonem, tj.:
[*] stanovit účel, k němuž mají být osobní údaje zpracovány,
[*] stanovit prostředky a způsoby zpracování,
[*] zpracovávat jen pravdivé a přesné údaje získané v souladu se zákonem a jejich pravdivost a přesnost ověřovat,
[*] shromažďovat pouze osobní údaje, které odpovídají stanovenému účelu zpracování (bez souhlasu subjektu údajů nelze použít údaje pro jiný účel),
[*] informovat všechny subjekty údajů o prováděném zpracování a vyžádat si jejich písemný souhlas (toto ustanovení platí pro všechna zpracování, která nejsou z této povinnosti vyjmuta zvláštním ustanovením zákona),
[*] přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů; tato povinnost platí i po ukončení zpracování osobních údajů,
[*] zajistit mlčenlivost zaměstnanců nebo jiných osob, které přicházejí s osobními údaji do styku,
[*] zlikvidovat všechny nadbytečné osobní údaje, u nichž pominul účel, pro který byly zpracovávány.
Je vysoce pravděpodobné, že organizací, které budou muset splnit oznamovací povinnost, je více než 30 %, pouze si to zatím jednotlivé organizace neuvědomují. Organizace si často nepřipouštějí nebo nechtějí připustit, že zpracovávají data, která jsou osobními údaji (například obyčejná evidence vstupu do objektů) nepodléhající sice oznamovací povinnosti, ale které je třeba zabezpečit v plné šíři, zejména podle § 13 (řešení bezpečnosti), což je pro organizaci závažný problém a potenciální riziko.
Kontrola plnění povinností
Termín pro splnění těchto povinností u existujících systémů je již "za dveřmi" - je stanoven na 31. 12. 2001. Vlastní kontrolní činnost nad dodržováním těchto povinností budou vykonávat inspektoři ÚOOÚ, které do svých funkcí jmenoval prezident republiky. Inspektoři (kontrolující) mají zákonem stanoveny poměrně široké kompetence.
Mimo jiné mohou:
[*] vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého, kdo zpracovává osobní údaje (dále jen "kontrolovaný"), pokud to souvisí s předmětem kontroly; do obydlí mohou vstupovat pouze v případě, že ta slouží také k provozování podnikatelské činnosti,
[*] seznamovat se s utajovanými skutečnostmi za podmínek stanovených zvláštním právním předpisem, jakož i dalšími skutečnostmi, které jsou chráněny povinností mlčenlivosti,
[*] pořídit kopie obsahu paměťových médií, obsahujících osobní údaje, nacházejících se u kontrolovaného.
Práva kontrolorů (inspektorů a pověřených zaměstnanců ÚOOÚ) jsou rozsáhlá a mají v zákoně silnou oporu. Zatím jsou názory jednotlivých inspektorů na některé konkrétní dotazy plynoucí z praxe rozdílné, někdy i protichůdné. Nicméně každý z inspektorů má právo na svůj vlastní výklad zákona, zaručený jejich nezávislostí. Teprve čas ukáže, zda názory kontrolorů budou směřovat k jednotnějšímu postoji, či zda přetrvá současná názorová různorodost.
Co organizacím hrozí
Zákon v tomto bodě hovoří jasně. V případě, že úřad na základě kontroly inspektorů zjistí nedostatky, může správcům a zpracovatelům při porušení zákona udělit pokutu do výše 10 mil. Kč, při opakovaném porušení zákona až 20 mil. Kč. Ukládání pokut je odloženo do 31. 12. 2002. Do této doby budou inspektoři z jednotlivých kontrol činit zápisy. Po tomto datu bude možné pokuty ukládat.
Nejčastější nedostatky
Jako společnost, která se zabývá poradenstvím a poskytováním konzultačních služeb v oblasti ochrany osobních údajů a informační bezpečnosti, přicházíme do styku s častými nedostatky plnění zákona o ochraně osobních údajů.
Nedostatky začínají u nesprávné registrace. K registrované agendě není vedena řádná a úplná interní evidence, často k agendě existuje pouze registrační formulář a z něho není zcela zřetelné, o jakou agendu jde. Interní evidenci je nutno zpracovat, protože je základem pro další navazující kroky.
Bez řádně zpracované evidence nelze cokoliv dalšího řešit. V případě, že si organizace není jista, zda má správně zaregistrované agendy nebo vypracovanou interní evidenci, je vhodné si nechat udělat inventuru od externí společnosti.
Organizace také někdy zbytečně registrují příliš mnoho agend, přitom některé z nich by bylo možné zrušit nebo sloučit s jinou agendou (pod stejný účel). Opačnou chybou je nezaregistrování agendy, která spadá pod oznamovací povinnost. Tento nedostatek bývá způsoben především neznalostí organizací a malou praxí.
Také se často setkáváme s nepřesným pojetím pojmu osobní údaj. Ten je často pojímán "volně" a jsou tím většinou chápány údaje, které se vyskytují v personalistice. Skutečností však je, že osobní údaje se vyskytují i v dalších odděleních a často už na vrátnici v knize příchozích osob.
V organizacích velmi často nejsou stanoveny zodpovědnosti, či jsou stanoveny nejasně. Problém osobních údajů putuje jako "horký brambor" od personalisty k právníkovi, od něj k vedoucímu bezpečnosti, informatikovi a bludný kruh se uzavírá opět u personalisty.
V oblasti bezpečnosti dat není leckdy zpracováno nic. Není zpracován bezpečnostní záměr, analýza rizik, chybí bezpečnostní politika, prováděcí směrnice. Data nejsou dostatečně archivována a chráněna.
V podstatě jsou přístupná všem zaměstnancům organizace bez ohledu na to, jestli je pro svoji práci potřebují. Není jasné, kdo je bude archivovat, jak často, kam bude ukládat zálohy, není stanoven způsob likvidace dat.
Jak dál?
Důležitý termín, který je nyní třeba míti na paměti, je 31. 12. 2001. Tímto dnem skončí u existujících systémů doba pro splnění všech zákonných povinností.
Pro splnění těchto povinností a vzhledem k časovým, materiálním a finančním předpokladům doporučujeme zabývat se již nyní velmi intenzivně otázkou ochrany osobních údajů a rozdělit si řešení do několika kroků:
1. Provést v organizaci důkladnou inventuru všech agend/systémů, ve kterých dochází ke zpracování osobních údajů. Jedná se nejen o klasické personální evidence zaměstnanců, ale také o nejrůznější osobní údaje obchodních partnerů, akcionářů, zákazníků, dodavatelů apod., dále např. o obyčejnou evidenci vstupu do objektů.
2. Splnit opatření vyžadovaná zákonem, která plynou z jednotlivých paragrafů:
- určit zpracovatele a připravit směrnice pro každé zpracování,
- navrhnout a zajistit formu a obsah souhlasu se zpracováním osobních údajů,
- připravit smlouvy o zpracování osobních údajů mezi správcem a zpracovateli (dodavateli),
- stanovit podmínky a rozsah zpracování osobních údajů pro zpracovatele (dodavatele),
- poskytnout subjektům údajů informace o zpracování osobních údajů,
- připravit postup při porušení ochrany osobních údajů.
3. Řešit bezpečnost informací a osobních údajů - splnit především požadavky § 13, podle kterého jsou správce a zpracovatel povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům:
- stanovit role bezpečnosti informací, určit jejich odpovědnosti a pravomoci (například role managera osobních údajů, bezpečnostního managera):
- zajistit výkon funkce managera bezpečnosti a zpracovat plán kontrol bezpečnosti,
- provést školení bezpečnosti a vysvětlit problematiku ochrany osobních údajů,
- provést analýzu rizik informačního systému,
- zpracovat bezpečnostní politiku informačního systému,
- podle zpracovaného projektu postupně realizovat jednotlivá bezpečnostní opatření.
Pokud si organizace není zcela jistá, zda jednotlivé kroky splnila či zda je splnila správně, je vhodné nechat si zpracovat externí firmou nezávislý audit, který dá jasnou odpověď na tyto otázky. Externí firma může zároveň navrhnout řešení zjištěných nedostatků nebo je ve spolupráci s organizací řešit.
Přínos zákona
V úvodu jsme uvedli, že primárním cílem zákona je ochrana osobních údajů jako součást ochrany lidských práv a svobod. Potěšitelným "sekundárním" efektem je pozitivní vliv na informační bezpečnost.
To potvrzuje již citovaný Průzkum stavu informační bezpečnosti z roku 2001, PricewaterhouseCoopers, DSM - data security management a NBÚ: "...je vidět, že u organizací, kterých se dotýká alespoň jedna problematika (pozn.: zákon č. 101/2000 Sb. a zákon č.148/1998 Sb.), je výrazně větší zastoupení bezpečnostních politik a bezpečnostního vzdělávání. Organizace, které řeší obě problematiky, jsou na tom z hlediska existence bezpečnostní politiky a pravidelného vzdělávání nejlépe, organizace, které neřeší ani jednu oblast nejhůře."
O přínosu zákona č. 101/2000 Sb., v oblasti ochrany osobních údajů a o zákonu samotném můžeme nyní akademicky diskutovat, ale jeho skutečný přínos bude zřejmý až po uplynutí určitého období, které nám poskytne empirické poznatky. Jedno je však jisté - přínos zákona v oblasti informační bezpečnosti a pro zvýšení bezpečnostního povědomí je nesporný.
Tomáš Sekera,
T - SOFT. s. r. o.
Praha
Pro přidávání komentářů se musíte nejdříve přihlásit.
Dobrý den, pokud momentálně sháníte produkt na ochranu vašich firemních dat, vřele mohu doporučit https://www.safetica.cz/co-safetica-umi/ochrana-dat. Je kvalitní, přehledný a spolehlivý.