Rozvoj elektronické komunikace ve veřejné správě přináší nejen pozitivní změny, ale i řadu úskalí. Zavádění nejrůznějších registrů a databázových souborů, a to ať už na centrální úrovni, tj. ve státní správě, nebo na lokální úrovni, tedy pro potřeby městských a obecních nebo krajských úřadů, vyžaduje souběžné vytváření pevných zásad, které zaručí v maximální možné míře ochranu dat při jejich zpracování a především při jejich využívání.
Jedním, jen na první pohled zanedbatelným detailem softwarových aplikací je způsob práce s osobními údaji, respektive systém přidělování přístupových práv do databázových struktur jednotlivým pracovníkům - určení, kdo smí do konkrétního databázového souboru vstupovat a na jaké úrovni, jakým způsobem s ním smí pracovat. Může ho aktualizovat, tedy doplňovat a pozměňovat, nebo do něho smí jen nahlížet? Podle jakého legislativního oprávnění z něho může údaje čerpat a dále s nimi pracovat? Jsou to otázky, které se při propojování struktur informačních systémů veřejné správy týkají stále širšího okruhu pracovníků ve státní správě i územní samosprávě. Není tedy náhodou, že systém zabezpečení dat je jednou z významných položek při atestacích softwarových aplikací.
Každý informační systém by proto už ve své projektové dokumentaci měl mít obsaženu i část, která bude definovat zásady práce s osobními údaji. Účelnost takového řešení potvrdil na nedávném celorepublikovém setkání uživatelů informačního systému Radnice VERA® zájem zástupců jednotlivých městských a obecních úřadů o prezentaci Ing. Jiřího Škrabala, vedoucího odboru informatiky Městského úřadu ve Svitavách. Ten na základě podrobné analýzy jednotlivých funkcí a pracovních pozic v systému městského úřadu zpracoval Dokumentaci pro práci s osobními údaji, kterou je možné využít i v širším měřítku.
Co vše dokumentace obsahuje?
Dokumentace uvádí základní cíle a jejich realizaci v podmínkách městského úřadu, zabývá se otázkou bezpečnosti uložených dat a dokládá kopiemi certifikátů atestaci používaného softwaru. Je zde uveden i podrobný popis softwaru, který je součástí informačního systému a souvisí se zpracováním osobních údajů. Nedílnou a zároveň stěžejní součástí dokumentace je tzv. matice přístupových práv, kde je rozpracována struktura úřadu po jednotlivých odděleních. U každého oddělení je zaznamenán jak vedoucí oddělení, tak řadoví pracovníci a u každého jednotlivce je poznámka, které agendy využívají, jaká mají přístupová práva, včetně jejich případného omezení. Nechybí ani položka "legislativní podpora", kde je uvedeno, podle jakého zákona má ten který pracovník oprávnění s citlivými daty pracovat a zároveň jakými zákony se agenda řídí. Stručně řečeno, dokumentace popisuje postupy proč, jak a kým jsou data zpracována, včetně rozborů činností a uvedení legislativních podkladů.
Kdo přiděluje jednotlivým pracovníkům přístupová práva k datům a na jakém základě?
Přístupová práva definuje vedoucí příslušného oddělení na základě platné legislativy a podle jeho pokynů nastavuje správce informačního systému přístupová práva jednotlivcům.
Jaká byla časová náročnost zpracování dokumentu?
Dokumentace vznikala po dobu asi dvou měsíců a na jejím zpracování se podíleli všichni řídící pracovníci - management úřadu i vedoucí oddělení. Konečnou podobu dokumentu mělo na starosti naše oddělení, tedy odbor informatiky. Jednou takto podrobně zpracovaná dokumentace nemá bohužel časově neomezenou platnost. Každý úřad je živý organismus, kde časem dochází k personálním změnám, slučování nebo rozdělování funkcí, změnám v obsahu pracovní náplně a podobně. Tyto změny je třeba promítnout i do systému zabezpečení dat. Proto je nutné i tuto dokumentaci průběžně doplňovat a revidovat podle aktuálního stavu. Jedině pak plní svoji funkci a má průkaznou hodnotu.
Co bylo podnětem ke zpracování tak podrobného dokumentu ?
Rozbory a analýzami činnosti úřadu ve vztahu k informačním technologiím se zabýváme systematicky už několik let, od prvních aplikací. Impulsem v tomto detailu bylo upozornění, že s osobními údaji nakládáme neoprávněně. Nebyla to pravda, ale v tu chvíli jsme neměli žádný nástroj, kterým bychom byli schopni oprávněnost jasně a prokazatelně doložit. Záležitost jsme konzultovali na několika úrovních, včetně Úřadu na ochranu osobních údajů. Na základě získaných informací jsme zpracovali uvedenou dokumentaci pro práci s osobními údaji, která dnes chrání jednotlivé pracovníky i úřad jako celek před podobnými nepříjemnými situacemi.
