Späť

Nariadenie GDPR a práca v IS DCOM

Už onedlho – presne 25. mája 2018 – bude aj pre mestá a obce povinné európske Nariadenie č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. Poznáme ho pod skratkou GDPR - General Data Protection Regulation.

Európska rada a parlament ho prijali 27. apríla 2016 a povinné osoby v členských štátoch EÚ dostali dvojročné prechodné obdobie, počas ktorého mohli s novým nariadením zosúladiť svoje vnútorné procesy. Medzi povinné osoby patria aj slovenské obce a mestá, či ostatné orgány verejnej moci. Osobné údaje teda od 25. mája budú musieť spracúvať podľa prísnejších podmienok nového nariadenia.

GDPR prináša pre obce viaceré zmeny v oblasti ochrany osobných údajov. Je potrebné ich (aj pod hrozbou vysokých sankcií) zapracovať do interných obecných procesov. Platí to pre všetky otázky spracúvania a ochrany osobných údajov.

GDPR tak nepredstavuje:

  • len právny problém,
  • len procesy,
  • len IT a softvér a
  • len bezpečnosť.

Ide o komplexný okruh tém ochrany osobných údajov prechádzajúci legislatívou, bezpečnosťou a procesom riadenia, ktorý sa dotýka každej obce či mesta. 

 

GDPR všeobecne

Je potrebné si uvedomiť, že ochrana osobných údajov v súlade s nariadením GDPR predstavuje mimoriadne širokú problematiku, ktorej komplexnosť a povaha presahuje informačný systém DCOM. Združenie DEUS, ktoré DCOM prevádzkuje, preto nemôže celú agendu GDPR zabezpečiť obciam takzvane „na kľúč“.

U obcí, ktoré IS DCOM používajú, sme identifikovali viaceré okruhy spracúvania osobných údajov. Z nich sa len niektoré nachádzajú v DCOM-e:

Aj keď sa istá časť osobných údajov obcí pripojených k DCOM-u spracúva prostredníctvom tohto systému, podstatná časť osobných údajov zostáva v ostatných informačných systémoch obce, prípadne v papierových kartotékach. Mnoho osobných údajov obcí sa tak nachádza mimo dosahu združenia DEUS a IS DCOM. Nastavenie vnútorných procesov a spôsob ochrany osobných údajov mimo práce obce v DCOM-e je tak mimo dosahu združenia DEUS, a teda výlučne v pôsobnosti každej obce. 

 

GDPR a IS DCOM

Pri práci v IS DCOM budete plniť všetky povinnosti vyplývajúce z nariadenia bez ohľadu na to, ako komplexná a rozsiahla je problematika GDPR.

Zosúladenie DCOM-u s požiadavkami nariadenia predstavuje pre združenie DEUS množstvo administratívnych úkonov, vývoj nových funkcionalít a rozsiahle programátorské zásahy priamo do systému. Tie však obciam, ktoré DCOM používajú, nijako nespoplatňujeme. Preto máte celé zosúladenie DCOM-u s nariadením o GDPR zarátané v cene príspevku na prevádzku nášho informačného systému.

Podľa nariadenia musí na spracúvanie osobných údajov obcou existovať právny základ – relevantný právny titul, v zmysle ktorého sa dané spracúvanie uskutočňuje. Viaceré dnes využívané právne základy sa v dôsledku nariadenia o GDPR budú meniť („spracúvanie pri výkone verejnej moci“), alebo zanikajú úplne (ako napríklad „priamy marketing v poštovom styku“ alebo „ďalšie spracúvanie už zverejnených osobných údajov“). V dôsledku týchto skutočností:

1. sa budú meniť elektronické formuláre IS DCOM tak, že ku niektorým pribudne zaškrtávacie políčko vyjadrenia súhlasu dotknutej osoby so spracúvaním osobných údajov. Relevantné právne tituly ku každej z elektronických služieb DCOM-u budú zosumarizované v príslušnej bezpečnostnej dokumentácii.

Súčasťou tejto dokumentácie budú aj ďalšie dokumenty vypracované združením DEUS. Obciam budú  k dispozícií tak, aby si ich vedeli pripojiť k svojej vlastnej bezpečnostnej dokumentácii (alebo ich využijú ako vzor).

Jedná sa o:

2. Posúdenie vplyvu spracúvania osobných údajov, ktoré tvorí základnú analýzu určujúcu riziká pri spracúvaní osobných údajov v IS DCOM.

3. Záznamy ku každej zo 138 elektronických služieb IS DCOM (nahrádzajú „evidenčnú povinnosť“). Tu bude ku každej službe presne vymedzený právny základ spracúvania osobných údajov, účel ich spracúvania, údaje obce, opis kategórií dotknutých osôb a osobných údajov, predpokladané lehoty ukladania daných údajov a ďalšie.

4. Preukázanie dostatočných záruk sprostredkovateľa, ktoré predstavuje vyhlásenie združenia DEUS o poskytnutí dostatočných záruk o prijatých primeraných technických a organizačných opatreniach tak, aby spracúvanie spĺňalo požiadavky nariadenia GDPR. Tým sa zabezpečí ochrana práv dotknutej osoby.

Obce budú mať povinnosť pri získavaní osobných údajov poskytnúť dotknutým osobám široký rozsah informácií.  Ide napríklad o údaje o obci, účel a právny základ spracúvania, či dobu uchovávania týchto údajov. Prostredníctvom IS DCOM bude táto povinnosť splnená. Pretože:

5. Dotknutej osobe budú tieto informácie poskytnuté už pri vypĺňaní elektronického formuláru IS DCOM. Systém bude evidovať poskytnutie týchto informácií voči každej dotknutej osobe. Vďaka tomu bude obec vedieť splnenie tejto povinnosti aj preukázať.

Nariadenie prináša aj niekoľko zmien v oblasti úpravy zmluvných vzťahov medzi prevádzkovateľom a sprostredkovateľom. Týka sa to zmluvy medzi obcou používajúcou IS DCOM a združením DEUS ako správcom IS DCOM. S rozšírením požiadaviek na takéto zmluvy bude preto nevyhnutné pristúpiť
k zmene a doplneniu ustanovení všeobecných zmluvných podmienok (VZP), ktoré sú súčasťou našich zmlúv. V upravených VZP tak pribudnú nové náležitosti, ako napríklad predmet a doba spracúvania, povaha a účel spracúvania, kategórie dotknutých osôb, či vzájomné práva a povinnosti obce a združenia DEUS.

6. Úpravy všeobecných zmluvných podmienok k zmluvám o pripojení k IS DCOM Vám budú distribuované v dostatočnom predstihu.

Podľa nariadenia o GDPR budú musieť obce do 72 hodín po zistení, že došlo k porušeniu bezpečnosti a ochrany osobných údajov, ohlásiť tieto skutočnosti nielen Úradu na ochranu osobných údajov, ale aj dotknutým osobám, ktorých sa tieto skutočnosti týkajú. Môže sa jednať napríklad o situácie, kedy pracovník obecného úradu omylom odošle rozhodnutie do elektronickej schránky iného adresáta, alebo budú chybou úradníka odcudzené prihlasovacie údaje do IS DCOM. Neohlásenie takéhoto incidentu bude pri jeho prešetrovaní úradom predstavovať závažnú priťažujúcu okolnosť.

7. Do IS DCOM pribudne funkcionalita ohlasovania bezpečnostných incidentov.

Bezpečnostný incident na poli ochrany osobných údajov môže vzniknúť aj mimo sveta IS DCOM. Preto obce, ktoré ho používajú, budú môcť prostredníctvom našej novej funkcionality nahlasovať aj bezpečnostné incidenty, ktoré vznikli mimo DCOM-u.  Napríklad môže ísť o stratu dát na USB kľúči, odcudzenie šanónu zo stavebného úradu alebo o neoprávnené vniknutie do priestorov obecného úradu.

8. Nariadenie aktívnym spôsobom pristupuje k spresňovaniu niektorých už dnes existujúcich práv dotknutých osôb. Tieto práva zároveň rozširuje o nové. Konkrétne sa jedná o práva:

  • Na informácie (čl. 13 a 14 Nariadenia), kedy si dotknuté osoby môžu vyžiadať poskytnutie informácií od obce v lehote 30 dní (ako napríklad účel a rozsah spracúvaných informácií či právny základ tohto spracúvania),
  • Na prístup (čl. 15 Nariadenia), kedy si dotknutá osoba môže po obci nárokovať potvrdenie, či spracúva osobné údaje, ktoré sa jej týkajú. A to vrátane potvrdenia ďalších informácií, ako napríklad účel ich spracúvania či predpokladaná doba, na ktorú sa plánujú spracúvať.
  • Nebyť v pôsobnosti rozhodovania založenom výlučne na automatizovanom spracúvaní vrátane profilovania (čl. 22 Nariadenia).
  • Na opravu (čl. 16 Nariadenia), po ktorého uplatnení ma obec povinnosť bez zbytočného odkladu opraviť nesprávne osobné údaje žiadateľa či doplnenie týchto údajov.
  • Na vymazanie a zabudnutie (čl. 14 Nariadenia). Vtedy  musí obec na žiadosť vymazať osobné údaje, ktoré už nie sú potrebné na účely, alebo ktoré sa získali nezákonne. Výnimku v tomto prípade tvorí plnenie zákonných úloh obce alebo plnenie úloh realizovaných vo verejnom záujme či pri výkone verejnej moci.
  • Na obmedzenie spracúvania (čl. 18 Nariadenia), pri ktorom musí obec obmedziť spracúvanie osobných údajov. Ak dotknutá osoba napríklad napadne ich správnosť, spracúvanie je protizákonné. Týka sa to aj prípadu, kedy obec už nepotrebuje osobné dáta, no potrebuje ich dotknutá osoba za účelom obhajovania alebo uplatňovania jej nárokov.
  • Na prenosnosť (čl. 20 Nariadenia), kedy má dotknutá osoba oprávnenie získať späť svoje osobné údaje (poskytnuté obci napríklad na základe súhlasu dotknutej osoby) a preniesť tieto údaje inému prevádzkovateľovi.
  • Namietať (čl. 21 Nariadenia) kedykoľvek spracúvanie osobných údajov smerujúcich k profilovaniu či priamemu marketingu. Rovnako môže namietať spracúvanie osobných údajov pri plnení úloh realizovaných vo verejnom záujme či pri výkone verejnej moci.

V každom prípade, kedy obec vyhovie právu na opravu alebo vymazanie, musí oznámiť túto skutočnosť aj každému príjemcovi, ktorému dotknuté dáta poskytla. S výnimkou, ak sa to ukáže ako nemožné alebo vyžadujúce neprimerané úsilie.

V nadväznosti na zmeny prinášané nariadením o GDPR v oblasti práv dotknutých osôb platí, že:

9. do IS DCOM pribudne viacero nástrojov, prostredníctvom ktorých budú používatelia nášho systému schopní zabezpečiť uplatnenie práv dotknutých osôb, keď si o to požiadajú.

Tieto nástroje budú pozostávať z technických častí samotného systému IS DCOM a podpory v bezpečnostnej dokumentácii. Napríklad, ak príde na obec používajúcu IS DCOM žiadosť o informácie podľa čl. 13 a 14 Nariadenia spojená so žiadosťou o prístup podľa čl. 15 Nariadenia, obec bude schopná cez IS DCOM potvrdiť žiadateľovi nielen to, aké údaje sa o ňom v systéme vedú. Bude schopná poskytnúť mu všetky potrebné informácie v zmysle dokumentácie IS DCOM, ktorú bude mať k dispozícií (napríklad relevantný právny titul alebo účel spracúvania bude uvedený v zázname a pod.).

10. Združenie DEUS ďalej príjme primerané technické a organizačné opatrenia tak, aby sme zabezpečili a boli schopní preukázať, že spracúvanie osobných údajov v IS DCOM sa vykonáva v súlade s nariadením o GDPR.

Preto v združení DEUS zavádzame také bezpečnostné opatrenia, aby sme obciam, ktoré  používajú IS DCOM, poskytli dostatočné záruky dodržania:

  • zásad spracúvania osobných údajov,
  • povahy, rozsahu, kontextu a účelu spracovateľskej operácie,
  • odolnosti a obnovy systémov spracúvania v IS DCOM,
  • poučenia oprávnených osôb,
  • prijatia primeraných opatrení na bezodkladné zistenie, či došlo k porušeniu ochrany osobných údajov a na promptné informovanie dozorného orgánu a dotknutej osoby,
  • prijatie primeraných opatrení, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov, či iný výkon práv dotknutej osoby.

Združenie DEUS bude nad rámec práce v IS DCOM pripravovať aj zodpovedajúcu metodickú podporu vo forme návodov či kódexov tak, aby sme obciam, ktoré DCOM používajú, čo najviac uľahčili prácu v systéme v súlade s požiadavkami GDPR.

Na záver je potrebné zopakovať, že zosúladenie systému IS DCOM s požiadavkami ochrany osobných údajov podľa nariadenia GDPR je pre obce súčasťou príspevku 1€/obyvateľa a nie je potrebné nič doplácať.