Ochrana osobních údajů v elektronické spisové službě: Právní a praktické souvislosti

Bezpečné zpracování osobních údajů v ESS vyžaduje smlouvu podle GDPR. Článek shrnuje právní důvody, povinnosti i roli pověřence.

GDPR ochrana osobních údajů

S nástupem digitální doby získává správa osobních údajů stále větší význam nejen v soukromé, ale i ve veřejné sféře. Spisové služby, dříve vnímané především jako nástroj pro archivaci a evidenci dokumentů, dnes představují klíčový prvek pro bezpečné nakládání s citlivými daty. Moderní informační systémy propojují správu osobních údajů s komplexními procesy spisové služby a vytvářejí prostředí, kde transparentnost, bezpečnost a efektivita jdou ruku v ruce.

Způsob, jakým instituce a organizace nakládají s osobními údaji, prochází zásadní proměnou pod tlakem legislativních požadavků a rostoucích očekávání veřejnosti. Propojení osobních údajů se spisovou službou se tak stává nejen otázkou technické infrastruktury, ale i zásadní součástí strategie ochrany soukromí každého jednotlivce. Tento článek se zaměří na to, jaké výzvy a přínosy přináší vzájemné propojení osobních údajů a spisové služby v dnešní digitálně propojené společnosti.

Zdůvodnění potřeby smluvního zajištění provozu elektronické spisové služby z pohledu ochrany osobních údajů.

Pro provoz elektronické spisové služby (ESS), která zahrnuje i jmenný rejstřík jako součást vedené agendy, je nezbytné uzavřít smlouvu o dílo nebo smlouvu o poskytování služeb s externím dodavatelem. Dodatkem této smlouvy bude zpracovatelská smlouva, která se bude vázat na tento informační systém (KEO, GINIS, GEOVAP…) . Toto smluvní ujednání není pouze organizační či technickou formalitou, ale má zásadní význam z pohledu zákonného zajištění zpracování osobních údajů, ochrany veřejného zájmu a dodržení povinností stanovených právními předpisy.

Zpracování osobních údajů v ESS

Elektronická spisová služba slouží k vedení dokumentace, spisů a rejstříků, které obsahují osobní údaje fyzických osob (např. jmenný rejstřík, identifikační údaje účastníků řízení, žadatelů, zaměstnanců apod.).

Tím dochází k systematickému zpracování osobních údajů, často ve velkém rozsahu, přičemž může jít i o citlivé údaje nebo údaje podléhající zvláštním režimům (např. údaje o dětech, zdravotním stavu, trestní bezúhonnosti).

Nutnost smlouvy podle GDPR

Podle čl. 28 nařízení GDPR je správce údajů povinen uzavřít písemnou smlouvu o zpracování osobních údajů s každým zpracovatelem, který jeho jménem osobní údaje zpracovává.

V případě elektronické spisové služby se jedná právě o takového zpracovatele, protože:

  •  má přístup k osobním údajům uloženým v systému,

  • zajišťuje jejich technické zpracování (uložení, přenos, zabezpečení, zálohování),

  • může se podílet na podpoře systému, implementaci změn, migraci dat apod.

  • Smlouva tedy musí přesně vymezit účel, rozsah, povahu zpracování a technická a organizační opatření, která budou přijata pro ochranu údajů.

Kontrolované procesy a dohled ÚOOÚ

Zpracování údajů v ESS podléhá potenciálně kontrolám ze strany Úřadu pro ochranu osobních údajů (ÚOOÚ), který v minulosti opakovaně prověřoval způsob vedení a zabezpečení elektronických spisových služeb zejména ve veřejné správě a školství.

Nedostatečné smluvní zajištění, chybějící doložky o odpovědnosti zpracovatele nebo nedostatečné zabezpečení může být vyhodnoceno jako porušení GDPR, což může vést ke správnímu řízení a sankcím.

Role pověřence pro ochranu osobních údajů (DPO)

  • Zajištění řádného smluvního vztahu mezi správcem a zpracovatelem je součástí běžné agendy pověřence dle článku 39 GDPR, zejména:

  • sledování souladu zpracování údajů s GDPR (včetně smluvních vztahů se zpracovateli),

  • poskytování doporučení ohledně posouzení dopadů a smluvního zabezpečení služeb,

  • spolupráce s dozorovým úřadem v případě dotazů či kontrol,

  • kontrola transparentnosti a zabezpečení dat zpracovávaných prostřednictvím IT systémů.

Pověřenec tak má nejen právo, ale i povinnost do těchto procesů vstupovat, posuzovat rizika, a doporučovat uzavření vhodného typu smluvního vztahu, který bude chránit správce i subjekty údajů.

Závěr

Uzavření smlouvy o dílo nebo smlouvy o poskytování služeb, která zahrnuje i zpracovatelskou smlouvu, je v oblasti elektronické spisové služby nejen právní povinností vyplývající z článku 28 nařízení GDPR, ale také nezbytným nástrojem pro zvládnutí rizik spojených se zpracováním osobních údajů. Takové smluvní zajištění slouží nejen k ochraně správce před možnými kontrolními dopady ze strany Úřadu pro ochranu osobních údajů, ale současně představuje důležitou součást odpovědnosti a agendy pověřence pro ochranu osobních údajů. Správně nastavený smluvní vztah se zpracovatelem tak přispívá k ochraně veřejného zájmu, zajištění souladu s legislativou a k důvěře občanů v to, jak instituce a organizace nakládají s jejich osobními údaji.

Loading...