S nástupem digitální doby získává správa osobních údajů stále větší význam nejen v soukromé, ale i ve veřejné sféře. Spisové služby, dříve vnímané především jako nástroj pro archivaci a evidenci dokumentů, dnes představují klíčový prvek pro bezpečné nakládání s citlivými daty. Moderní informační systémy propojují správu osobních údajů s komplexními procesy spisové služby a vytvářejí prostředí, kde transparentnost, bezpečnost a efektivita jdou ruku v ruce.
Způsob, jakým instituce a organizace nakládají s osobními údaji, prochází zásadní proměnou pod tlakem legislativních požadavků a rostoucích očekávání veřejnosti. Propojení osobních údajů se spisovou službou se tak stává nejen otázkou technické infrastruktury, ale i zásadní součástí strategie ochrany soukromí každého jednotlivce. Tento článek se zaměří na to, jaké výzvy a přínosy přináší vzájemné propojení osobních údajů a spisové služby v dnešní digitálně propojené společnosti.
Zdůvodnění potřeby smluvního zajištění provozu elektronické spisové služby z pohledu ochrany osobních údajů.
Pro provoz elektronické spisové služby (ESS), která zahrnuje i jmenný rejstřík jako součást vedené agendy, je nezbytné uzavřít smlouvu o dílo nebo smlouvu o poskytování služeb s externím dodavatelem. Dodatkem této smlouvy bude zpracovatelská smlouva, která se bude vázat na tento informační systém (KEO, GINIS, GEOVAP…) . Toto smluvní ujednání není pouze organizační či technickou formalitou, ale má zásadní význam z pohledu zákonného zajištění zpracování osobních údajů, ochrany veřejného zájmu a dodržení povinností stanovených právními předpisy.
Zpracování osobních údajů v ESS
Elektronická spisová služba slouží k vedení dokumentace, spisů a rejstříků, které obsahují osobní údaje fyzických osob (např. jmenný rejstřík, identifikační údaje účastníků řízení, žadatelů, zaměstnanců apod.).
Tím dochází k systematickému zpracování osobních údajů, často ve velkém rozsahu, přičemž může jít i o citlivé údaje nebo údaje podléhající zvláštním režimům (např. údaje o dětech, zdravotním stavu, trestní bezúhonnosti).
Nutnost smlouvy podle GDPR
Podle čl. 28 nařízení GDPR je správce údajů povinen uzavřít písemnou smlouvu o zpracování osobních údajů s každým zpracovatelem, který jeho jménem osobní údaje zpracovává.
V případě elektronické spisové služby se jedná právě o takového zpracovatele, protože:
má přístup k osobním údajům uloženým v systému,
zajišťuje jejich technické zpracování (uložení, přenos, zabezpečení, zálohování),
může se podílet na podpoře systému, implementaci změn, migraci dat apod.
Smlouva tedy musí přesně vymezit účel, rozsah, povahu zpracování a technická a organizační opatření, která budou přijata pro ochranu údajů.
Kontrolované procesy a dohled ÚOOÚ
Zpracování údajů v ESS podléhá potenciálně kontrolám ze strany Úřadu pro ochranu osobních údajů (ÚOOÚ), který v minulosti opakovaně prověřoval způsob vedení a zabezpečení elektronických spisových služeb zejména ve veřejné správě a školství.
Nedostatečné smluvní zajištění, chybějící doložky o odpovědnosti zpracovatele nebo nedostatečné zabezpečení může být vyhodnoceno jako porušení GDPR, což může vést ke správnímu řízení a sankcím.
Role pověřence pro ochranu osobních údajů (DPO)
Zajištění řádného smluvního vztahu mezi správcem a zpracovatelem je součástí běžné agendy pověřence dle článku 39 GDPR, zejména:
sledování souladu zpracování údajů s GDPR (včetně smluvních vztahů se zpracovateli),
poskytování doporučení ohledně posouzení dopadů a smluvního zabezpečení služeb,
spolupráce s dozorovým úřadem v případě dotazů či kontrol,
kontrola transparentnosti a zabezpečení dat zpracovávaných prostřednictvím IT systémů.
Pověřenec tak má nejen právo, ale i povinnost do těchto procesů vstupovat, posuzovat rizika, a doporučovat uzavření vhodného typu smluvního vztahu, který bude chránit správce i subjekty údajů.
Závěr
Uzavření smlouvy o dílo nebo smlouvy o poskytování služeb, která zahrnuje i zpracovatelskou smlouvu, je v oblasti elektronické spisové služby nejen právní povinností vyplývající z článku 28 nařízení GDPR, ale také nezbytným nástrojem pro zvládnutí rizik spojených se zpracováním osobních údajů. Takové smluvní zajištění slouží nejen k ochraně správce před možnými kontrolními dopady ze strany Úřadu pro ochranu osobních údajů, ale současně představuje důležitou součást odpovědnosti a agendy pověřence pro ochranu osobních údajů. Správně nastavený smluvní vztah se zpracovatelem tak přispívá k ochraně veřejného zájmu, zajištění souladu s legislativou a k důvěře občanů v to, jak instituce a organizace nakládají s jejich osobními údaji.