E-government – Ochrana osobních údajů (7. díl)
Dnes se v seriálu o E-governmentu zaměříme na ochranu osobních údajů.
Nejprve si řekneme, co to vlastně osobní údaje jsou, poté se budeme věnovat legislativě, Úřadu pro ochranu osobních údajů a na závěr si povíme něco o uživatelských certifikátech.
Vymezení pojmů
Nejprve bychom si měli jasně specifikovat pojem osobní údaj. Osobním údajem se podle zákona č. 101/2000 Sb., o ochraně osobních údajů a o změněně některých zákonů, ve znění pozdějších předpisů, rozumí jakákoliv informace, týkající se určeného nebo určitelného subjektu údajů.
Subjekt údajů se považuje za určený nebo alespoň určitelný v případě, že na jejím základě lze provést jeho přímou nebo nepřímou identifikaci. takovou informací může být kód, rodné číslo, nebo soubor prvků, které identifikují jeho fyziognomii, kulturní, či sociální identitu apod.
Subjektem údajů, tedy osobou, ke které se osobní údaje vztahují, může být pouze fyzická osoba. Subjektem údajů tedy nemůže být právnická osoba ani stát, který je osobou sui generis (svého druhu).
Citlivé údaje
Specifickým druhem osobních údajů jsou citlivé údaje, které lze shromažďovat pouze při dodržení zvláštních zákonných podmínek.
Citlivým údajem se podla zákona o ochraně osobních údajů rozumí údaje, vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů.
Dále za citlivý údaj považuje jakýkoliv biometrický nebo genetický údaj subjektu údajů.
Správcem osobních údajů je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak.
Pokud zmocnění zpracovatele nevyplývá z právního předpisu, jako je tomu například při zpracování osobních údajů Českým statistickým úřadem podle zákona č. 89/1995 Sb., o státní statistické službě, ve znění pozdějších předpisů, musí správce vždy uzavřít ze zpracovatelem smlouvu o zpracování osobních údajů.
Správce je mj. povinen ve smlouvě zavázet zpracovatele k poskytnutí záruk o technickém a organizačním zabezpečení ochrany osobních údajů. Pokud smlouva tyto záruky zpracovatele neobsahuje, může to být Úřadem pro ochranu osobních údajů kvalifikováno jako porušení zákona správcem osobních údajů, spočívající v tom, že nepřijal dostatečná opatření proti zneužití osobních údajů.
Zákon o ochraně osobních údajů
Zákon o ochraně osobních údajů č. 101/2000 Sb.
vycházíme ze zákona ve znění následujících novel:
č. 227/2000 Sb., č. 177/2001 Sb., č. 450/2001 Sb., č. 107/2002 Sb., č. 309/2002 Sb., č. 310/2002 Sb., č. 517/2002 Sb., č. 439/2004 Sb., č. 480/2004 Sb., č. 626/2004 Sb., č. 413/2005 Sb., č. 444/2005 Sb., č. 109/2006 Sb., č. 112/2006 Sb. a č. 342/2006 Sb..
Smyslem zákona o ochraně osobních údajů je zajistit Listinou základních práv a svobod zaručené právo na ochranu občana před neoprávněným zasahováním do jeho soukromého a osobního života, neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním osobních údajů.
Zákon upravuje práva a povinnosti při nakládání s osobními údaji a stanovuje, za jakých podmínek budou tyto údaje předány do zahraničí. Zákon zřídil Úřad pro ochranu osobních údajů (ÚOOÚ), kterému svěřil kompetence ústředního správního úřadu pro oblast ochrany osobních údajů (viz níže).
Práva a povinnosti správce osobních údajů aneb zpracuj a znič
Podle zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, je správce povinen uchovávat osobní údaje pouze po dobu nezbytně nutnou a pro účel, který ho vedl k shromáždění těchto údajů. Po uplynutí „nezbytně nutné doby“ se mohou osobní údaje uchovávat pouze pro účely státní statistické služby, pro účely vědecké nebo pro účely archivnictví.
Je tedy otázkou, zda není plánované zavedení centrálních registrů veřejné správy v rozporu s tímto zákonem.
Další ustanovením, kterým se platná legislativa rozchází s plány vládní koalice na budování centrálních registrů je toto: „Správce je povinen…nesdružovat osobní údaje, které byly získány k rozdílným účelům“. Registry, které si od sebe budou navzájem půjčovat naše osobní údaje se s touto částí zákona rozhodně neztotožňují.
Na otázku zda jsou centrální registry ohrožením svobody občanů, nebo zda jde o krok správným směrem, nechť si každý odpoví sám. Jisté však je, že čím víc našich údajů bude v elektronické podobě, tím důmyslnější musí být způsob jejich zabezpečení.
Další zákony související s ochranou osobních údajů
Zákon o některých službách informační společnosti č. 480/2004 Sb.
Tento zákon upravuje v souladu s právem Evropských společenství odpovědnost a práva a povinnosti osob, které poskytují služby informační společnosti a šíří obchodní sdělení.
Zákon o evidenci obyvatel a rodných číslech, ve znění pozdějších předpisů č. 133/2000 Sb.
Zákon o elektronických komunikacích, ve znění pozdějších předpisů č. 127/2005 Sb.
Tento zákon upravuje, na základě směrnice Evropského parlamentu a Rady 2002/19/ES o přístupu k sítím a přidruženým zařízením a o jejich vzájemném propojení, podmínky podnikání a výkon státní správy, včetně regulace trhu, v oblasti elektronických komunikací.
Úřad pro ochranu osobních údajů
Nyní se podíváme na instituci, která by nám měla garantovat bezpečné zacházení s našimi osobními údaji – Úřad pro ochranu osobních údajů.
Úřad pro ochranu osobních údajů (ÚOOÚ) je nezávislým orgánem, který:
- Provádí dozor nad dodržováním zákonem stanovených povinností při zpracování osobních údajů,
- Vede registr povolených zpracování osobních údajů,
- Přijímá podněty a stížnosti občanů na porušení zákona,
- Poskytuje konzultace v oblasti ochrany osobních údajů
Jak již bylo řečeno ÚOOÚ kontroluje dodržování zásad ochrany osobních údajů ve smyslu zákona 101/2000 Sb. ÚOOÚ se také řídí rovněž zákonem č. 127/2005 Sb. a vykonává dozor nad dodržováním povinností při zpracováním osobních údajů v oblasti elektronických komunikací.
Ochrana osobních údajů v souvislosti s Evropskou unií
V současné době, kdy se zdá, že Evropská ústava byla alespoň na nějakou dobu zametena pod koberec, je ochrana osobních údajů v EU ošetřena v dokumentu Charta základních práv EU, která byla považována za předstupeň „Euroústavy“.
Právo na ochranu osobních údajů začalo být velmi diskutovaným tématem po 11. září, kdy se veřejné zájmy začaly nenápadně stavit téměř na stejnou rovinu, jako zásady demokracie. Jako příklad lze uvést nedávnou obnovenou dohodu o poskytování osobních údajů občanů cestujících do USA (viz článek na ISVS zde).
V souvislosti se stále se rozvíjejícími se informačními technologiemi a tím pádem rostoucím rizikem zneužití osobních údajů, byla EU nucena sjednotit postup členských států v zabezpečení osobních dat v elektronické podobě.
Ochránci osobních údajů v EU se opírají o velice propracované a postupně dále rozvíjené právo Evropských společenství, tzv. acquis communautaire. Jeho základem je Směrnice 95/46/ES /ES Evropského parlamentu a Rady z 24. října 1995, o ochraně jednotlivců s ohledem na zpracování osobních údajů a o volném pohybu takovýchto údajů. Tato směrnice se však dala jen velmi těžko implementovat do legislativních řádů jednotlivých členských států.
Následovala další směrnice 97/66/ES Evropského parlamentu a Rady z 15. prosince 1997, týkající se zpracování osobních údajů a ochrany soukromí v sektoru telekomunikací.V rámci harmonizace českého právního řádu s touto a dalšími směrnicemi, v rámci příprav vstupu ČR do EU, byl přijat již zmiňovaný zákon č. 101/2000 Sb.o ochraně osobních údajů, který dal vzniknout ÚOOÚ.
Dalším závazný dokument, převzatý od Rady Evropy je Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat č.108 ETS z roku 1981.Ta je určující pro úroveň ochrany osobních údajů v tak významných oblastech, jako je evropská spolupráce vymezená dohodami a úmluvami o Europolu a Schengenu.
Třetí nejvýznamnější normou práva EU po obecné směrnici 95/46/ES a Úmluvě ETS 108 převzaté od Rady Evropy je poměrně nedávná Směrnice 2002/58/ES z 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronické komunikace (směrnice o soukromí a elektronické komunikaci).
Nástroje pro ochranu osobních údajů v rámci e-Governmentu
V současné době zajišťuje identifikaci a tím i zabezpečení sdělovaných osobních údajů v komunikaci s veřejnou správou elektronický certifikát. Jde o šifrovací metodu, která zaručuje, že odeslané informace bude schopen přečíst pouze k tomu oprávněná osoba (pracovník úřadu). Certifikáty také fungují k „podepisování“ elektronických dokumentů.
Když podepisujete transakci, šifrujete tím informaci pomocí vašeho privátního klíče. Příjemce ověří přijatou informaci pomocí veřejného klíče obsaženého ve vašem certifikátu.
Podepsáním transakce:
- je ověřená vaše identita
- je chráněna integrita samotných informací
Certifikáty lze získat od důvěryhodných certifikačních autorit, jejich seznam naleznete na stránkách www.micr.cz
Pro elektronickou komunikaci s občany vláda plánuje zavedení tzv. bezvýznamového identifikátoru, který by měl nahradit významová rodná čísla, z nichž lze vyčíst pohlaví, datum narození a někdy dokonce i místo narození.
V dalším dílu našeho seriálu se budeme zabývat přístupem k informacím.
Díly seriálu:
E-government – Strategické dokumenty (1. díl)
E-government – Jak je to s legislativou? (2. díl)
E-government- Registry dat veřejné správy (3. díl)
E-Government – Atestace a certifikace (4. díl)
E-Government – Referenční rozhraní (5. díl)
E-Government – Ochrana osobních údajů (7. díl)
Zdroje:
Odpovědět na příspěvek