Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Kontrola subjektu Královéhradecký kraj

V termínu stanoveném kontrolním plánem byla provedena kontrola v Královéhradeckém kraji. Prověřována byla zpracování osobních údajů při výkonu státní správy v přenesené působnosti a při výkonu samostatné působnosti kraje, tedy údajů účastníků správních řízení, jejich vazebních osob a dalších dotčených osob, získávaných přímo od subjektu údajů prostřednictvím formulářů nebo z korespondence, stejně jako takové údaje získávané z informačního systému evidence obyvatel nebo jiného seznamu vedeného pro úřední potřebu a zpracování osobních údajů zaměstnanců Královéhradeckého kraje a osob vstupujících do objektu Královéhradeckého kraje. Rovněž tato kontrola sledovala dodržování všech relevantních povinností stanovených zákonem o ochraně osobních údajů a zákonem o evidenci obyvatel. Bylo při ní přímo použito sedmnáct dalších předpisů upravujících zpracování osobních údajů, např. správní řád, zákon o archivnictví a spisové službě, zákon o lesích a zákoník práce.

Královéhradecký kraj zpracovává osobní údaje formou elektronických datových souborů v jedenácti síťových aplikacích v lokální počítačové síti a čtyřech aplikacích provozovaných samostatně. K jednotlivým aplikacím jsou – s výjimkou technických systémů určených ke sledování objektu – současně vedeny listinné datové soubory, nebo listinná spisová dokumentace. Ve dvojí roli působí kraj při zpracování osobních údajů informačního systémů evidence obyvatel: jednak podle § 3 zákona o evidenci obyvatel zapisuje do informačního systému evidence obyvatel údaje o fyzických osobách, které nabyly nebo pozbyly státní občanství, jednak je uživatelem údajů z tohoto systému o občanech přihlášených k trvalému pobytu ve správním obvodu kraje. Využívání bylo prověřeno za použití spisové dokumentace krajského úřadu a auditních záznamů pořízených Ministerstvem vnitra. Nebyl zjištěn žádný dotaz nesplňující podmínku použití pouze ve věcech, které jsou evidovány u Krajského úřadu Královéhradeckého kraje. Při zpracování osobních údajů pro jednotlivé účely a podle jednotlivých zvláštních zákonů byly zjištěny nedostatky pouze při zabezpečení osobních údajů.

V rámci automatizovaného zpracování osobních údajů bylo u Královéhradeckého kraje zjištěno pořizování ad hoc elektronických záznamů, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zpracovány v úplnosti ke třem aplikacím, pouze pro evidenci přístupu a ke změnám ve zpracovávaných osobních údajích ve dvou dalších aplikacích používaných shodně ke zpracování osobních údajů vlastních zaměstnanců, pouze pro evidenci přístupu ve dvou drobnějších aplikacích a nejsou pořizovány u devíti identifikovaných samostatných, nebo relativně samostatných zpracování osobních údajů prováděných za specifickým účelem.

Pro posouzení postupu Královéhradeckého kraje podle tohoto ustanovení zákona o ochraně osobních údajů se na zjištěný stav pohlíží tak, že požadované záznamy jsou pořízeny i tehdy, pokud je pořídilo Ministerstvo vnitra (ISEO) za součinnosti kontrolovaného spočívající ve vedení údajů ve spisu. Obsah spisu, počínaje spisovým přehledem a konče vloženým tiskovým výstupem nebo rukopisným záznamem o lustraci, jednoznačně vypovídají o účelu vyhledávání – pokud ten není zřejmý ze záznamu samotného, je doplněn provozní údaj, který o účelu vyhledávání v užším smyslu slova vypovídá. Pro tyto záznamy je rozhodné, že kontrolovaný zajistil řádné dokumentování prověřovaného zpracování a učinil tak s vědomím, že zpracování osobních údajů v ISEO je auditováno. Prověřování není pracovně náročné a umožňuje prověřit důvod vyhledávání v ISEO ve všech případech bez opětovného zadání identického dotazu.

Pouze u aplikace Katastr nemovitostí lze s přihlédnutím k veřejné dostupnosti týchž údajů od auditování přístupu upustit. U zbývajících třinácti aplikací je třeba přihlédnout k dostupnosti listinné části zpracování; pro dvě aplikace se s ohledem na konkrétní podmínky Královéhradeckého kraje záznamy podle ustanovení § 13 odst. 4 písm. c) o ochraně osobních údajů považují společně se záznamy k dalším třem systémům za pořizované v míře splňující požadavky zákona. Zjištěný stav byl vyhodnocen jako porušení povinnosti kontrolovaného podle ustanovení § 13 odst. 1 a odst. 4 písm. c) zákona o ochraně osobních údajů.

Krajský úřad zveřejňuje informace podle § 18 odst. 2 zákona o ochraně osobních údajů; informace zveřejněné ke dni zahájení kontroly nebyly veřejně dostupné v rozsahu vyplývajícím ze zákona, chyběly jakékoli informace o docházkovém a přístupovém systému. Povinnost nebyla použita na kamerový systém, který Královéhradecký kraj předem oznámil Úřadu podle § 16 zákona o ochraně osobních údajů.

K nápravě zjištěných nedostatků byla uložena tři opatření; správní řízení nebylo do konce roku 2010 zahájeno.