Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2010
  6. Kontrola zpracování osobních údajů v informačním systému Pražské správy sociálního zabezpečení

Kontrola zpracování osobních údajů v informačním systému Pražské správy sociálního zabezpečení

Jedna z kontrol se týkala dodržování povinností vyplývajících z ustanovení Hlavy II zákona o ochraně osobních údajů územním pracovištěm Pražské správy sociálního zabezpečení (dále jen „ÚP PSSZ“) při zpracování osobních údajů pojištěnců nemocenského pojištění. Účel a rozsah zpracování osobních údajů určuje zákon č. 187/2006 Sb., o nemocenském pojištění, OSSZ při provádění pojištění zaměstnaných osob a osob samostatně výdělečně činných plní úkoly stanovené tímto zákonem orgánu nemocenského pojištění, pokud nejde o úkoly, které plní česká správa sociálního zabezpečení. Úkoly okresních správ sociálního zabezpečení stanoví § 84 tohoto zákona. Způsoby zpracování osobních údajů, druhy operací k dosažení stanoveného účelu závazně určuje Česká správa sociálního zabezpečení. Podle § 120 odst. 4 zákona č. 187/2006 Sb. mohou orgány nemocenského pojištění vést evidenci o fyzických osobách pro účely tohoto zákona podle jejich rodných čísel. Výčet osobních údajů tento zákon stanoví v § 122. ÚP PSSZ využívá datovou základnu informačních systémů pojištění. Data jsou průběžně shromažďována z titulu plnění úkolů ČSSZ a okresních správ sociálního zabezpečení jako orgánů nemocenského pojištění podle §§ 84 a 85 a násl. zákona č. 187/2006 Sb., a to v rozsahu věcné a místní příslušnosti podle §§ 82 a 83.

Zákon č. 187/2006 Sb. upravuje nemocenské pojištění pro případ dočasné pracovní neschopnosti, nařízené karantény, těhotenství a mateřství a ošetřování člena domácnosti nebo péče o něj a organizaci a provádění pojištění. Prováděním pojištění se rozumí též posuzování zdravotního stavu pro účely pojištění (§ 1 odst. 1). Podle § 120 a násl. tohoto zákona údaje shromažďované orgány nemocenského pojištění pro účely provádění pojištění tvoří datovou základnu informačních systémů pojištění. Jednotlivé orgány jsou oprávněny shromažďovat údaje v rozsahu nezbytně nutném pro plnění jejich úkolů v oblasti pojištění, a to včetně údajů o jednotlivých pojištěncích. Informačními systémy pojištění jsou registry pojištěnců a registry zaměstnavatelů, které jsou informačními systémy veřejné správy podle zák. č. 365/2000 Sb. Informační systémy nejsou veřejně přístupné. Přístup do informačních systémů mají orgány nemocenského pojištění a orgány provádějící důchodové pojištění, a to i způsobem umožňujícím dálkový přístup. Registr pojištěnců obsahuje o pojištěncích údaje uvedené § 122 odst. 3, písm. a) – x) zákona o nemocenském pojištění (např. jméno a současné příjmení, rodné a všechna další příjmení předcházející¨současnému příjmení, datum a místo narození a datum úmrtí pojištěnce, pohlaví, rodné číslo, státní občanství, adresu trvalého pobytu, vznik a zánik pojištění a dobu přerušení pojištění, údaje o dávkách a o době trvání pracovní neschopnosti atd.). Posuzování zdravotního stavu pro účely pojištění upravuje část čtvrtá tohoto zákona, která dále zahrnuje posuzování zdravotního stavu pojištěnců a dalších osob pro účely pojištění, posuzování dočasné pracovní neschopnosti, pracovní schopnosti po uplynutí podpůrčí doby, zdravotního stavu pro účely poskytování peněžité pomoci v mateřství, ošetřovného a vyrovnávacího příspěvku v těhotenství a mateřství. Okresní správa sociálního zabezpečení tak zpracovává osobní údaje nezbytné pro dodržení jeho právní povinnosti dle zákona o nemocenském pojištění.

ÚP PSSZ jako správce osobních údajů má přijata potřebná opatření pro zabezpečení osobních údajů ve smyslu § 13 zákona o ochraně osobních údajů. Pro územní pracoviště PSSZ jsou závazné kromě zákonné úpravy interní směrnice ČSSZ a PSSZ. Zásadním vnitřním předpisem pro oblast IS je směrnice Bezpečnostní politika informací, která stanoví povinnosti zaměstnanců a vedoucích pracovníků v rámci dodržování bezpečnosti informací, a dále směrnice o bezpečnostní politice a technickoorganizačních opatřeních k ochraně osobních údajů v systémech organizačních jednotek ČSSZ, která vymezuje odpovědnost za provoz informačních a komunikačních technologií (IKT) v IS územních organizačních jednotek, stanovuje bezpečnostní politiku IS organizačních jednotek ČSSZ a pracoviště serverů stanovuje režimovým pracovištěm, stanovuje technickoorganizační opatření k zajištění ochrany osobních údajů v IS a povinnosti správce sítě, operátora výpočetní techniky, administrátora výpočetní techniky na územních organizačních jednotkách a uživatelů územních organizačních jednotek při ochraně osobních údajů. Oprávněným uživatelem IS územních organizačních jednotek ČSSZ je osoba s platným přístupem k IS, který byl udělen se souhlasem příslušného nadřízeného pracovníka.

Je stanovena odpovědnost za dodržování konfigurace technického a programového vybavení, zajištění antivirové ochrany, správný chod zařízení kryptografické ochrany při přenosu dat počítačovou sítí. Přijatá technickoorganizační opatření k zajištění ochrany osobních údajů jsou předmětem periodických prověrek. Jsou upraveny povinnosti uživatelů informačních systémů, včetně povinnosti mlčenlivosti a povinnosti zabezpečit, aby nedošlo k neoprávněnému přístupu k aplikacím IS. Upraveno je zabezpečení režimových pracovišť s umístěním serverů. Pro podmínky PSSZ byl vydán prováděcí pokyn ředitele PSSZ. Vydání bezpečnostní politiky informačního systému PSSZ a přijetí technickoorganizačních opatření k zajištění ochrany osobních údajů, který obsahově odpovídá uvedené směrnici ředitele odboru bezpečnostní politiky ČSSZ. Spisový a skartační řád a spisový a skartační plán upravuje manipulaci s došlými dokumenty, základní evidence a rozsah osobních údajů v nich, třídění dokumentů a jejich předávání příslušným organizačním útvarům, vyřizování dokumentů, vnitřní oběh dokumentů a jejich odesílání, zabezpečení spisů a jejich předávání do spisovny a skartování spisů. Směrnice ředitelky ČSSZ "Certifikační politika pro vydávání zaměstnaneckých certifikátů ČSSZ" stanoví závazné postupy pro žadatele o vydání zaměstnavatelské čipové karty, postup při vydávání těchto karet a přiřazování certifikátů, povinnosti držitelů zaměstnavatelského certifikátu. Jednotlivé fáze přístupu k IS tak podléhají autentizaci a autorizaci, vložení hesel a zadání přístupových kódů. Zaměstnanci mají podle zastávané pozice dle pracovní smlouvy individuálně přiznaná oprávnění k přístupům do informačního systému. Prováděcí pokyn ředitele PSSZ "Zabezpečení kanceláří, ochrana prostor a režim vstupu osob" byl vydán k zajištění bezpečnostních požadavků, zajištění vlastního provozu objektů PSSZ a k ochraně zpracovávaných dat.

Na základě kontrolních zjištění bylo v kontrolním protokolu konstatováno, že ÚP PSSZ při zpracování osobních údajů fyzických osob (subjektů údajů), pojištěnců nemocenského pojištění, postupuje v souladu s ustanoveními § 13 až § 15 zákona o ochraně osobních údajů.