Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Toto je ověřovací provoz nového webu ÚOOÚ. Původní stránky Úřadu naleznete na old.uoou.cz.

  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2010
  6. Kontrola zpracování osobních údajů v informačním systému Pražské správy sociálního zabezpečení

Kontrola zpracování osobních údajů v informačním systému Pražské správy sociálního zabezpečení

Jedna z kontrol se týkala dodržování povinností vyplývajících z ustanovení Hlavy II zákona o ochraně osobních údajů územním pracovištěm Pražské správy sociálního zabezpečení (dále jen „ÚP PSSZ“) při zpracování osobních údajů pojištěnců nemocenského pojištění. Účel a rozsah zpracování osobních údajů určuje zákon č. 187/2006 Sb., o nemocenském pojištění, OSSZ při provádění pojištění zaměstnaných osob a osob samostatně výdělečně činných plní úkoly stanovené tímto zákonem orgánu nemocenského pojištění, pokud nejde o úkoly, které plní česká správa sociálního zabezpečení. Úkoly okresních správ sociálního zabezpečení stanoví § 84 tohoto zákona. Způsoby zpracování osobních údajů, druhy operací k dosažení stanoveného účelu závazně určuje Česká správa sociálního zabezpečení. Podle § 120 odst. 4 zákona č. 187/2006 Sb. mohou orgány nemocenského pojištění vést evidenci o fyzických osobách pro účely tohoto zákona podle jejich rodných čísel. Výčet osobních údajů tento zákon stanoví v § 122. ÚP PSSZ využívá datovou základnu informačních systémů pojištění. Data jsou průběžně shromažďována z titulu plnění úkolů ČSSZ a okresních správ sociálního zabezpečení jako orgánů nemocenského pojištění podle §§ 84 a 85 a násl. zákona č. 187/2006 Sb., a to v rozsahu věcné a místní příslušnosti podle §§ 82 a 83.

Zákon č. 187/2006 Sb. upravuje nemocenské pojištění pro případ dočasné pracovní neschopnosti, nařízené karantény, těhotenství a mateřství a ošetřování člena domácnosti nebo péče o něj a organizaci a provádění pojištění. Prováděním pojištění se rozumí též posuzování zdravotního stavu pro účely pojištění (§ 1 odst. 1). Podle § 120 a násl. tohoto zákona údaje shromažďované orgány nemocenského pojištění pro účely provádění pojištění tvoří datovou základnu informačních systémů pojištění. Jednotlivé orgány jsou oprávněny shromažďovat údaje v rozsahu nezbytně nutném pro plnění jejich úkolů v oblasti pojištění, a to včetně údajů o jednotlivých pojištěncích. Informačními systémy pojištění jsou registry pojištěnců a registry zaměstnavatelů, které jsou informačními systémy veřejné správy podle zák. č. 365/2000 Sb. Informační systémy nejsou veřejně přístupné. Přístup do informačních systémů mají orgány nemocenského pojištění a orgány provádějící důchodové pojištění, a to i způsobem umožňujícím dálkový přístup. Registr pojištěnců obsahuje o pojištěncích údaje uvedené § 122 odst. 3, písm. a) – x) zákona o nemocenském pojištění (např. jméno a současné příjmení, rodné a všechna další příjmení předcházející¨současnému příjmení, datum a místo narození a datum úmrtí pojištěnce, pohlaví, rodné číslo, státní občanství, adresu trvalého pobytu, vznik a zánik pojištění a dobu přerušení pojištění, údaje o dávkách a o době trvání pracovní neschopnosti atd.). Posuzování zdravotního stavu pro účely pojištění upravuje část čtvrtá tohoto zákona, která dále zahrnuje posuzování zdravotního stavu pojištěnců a dalších osob pro účely pojištění, posuzování dočasné pracovní neschopnosti, pracovní schopnosti po uplynutí podpůrčí doby, zdravotního stavu pro účely poskytování peněžité pomoci v mateřství, ošetřovného a vyrovnávacího příspěvku v těhotenství a mateřství. Okresní správa sociálního zabezpečení tak zpracovává osobní údaje nezbytné pro dodržení jeho právní povinnosti dle zákona o nemocenském pojištění.

ÚP PSSZ jako správce osobních údajů má přijata potřebná opatření pro zabezpečení osobních údajů ve smyslu § 13 zákona o ochraně osobních údajů. Pro územní pracoviště PSSZ jsou závazné kromě zákonné úpravy interní směrnice ČSSZ a PSSZ. Zásadním vnitřním předpisem pro oblast IS je směrnice Bezpečnostní politika informací, která stanoví povinnosti zaměstnanců a vedoucích pracovníků v rámci dodržování bezpečnosti informací, a dále směrnice o bezpečnostní politice a technickoorganizačních opatřeních k ochraně osobních údajů v systémech organizačních jednotek ČSSZ, která vymezuje odpovědnost za provoz informačních a komunikačních technologií (IKT) v IS územních organizačních jednotek, stanovuje bezpečnostní politiku IS organizačních jednotek ČSSZ a pracoviště serverů stanovuje režimovým pracovištěm, stanovuje technickoorganizační opatření k zajištění ochrany osobních údajů v IS a povinnosti správce sítě, operátora výpočetní techniky, administrátora výpočetní techniky na územních organizačních jednotkách a uživatelů územních organizačních jednotek při ochraně osobních údajů. Oprávněným uživatelem IS územních organizačních jednotek ČSSZ je osoba s platným přístupem k IS, který byl udělen se souhlasem příslušného nadřízeného pracovníka.

Je stanovena odpovědnost za dodržování konfigurace technického a programového vybavení, zajištění antivirové ochrany, správný chod zařízení kryptografické ochrany při přenosu dat počítačovou sítí. Přijatá technickoorganizační opatření k zajištění ochrany osobních údajů jsou předmětem periodických prověrek. Jsou upraveny povinnosti uživatelů informačních systémů, včetně povinnosti mlčenlivosti a povinnosti zabezpečit, aby nedošlo k neoprávněnému přístupu k aplikacím IS. Upraveno je zabezpečení režimových pracovišť s umístěním serverů. Pro podmínky PSSZ byl vydán prováděcí pokyn ředitele PSSZ. Vydání bezpečnostní politiky informačního systému PSSZ a přijetí technickoorganizačních opatření k zajištění ochrany osobních údajů, který obsahově odpovídá uvedené směrnici ředitele odboru bezpečnostní politiky ČSSZ. Spisový a skartační řád a spisový a skartační plán upravuje manipulaci s došlými dokumenty, základní evidence a rozsah osobních údajů v nich, třídění dokumentů a jejich předávání příslušným organizačním útvarům, vyřizování dokumentů, vnitřní oběh dokumentů a jejich odesílání, zabezpečení spisů a jejich předávání do spisovny a skartování spisů. Směrnice ředitelky ČSSZ "Certifikační politika pro vydávání zaměstnaneckých certifikátů ČSSZ" stanoví závazné postupy pro žadatele o vydání zaměstnavatelské čipové karty, postup při vydávání těchto karet a přiřazování certifikátů, povinnosti držitelů zaměstnavatelského certifikátu. Jednotlivé fáze přístupu k IS tak podléhají autentizaci a autorizaci, vložení hesel a zadání přístupových kódů. Zaměstnanci mají podle zastávané pozice dle pracovní smlouvy individuálně přiznaná oprávnění k přístupům do informačního systému. Prováděcí pokyn ředitele PSSZ "Zabezpečení kanceláří, ochrana prostor a režim vstupu osob" byl vydán k zajištění bezpečnostních požadavků, zajištění vlastního provozu objektů PSSZ a k ochraně zpracovávaných dat.

Na základě kontrolních zjištění bylo v kontrolním protokolu konstatováno, že ÚP PSSZ při zpracování osobních údajů fyzických osob (subjektů údajů), pojištěnců nemocenského pojištění, postupuje v souladu s ustanoveními § 13 až § 15 zákona o ochraně osobních údajů.