Jednotný informační systém práce a sociálních věcí

V průběhu roku 2012 byla jednou z rozsáhlejších kontrol, a to jak rozsahem prováděných úkonů, tak i objemem zpracovávaných osobních údajů, kontrola zabezpečení osobních dat v Jednotném informačním systému práce a sociálních věcí. Kontrola probíhala od března 2012 do ledna 2013.

Správcem osobních údajů bylo Ministerstvo práce a sociálních věcí České republiky (dále jen „MPSV“), zpracovatelem pak v prvé řadě Generální ředitelství Úřadu práce České republiky (dále jen „ÚP“) a vzhledem k tomu, že celý systém byl konstruován z hardwarového i softwarového hlediska jako cloudová služba, i řada soukromých subjektů.

Úřad se zaměřil především na to, zda zákazník cloudových služeb (jednající jako správce údajů) trval na tom, aby poskytovatelé cloudových služeb přijali vhodná technická a organizační opatření na ochranu osobních údajů, za která odpovídají. Odpovědnost správce údajů za jejich zabezpečení definuje zákon č. 101/2000 Sb. zejména v §§ 13 – 15.

Při kontrole bylo zjištěno, že MPSV ČR a ÚP ČR se dopustily dvou zásadních porušení zákona. Statutární zástupci obou těchto subjektů především svým pokynem zaměstnancům relativizovali povinnost zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby.

Dalším, neméně závažným porušením zákona, bylo nesplnění podmínky pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány.

Správci osobních údajů, tj. MPSV, bylo kontrolujícími inspektory uloženo napravit nesoulad se zákonem v termínu do 31. března 2013 a bylo s ním zahájeno správní řízení. Ve správním řízení pak byla MPSV za výše uvedená porušení povinností při zpracování osobních údajů uložena pokuta.