Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Ministerstvo práce a sociálních věcí

Kontrola plnění povinností správce při zabezpečení osobních údajů žadatelů o dávky a zaměstnanců MPSV a Úřadu práce ČR

Kontrola MPSV a společností (Fujitsu a VITSOL) byla zahájena na základě pokynu předsedkyně Úřadu reagujícího na podnět Národního bezpečnostního úřadu. Z obsahu podnětu vznikala obava ze zneužití zálohovaných dat ministerstva a úřadů práce v externích datových centrech, z jejich řádného vrácení a nevratné likvidace společnostmi (zpracovateli podle zákona č. 101/2000 Sb.).

MPSV přistoupilo k Prováděcí smlouvě (smlouva uzavřená Ministerstvem vnitra ČR se společností Fujitsu), na jejímž základě došlo k modifikaci smluvního vztahu postupným uzavíráním dodatků. Předmětem dodatků byl závazek společnosti poskytovat ministerstvu a úřadům práce služby, spočívající v poskytování pronájmu výpočetní kapacity v externích datových centrech, na nichž byly provozovány nejen informační systémy zajišťující výplaty nepojistných sociálních dávek a dávek státní politiky zaměstnanosti, ale i informační systémy pro Identity management a elektronickou spisovou službu ministerstva a úřadů práce. Uvedené služby pak pro Fujitsu zajišťovala společnost VITSOL.

Z obsahu podnětu vznikla obava, že při ukončení smluvního vztahu ministerstva se společnostmi by mohlo dojít ke zneužití zálohovaných dat v externích datových centrech, z jejich řádného vrácení a nevratné likvidace dat. Aby kontrolující eliminovali reálné riziko, vydali Rozhodnutí o nařízení předběžného opatření. Společnostem tak bylo nařízeno zdržet se a zabránit jakékoliv činnosti, která by vedla ke změně či výmazu dat (osobních údajů žadatelů sociálních dávek, zaměstnanců a souvisejících provozních dat MPSV a úřadů práce).

V souvislosti s výše uvedeným byla kontrola zaměřena na plnění povinností ministerstva při zabezpečení osobních údajů žadatelů o dávky a zaměstnanců, zejména pak na přijetí technicko-organizačních opatření při ukončení smluvního vztahu se společnostmi při procesu řádného vrácení veškerých zálohovaných dat MPSV, úřadů práce, nevratné likvidace osobních údajů a dále přijetí opatření při kontrole přístupů k záznamům o činnostech se zálohovanými daty v externích datových centrech (k tzv. logům).

Společnosti v datových centrech zálohovaly (zpracovávaly) velký rozsah osobních údajů nejen žadatele o sociální dávky, který je nezbytný shromažďovat a dále zpracovávat za účelem přiznání jednotlivých dávek (např. jméno, příjmení, rodné příjmení, datum a místo narození, rodné číslo, adresa bydliště, telefon, e-mail, datová schránka, číslo občanského průkazu, číslo cestovního dokladu, číslo karty sociálního systému, číslo bankovního účtu), ale i některých osobních údajů společně posuzovaných osob žadatele o příspěvek či dávku. Dále v souladu se zákonem č. 329/2011 Sb., o poskytování dávek osobám se zdravotním postižením a o změně souvisejících zákonů, byly zálohovány i citlivé údaje vypovídající o zdravotním stavu žadatele (zdravotní postižení). V souvislosti se správou informačních systémů pro Identity management a elektronickou spisovou službu byly v externích datových centrech zálohovány i další osobní údaje (zaměstnanců MPSV a úřadů práce).

Podle Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, se řadí informační systémy ministerstva mezi kritické systémy, a proto je nezbytné, aby správci takovýchto systémů důsledně plnili povinnosti při zabezpečení osobních údajů. V případě, kdy ministerstvo jako správce dle zákona č. 101/2000 Sb. pověří zpracováním osobních údajů zpracovatele (společnost), musí postupovat v souladu s § 6 zákona č. 101/2000 Sb. Toto ustanovení zákona deklaruje, že: „ Pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu. Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. “

Kontrolující vyhodnotili obsah smluvních ujednání ministerstva se společností Fujitsu, zejména Prováděcí smlouvu a její postupně uzavírané dodatky. Tyto nejenže neobsahovaly záruky společnosti (zpracovatele) o technickém a organizačním zabezpečení ochrany osobních údajů, ale neupravovaly ani konkrétní postupy a opatření smluvních stran při ukončení smluvního vztahu v souvislosti se zpracováním osobních údajů. Ministerstvo tak porušilo citované ustanovení § 6 zákona č. 101/2000 Sb.

Dále se kontrolující zaměřili na plnění povinnosti ministerstva při zabezpečení osobních údajů žadatelů o dávky a dalších posuzovaných osob zálohovaných v datových centrech. Podle § 13 odst. 1 zákona č. 101/2000 Sb. je „ správce a zpracovatel povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. “ Podle odst. 2 téhož ustanovení zákona je „ správce nebo zpracovatel povinen zpracovat a dokumentovat přijatá a provedená technicko-organizačních opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. “ Odst. 4 písm. c) § 13 citovaného zákona ukládá správci nebo zpracovateli povinnost „ pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány. “

Kontrolující vyhodnotili zjištěný stav a konstatovali, že v průběhu ukončování služeb se společnostmi, ministerstvo v souvislosti s vrácením záloh a likvidací dat přijalo dostatečná technicko-organizační opatření ve smyslu ustanovení § 13 odst. 1 odst. 2 zákona č. 101/2000 Sb.

Podle smluvních ujednání se společnostmi nemělo ministerstvo přístup k záznamům o činnosti se zpracovávanými daty v datových centrech (k tzv. logům). Ze strany MPSV jako správce tak bylo nezbytné přijmout podle § 13 odst. 1 zákona č. 101/2000 Sb. opatření související s pravidelnou kontrolou oprávněnosti přístupů k datům uloženým v datových centrech. Kontrolou bylo zjištěno, že během trvání smluvního vztahu, tj. od přistoupení k Prováděcí smlouvě, ministerstvo neplnilo kontrolní činnost směrem k ustanovení § 13 odst. 4 písm. c), a tím porušilo povinnost vyplývající z § 13 odst. 1) zákona č. 101/2000 Sb., a v důsledku tak ztratilo průběžnou kontrolu nad nakládáním s produkčními daty zálohovanými v externích datových centrech.

Kontrolující se v rámci provedené kontroly zaměřili i na přijetí opatření při likvidaci osobních údajů v datových centrech v souvislosti s ukončením smluvního vztahu se společnostmi. MPSV spolu se společnostmi stanovilo jednoznačný postup pro likvidaci dat a kontrolující konstatovali, že provedená opatření, na nichž se MPSV aktivně podílelo, znemožnilo zneužití dat před jejich smazáním a vybraný způsob smazání dat zaručoval vysoký stupeň účinné likvidace dat.

Za spáchání správního deliktu dle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb. Úřad ministerstvu uložil pokutu ve výši 150.000 Kč.

Kontrolu řídila inspektorka Mgr. et Mgr. Božena Čajková.