Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Česká správa sociálního zabezpečení

Kontrola zpracování osobních údajů prostřednictvím ePortálu

Kontrola byla zahájena na základě Kontrolního plánu Úřadu pro rok 2019 a prověřovala zpracování osobních údajů v souvislosti s poskytováním elektronických služeb orgány veřejné správy a při poskytování služeb prostřednictvím ePortálu provozovaného Českou správou sociálního zabezpečení. ČSSZ je orgánem sociálního zabezpečení, jehož působnost je upravena zvláštními právními předpisy. Ve stanovených případech v rámci svého oprávnění poskytuje online elektronické služby formou poskytování služeb aplikace ePortálu ČSSZ, systému informační a komunikační rozhraní, umožňující klientovi obstarat si konkrétní informace a služby ČSSZ dálkově online formou přístupu z veřejné komunikační sítě internet. Současně poskytuje zabezpečené prohlížení vybraných údajů evidovaných v ČSSZ, umožňuje a nabízí k využití interaktivní tiskopisy a užitečné online služby, které klientům ČSSZ umožňují online komunikaci s ČSSZ, ale též s okresními správami sociálního zabezpečení. ePortál byl zaveden jako internetová samoobsluha, aplikace usnadňující klientům komunikaci s ČSSZ, předávání informací mezi klientem ČSSZ a samotnou ČSSZ, včetně osobních údajů klientů ePortálu. Zahrnuje i přiblížení některých, veřejnosti ne úplně známých institutů, pokud s kontrolou souvisí, tak aby si veřejnost mohla udělat z informace ucelený dojem a věděla, o co vlastně šlo.

Kontrolou nebylo zjištěno porušení povinností správce. Kontrolující hodnotili, zda zpracování osobních údajů, které bylo předmětem kontroly, probíhá v souladu s čl. 6 nařízení (EU) 2016/679, podle kterého musí správce osobních údajů vždy disponovat legitimním právním titulem. Kontrolující proto vyhodnotili zjištěný stav tak, že kontrolovaný neporušil povinnost stanovenou v čl. 6 odst. 1 nařízení (EU) 2016/679, tedy že zpracování osobních údajů je založeno na zákonném zmocnění kontrolovaného upraveném zvláštními právními předpisy.

Kontrolující se dále zaměřili na posouzení plnění povinnosti uvedené v ustanovení čl. 12 nařízení (EU) 2016/679, v souvislosti s poskytováním informací, v rozsahu čl. 13 a 14 tohoto nařízení a vyhodnotili zjištěný stav tak, že kontrolovaný neporušil povinnosti stanovené v čl. 12 nařízení (EU) 2016/679, ani v rozsahu čl. 13 a 14 tohoto nařízení, tedy že je kontrolovaným plněna informační povinnost.

Kontrolující hodnotili rovněž splnění povinnosti stanovené v čl. 15–23 nařízení (EU) 2016/679. Podle těchto ustanovení má subjekt údajů právo na přístup k osobním údajům, tj. právo žádat a získat relevantní informace o zpracování jeho osobních údajů a rovněž právo vznést námitku. Kontrolující vyhodnotili zjištěný stav tak, že kontrolovaný neporušil povinnost stanovenou v čl. 15–23 nařízení (EU) 2016/679, tedy že poskytuje subjektům údajů právo na přístup k osobním údajům.

Dále byly hodnoceny povinnosti podle čl. 28 nařízení (EU) 2016/679, tj. zda kontrolovaný využívá služeb zpracovatele a zda má uzavřenu příslušnou smlouvu, pokud mu zpracovatele nestanoví konkrétní zákon. Po zhodnocení obsahu předložených smluv proto kontrolující konstatovali, že spolupráce správce a zpracovatele je nastavena způsobem, který odpovídá požadavkům čl. 28 odst. 2 a 3 nařízení (EU) 2016/679, čímž je dán i předpoklad k závěru, že nedochází k porušení základní povinnosti vyjádřené v odst. 1 zmíněného ustanovení nařízení.

Kontrolující dále ověřili plnění povinnosti, která kontrolovanému vyplývá z čl. 30 odst. 1 nařízení (EU) 2016/679, tj. povinnost vést záznamy o činnostech zpracování. Kontrolou bylo zjištěno, že kontrolovaný v pozici správce zpracoval záznamy o činnosti.

Kontrolou nebylo zjištěno porušení povinností.