Pražská správa sociálního zabezpečení (UOOU-03601/20)
Zpracování osobních údajů při poskytování online služeb (ePortál)
Kontrola Pražské správy sociálního zabezpečení (PSSZ) byla zahájena na základě kontrolního plánu Úřadu pro rok 2020, zaměřila se na dodržování povinností stanovených obecným nařízením v souvislosti se zpracováním osobních údajů klientů PSSZ, včetně jejich zpracování při poskytování online služeb prostřednictvím ePortálu, provozovaného Českou správou sociálního zabezpečení (ČSSZ).
Okresní správy sociálního zabezpečení (OSSZ) jsou územní organizační jednotky ČSSZ, které se podílejí ve vymezených oblastech na realizaci sociálního pojištění v okruhu své působnosti.
PSSZ je územní organizační jednotka ČSSZ, která vykonává působnost OSSZ a další svěřené úkoly na území hlavního města Prahy. PSSZ svoji činnost vykonává na území hlavního města Prahy také prostřednictvím územních pracovišť.
ČSSZ je orgánem sociálního zabezpečení, jehož působnost je upravena především zákonem č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, a dalšími právními předpisy (zákon č. 155/1995 Sb., o důchodovém pojištění, zákon č. 187/2006 Sb., o nemocenském pojištění, zákon č. 589/1992 Sb., o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti), které svěřují ČSSZ působnost a stanovují požadavky na výkon státní správy, kterou má vykonávat. Podle § 6 odst. 2 zákona č. 582/1991 Sb. vykonává působnost OSSZ na území hlavního města Prahy PSSZ a plní úkoly stanovené v uvedených zákonech. PSSZ je územní organizační jednotkou ČSSZ. Kromě úkolů uložených v §§ 6 – 10b) zákona č. 582/1991 Sb. plní PSSZ další svěřené úkoly na území hlavního města Prahy.
PSSZ jako zaměstnavatel zpracovává i osobní údaje svých zaměstnanců, včetně uchazečů o zaměstnání podle zákona č. 234/2014 Sb., o státní službě, a zákona č. 262/2006 Sb., zákoníku práce.
Podle uvedených právních předpisů PSSZ jako správce zpracovává osobní údaje, včetně zvláštních kategorií osobních údajů klientů, v následujícím rozsahu: identifikační, adresní údaje, kontaktní údaje, údaje pro provádění nemocenského pojištění, důchodového pojištění, lékařské posudkové služby, údaje o výběru pojistného, údaje, evidované na základě požadavků práva Evropských společenství a podle mezinárodních smluv o sociálním zabezpečení, majetkové a finanční údaje, zdravotní stav a trestní záležitosti.
Kontrolující touto kontrolou neposuzovali postavení PSSZ v postavení zpracovatele ve vztahu k čl. 4 bodu 8 obecného nařízení.
PSSZ plní při zpracování osobních údajů povinnost jí stanovenou v čl. 6 odst. 1 písm. b), c), e) a f) obecného nařízení, jejich zpracování je založeno na zákonném zmocnění upraveném zvláštními právními předpisy.
Kontrolou bylo zjištěno, že PSSZ plní i informační povinnost vůči svým klientům dle ustanovení čl. 12 obecného nařízení v rozsahu informace dle čl. 13 a 14 obecného nařízení, má nastaveny postupy při uplatňování práv klientů dle čl. 15-23 obecného nařízení. V rámci zabezpečení osobních údajů, které PSSZ zpracovává, byla zavedena a přijata vhodná opatření pro zajištění úrovně zabezpečení odpovídající danému riziku.
Na základě kontrolních zjištění bylo kontrolujícími konstatováno plnění povinností dle čl. 25 a čl. 32 obecného nařízení, porušení nebylo shledáno.