Ministerstvo vnitra (UOOU-3433/22)

Kontrola zpracování osobních údajů v Portálu občana

V návaznosti na koordinovanou dozorovou akci (CEF 2022) koordinovanou Evropským sborem pro ochranu osobních údajů (EDPB) byla Úřadem zahájena kontrola Portálu občana jakožto transakční části Portálu veřejné správy. Kontrolu Úřad provedl ve spolupráci s Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB).

S ohledem na povahu a rozsah zpracování osobních údajů se kontrola zaměřila především na provedené posouzení vlivu na ochranu osobních údajů (tzv. DPIA).

Bylo více shledáno více zásadních nedostatků, tedy porušení zákonných povinností. Zejména absentuje materiální posouzení nezbytnosti a přiměřenosti operací z hlediska účelů (požadavek podle čl. 35 odst. 7 GDPR). V předloženém posouzení vlivu na ochranu osobních údajů také nebyla uvedena opatření přijatá ke snížení ohodnocených rizik (požadavek podle čl. 35 odst. 7 písm. d) obecného nařízení). Ve vztahu k posouzení vlivu na ochranu osobních údajů navíc nebylo prokázáno vyžádání posudku pověřence pro ochranu osobních údajů (povinnost daná zněním čl. 35 odst. 2 GDPR) a kontrolovaná osoba též nedostatečně prováděla přezkum posouzení vlivu na ochranu osobních údajů (tj. porušila povinnost vyplývající z čl. 35 odst. 11 obecného nařízení).

Dále se kontrola zaměřila na uzavřené zpracovatelské smlouvy, zejména na smlouvu upravující vztah a povinnosti mezi Ministerstvem vnitra v roli správce osobních údajů a Národní agentury pro komunikační a informační technologie (NAKIT) v roli zpracovatele.

Zde bylo zjištěno porušení povinností stanovených čl. 28 odst. 3 GDPR, neboť z předložených dokumentů nevyplývala úprava některých oblastí, které GDPR předpokládá (např. jasně stanovený předmět a doba trvání zpracování, jeho účel a povaha, typ zpracovávaných osobních údajů, dále nebylo dostatečně smluvně ošetřeno zapojení dalšího zpracovatele do zpracování, nebylo též zohledněno provozování Portálu občana v rámci cloudového řešení).