Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2023
  6. Kontrolní činnost v oblasti ochrany osobních údajů
  7. Ministerstvo vnitra (UOOU-03433/22)

Ministerstvo vnitra (UOOU-03433/22)

Kontrola zpracování osobních údajů v Portálu občana

Napříč evropskými dozorovými úřady proběhla koordinovaná kontrolní akce (CEF 2022), jejímž iniciátorem byl Evropský sbor pro ochranu osobních údajů (EDPB). Tematické zaměření bylo orientováno na využívání cloudových služeb. Na projektu se podílelo celkem 22 dozorových úřadů, prověřujících více než 75 věřených institucí napříč Evropskou unií a Evropským hospodářským prostorem. V první fázi společné akce byly formou dotazníkového šetření osloveny vybrané instituce, přičemž Úřad oslovil Ministerstvo práce a sociálních věcí, Ministerstvo vnitra a Národní agenturu pro komunikační a informační technologie. Na základě získaných poznatků byla následně zahájena kontrola u Ministerstva vnitra, konkrétně kontrola Portálu občana jakožto transakční části Portálu veřejné správy. Kontrolu Úřad provedl ve spolupráci s Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB).

S ohledem na povahu a rozsah zpracování osobních údajů se kontrola zaměřila na provedené posouzení vlivu na ochranu osobních údajů (tzv. DPIA). Bylo shledáno, že absentuje materiální posouzení nezbytnosti a přiměřenosti operací z hlediska účelů (požadavek dle čl. 35 odst. 7 GDPR). V předloženém posouzení vlivu na ochranu osobních údajů také nebyla uvedena opatření přijatá ke snížení ohodnocených rizik (požadavek dle čl. 35 odst. 7 písm. d) GDPR). Ve vztahu k posouzení vlivu na ochranu osobních údajů navíc nebylo prokázáno vyžádání posudku pověřence pro ochranu osobních údajů (povinnost daná zněním čl. 35 odst. 2 GDPR) a kontrolovaná osoba též nedostatečně prováděla přezkum posouzení vlivu na ochranu osobních údajů (tj. porušila povinnost vyplývající z čl. 35 odst. 11 GDPR).

Dále se kontrola zaměřila na uzavřené zpracovatelské smlouvy, zejména na smlouvu upravující vztah a povinnosti mezi Ministerstvem vnitra v roli správce osobních údajů a Národní agentury pro komunikační a informační technologie (NAKIT) v roli zpracovatele. Kontrolou bylo konstatováno porušení povinností stanovených čl. 28 odst. 3 GDPR, neboť z předložených dokumentů nevyplývala úprava některých oblastí, které GDPR předpokládá (např. jasně stanovený předmět a doba trvání zpracování, jeho účel a povaha, typ zpracovávaných osobních údajů, dále nebylo dostatečně smluvně ošetřeno zapojení dalšího zpracovatele do zpracování, nebylo též zohledněno provozování Portálu občana v rámci cloudového řešení). Pochybení byla způsobena zejména přílišnou obecností předložené zpracovatelské smlouvy, která dostatečně nezohlednila specifika Portálu občana.

Kontrolou bylo též konstatováno porušení čl. 24 odst. 1 GDPR, neboť kontrolovaná osoba nebyla schopna doložit soulad zpracování osobních údajů s GDPR, a to i v rámci výše uvedených oblastí.

V průběhu kontroly byla realizována dvě ústní jednání a místní šetření. Na základě předložených materiálů a ukázek v rámci místních šetření, a s ohledem na závěry Národního úřadu pro kybernetickou a informační bezpečnost, kontrolující neshledali ve vztahu k provozování Portálu občana porušení povinností stanovených v oblasti zabezpečení zpracování osobních údajů čl. 32 GDPR.

Proti kontrolním zjištěním kontrolovaná osoba nepodala námitky. Kontrolované osobě bylo uloženo ve stanoveném termínu podat písemnou zprávu o odstranění nedostatků zjištěných kontrolou.

Doplňující informace: V souvislosti s přijetím zákona č. 471/2022 Sb., kterým se mění zákon č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů, ve znění pozdějších předpisů, a další související zákony, došlo k 1. dubnu 2023 k převedení činností v oblasti eGovernmentu a Správy základních registrů z Ministerstva vnitra do ústředního správního úřadu Digitální a informační agentura (DIA), tj. včetně činností týkajících se Portálu občana.