Hlavní navigace

Změny kvůli GDPR se nevyhnou ani spisové službě

Jana Langerová

Ve spisové službě se hodně pracuje s osobními údaji, proto pracovníci jistě ocení doporučení vydaná Ministerstvem vnitra ČR obsahující cenné metodiky.

Doba čtení: 5 minut

S výkonem spisové služby je už nyní spojeno mnoho zákonů, například zákon 499/2004 Sb. o archivnictví a spisové službě ve znění pozdějších předpisů nebo zákon č. 101/ 200 Sb o ochraně osobních údajů. 

Právě podle něj je už nyní správce povinný stanovit účel, k němuž mají být osobní údaje zpracovány, stanovit prostředky a způsob jejich zpracování, shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro jeho naplnění. Dále je má uchovávat pouze po dobu nezbytně nutnou k účelu zpracování a zpracovávat je v souladu se zákonem. Z tohoto hlediska je nařízení GDPR o ochraně osobních údajů pouze rozšířením těchto povinností. S tím souhlasí také Tomáš Bezouška, president Institutu pro správu dokumentů, který podotýká, že pokud je spisová služba vedena v souladu se souvisejícími zákony, je příprava na GDPR jednoduchá: V podstatě je jen otázkou zavedení rejstříku osob a organizačního nastavení, které upraví používání osobních údajů v metadatech eSSL, dodává. 

Původce se tak v tomto ohledu stává správcem osobních údajů a musí zajistit realizaci požadavků plynoucích z GDPR a plnit své povinnosti vůči subjektům údajů, tedy fyzickým osobám, jejichž údaje jsou zpracovávány. Také je nutné upravit všechny informační systému spravující dokumenty (ISSD) a další informační systémy, jako jsou databáze a soubory obsahující osobní údaje žijících osob. K novým povinnostem souvisejícím s GDPR bude také ohlašování případů porušení zabezpečení ochrany údajů, posuzování vlivu těchto údajů a konzultace s úřadem ochrany osobních údajů.  

Mezi další povinnosti patří zabezpečení dokumentů obsahujících osobní údaje proti přístupu neoprávněných osob, a to včetně vlastních zaměstnanců. Řešení je hned několik. V prvé řadě je možné uvést informace o oprávnění pracovat s osobními údaji přímo do smluv se zaměstnanci nebo tak učinit prostřednictvím vnitřních norem, dále se nabízí omezení řetězového a fulltextového vyhledávání v ISSD podle přístupových práv jeho uživatelů. Další možností je výše zmíněné využívání jmenných rejstříků, přičemž nahlížení do nich lze umožnit jen menší skupině uživatelů (proti ISSD). Tento rejstřík je podle mě nezbytný pro naplnění práv subjektu údajů, zejména práva na informace o zpracování osobních údajů, doplňuje Tomáš Bezouška. Využít se dá také pseudonymizace a anonymizace, kdy se při pseudonymizaci nahrazují osobní údaje dané osoby bezvýznamovým identifikátorem a přístup k nim je omezen identifikačním klíčem. Při anonymizaci dochází pak k úplnému odstranění osobních údajů identifikujících osobu. V těchto případech je však důležité, aby nedošlo k nevratnému poškození zdrojových dokumentů.

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Psali jsme: Jak je to s GDPR a transparentností?

Práva fyzických osob

Každá fyzická osoba má právo požádat původce o informace týkající se toho, jaké údaje o něm v dokumentech zpracovává, pro jaký účel, v jakém rozsahu, na základě jakého titulu a po jakou dobu budou uloženy. Původce naopak má oznamovací povinnost o úpravě, výmazu, omezení zpracování nebo o úmyslu předat tyto údaje do třetí země nebo mezinárodní organizaci. 

Další práva fyzických osob jsou:

EBF 2018 tip v článku řečníci

  • vznést námitku,
  • na výmaz (být zapomenut),
  • na opravu, 
  • na přenositelnost údajů.

Co se týče práva na výmaz, musí zde původce zohlednit také další povinnosti, které mu vyplývají ze zákona o archivnictví a spisové službě, tedy konkrétně například povinnost uchovat dokument a umožnit výběr archiválií. Pokud jsou dokumenty zpracovávány v ISSD a dalších evidencích, pak je výmaz nebo odstranění z tohoto systému možné provést až po uplynutí skartačních lhůt a jejich zařazení do procesu výběru archiválií, a to jen u těch dokumentů, které nebudou u příslušných úřadů vybrány jako archiválie.

Dále čtěte: Princip založený na riziku a odpovědnosti. Dva základní pilíře GDPR

Důležitá doporučení

Tak jako v jiných oborech patří mezi hlavní doporučení spojená se zaváděním GDPR především analýza, a to jak všech činností souvisejících s informacemi a osobními údaji, tak také agend a systémů, kde jsou osobní údaje, nebo například právních předpisů nebo IT řešení. Právě v této oblasti je třeba provést dobrou analýzu zpracování osobních údajů a identifikovat patřičné IT systémy zpracovávající osobní údaje. Následně je třeba provést analýzu rizik pro tyto systémy, ze které vyjdou požadavky na případné úpravy a změny, vysvětluje Tomáš Bezouška. 

Dále je důležité stanovit postupy a politiku ochrany, zkontrolovat přístupová oprávnění a bezpečnost uložení různých dokumentů, spisů a informací. Myslet je třeba také na zaměstnance a proškolit je z hlediska politiky hesel a jejich návyků. Nemělo by chybět ani nastavení odpovědnosti nebo revize pracovních smluv. Dále Ministerstvo vnitra ČR doporučuje provést revize spisového řádu, výkonu spisové služby, ISSD, správy dat a jejich záloh a také připravit všechny procesy a postupy spojené s GDPR. 

Přečtěte si: Je DIČ fyzické osoby na faktuře osobní údaj? Radíme, jak jej řeší GDPR

Změny čekají také software

Z hlediska IT je důležitá jak implementace novinek, tak také udržitelnost. V IT řešeních je nutno poskytnout takovou architekturu, která podporuje principy „privacy by design“, tedy ochranu soukromí už od návrhu. Řešení by mělo být plně funkční, bezpečné a otevřené (podporující transparentnost a viditelnost). Nejedná se pouze o jednorázové úpravy, ale kontinuální proces a trvalý děj. 

Z hlediska změn přímo ve společnostech záleží na stavu, v jakém se informační systémy organizace nacházejí. Pokud je systém navržen rozumně a průběžně spravován, je třeba zaměřit se jen na problémy specifické pro GDPR. Pokud organizace investice do systému dlouhodobě podceňovala, může příprava na GDPR znamenat nutnost zásadních úprav jak vlastní IT technologie, tak zejména procesů její správy, údržby a rozvoje, dodává dále Tomáš Bezouška. Ke konkrétním změnám v systémech patří například zavedení evidence požadavků od subjektu údajů. 

Na českém trhu existuje mnoho softwarových řešení pro původce dokumentů. Jedním z nich je i open source řešení Mojespisovka, jehož tvůrci v reakci na praktické potřeby původců dokumentů musí připravit zcela novou verzi tohoto softwaru. Registrujeme zvýšený zájem a požadavky původců na metodickou pomoc, kdy potřebují informace spojující technickou a formálně právní oblast výkonu spisové služby prostřednictvím elektronické spisové služby. Sami tedy musíme naplnit požadavky GDPR v oblasti vývoje, poskytování našich služeb a zároveň pomáháme původcům dokumentů, vysvětluje Petr Hřích

Nejen spisové služby se dotknou další plánované změny související s elektronickou identifikací (eID), mezi které patří nové elektronické průkazy s čipem plánované na 1. července 2018. Na konci září nabyde účinnosti také nařízení eiDAS, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu, s čímž souvisí například rozšíření elektronických dokumentů. Obecně platí, že by toto nařízení mělo být uplatňováno plně v souladu s nařízeními GDPR a mělo by vést ke zvýšení důvěry občanů k využívání IT systémů.