Vnitřní předpis města Dvůr Králové nad Labem č. 23/2012
Směrnice pro ochranu osobních údajů
OBSAH ....................................................................... CHYBA! ZÁLOŽKA NENÍ DEFINOVÁNA.
1
ÚVOD ............................................................................................................................. 4 1.1 PŘEDMĚT A ÚČEL ............................................................................................................. 4 1.2 POJMY ............................................................................................................................. 4
2
URČENÍ ROLÍ V SYSTÉMU OCHRANY OSOBNÍCH ÚDAJŮ .................................... 7
3
VÝKON PRÁV A POVINNOSTÍ SPRÁVCE OSOBNÍCH ÚDAJŮ ................................ 8 3.1 POVINNOSTI OSOB............................................................................................................ 8 3.1.1 Tajemník ........................................................................................................... 8 3.1.2 Vedoucí věcně příslušných odborů ................................................................... 9 3.1.3 Určený strážník MPDK .................................................................................... 11 3.1.4 Oprávněné osoby ............................................................................................ 11 3.1.5 Vedoucí Odboru informatiky ........................................................................... 13 3.2 NEVEŘEJNÉ INFORMAČNÍ SYSTÉMY ................................................................................. 13 3.3 PODKLADY PRO KONTROLNÍ ČINNOST .............................................................................. 15
4
ZÁVĚREČNÁ USTANOVENÍ ...................................................................................... 16
Seznam Tabulek Tabulka 1: Seznam použitých pojmů a zkratek Tabulka 2: Podklady pro kontrolní činnost Seznam Příloh Příloha č. 1: Informace o zpracovávání osobních údajů zaměstnanců Příloha č. 2: Pravidla přístupu k neveřejným informačním systémům Příloha č. 3: Vzor katalogového listu Příloha č. 4: Vzor seznamu osob oprávněných ke zpracování osobních údajů
Tabulka 1
Seznam použitých pojmů a zkratek
P. č.
Pojem
1.
IT
2.
město
3.
MěÚ
4.
MPDK
Městská policie Dvůr Králové nad Labem
5.
ÚOOÚ
Úřad pro ochranu osobních údajů
6.
Zákon
zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, v platném znění
7.
zaměstnanci
Význam informační technologie město Dvůr Králové nad Labem Městský úřad Dvůr Králové nad Labem
zaměstnanci města zařazení do MěÚ
1 ÚVOD 1.1 PŘEDMĚT A ÚČEL Směrnice pro ochranu osobních údajů upravuje technicko-organizační opatření k zajištění ochrany osobních údajů v souladu s ust. § 13 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „Zákon“ nebo „zákon č. 101/2000 Sb.“) s cílem zajištění jednotného postupu při přijímání a realizaci opatření ochrany osobních údajů v podmínkách Městského úřadu Dvůr Králové nad Labem (dále jen „MěÚ“) a Městské policie Dvůr Králové nad Labem (dále jen „MPDK“).
1.2 POJMY Pro účely této směrnice se rozumí: 1) Auditní záznamy: záznamy o bezpečnostně významných událostech prováděných v operačním systému počítače, které tento systém automaticky zapisuje do zvláštních datových souborů. 2) Automatizované zpracování: zpracování, které zahrnuje operace: a) ukládání informací na nosiče dat; b) provádění logických nebo aritmetických operací s těmito daty, jejich změna, výmaz, vyhledávání neb rozšiřování uskutečňované zcela nebo zčásti pomocí automatizovaných postupů; c) provádění archivování informací jejich ukládáním na archivační paměťová média a v případě potřeby obnovování informací z archivních médií. 3) Citlivý údaj: osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů. Citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů (např. vzorek DNA, otisk prstu, scan oční sítnice). 4) Manuální zpracování: jakékoliv zpracování s výjimkou automatizovaného (listinná podoba, kartotéky, spisy). 5) Oprávněné osoby:
zpracování
a) starosta města a místostarostové; b) zaměstnanci v pracovním poměru k městu zařazení do MěÚ (dále jen „zaměstnanci“), kteří v rámci plnění pracovních povinností mají přístup k osobním údajům a dále je zpracovávají; c) zaměstnanci vykonávající práci na základě dohod o pracích konaných mimo pracovní poměr (dále jen „zaměstnanci“), kteří v rámci plnění povinností plynoucích jim ze smlouvy mají přístup k osobním údajům a dále je zpracovávají; d) osoby vykonávající praxi, stáž nebo rekvalifikační kurz u MěÚ na základě smluvního vztahu, které mají přístup k osobním údajům povolený vedoucím věcně příslušného odboru; e) zaměstnanci v pracovním poměru k městu zařazení do MPDK (dále jen „strážníci MPDK“), kteří v rámci plnění povinností plynoucích jim ze zastávané pozice mají přístup k osobním údajům a dále je zpracovávají. 6) Osobní údaj: jakákoliv informace týkající se určeného nebo určitelného subjektu údajů (viz dále). Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. 7) Příjemce: každý subjekt, kterému jsou osobní údaje zpřístupněny. Za příjemce se nepovažuje subjekt, který zpracovává osobní údaje pro potřeby výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci; v případech veřejného pořádku a vnitřní bezpečnosti; předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů; významného hospodářského a finančního zájmu České republiky nebo Evropské unie. 8) Správce: město Dvůr Králové nad Labem, zastoupené starostou města 9) Subjekt osobních údajů: fyzická osoba, k níž se osobní údaje vztahují. 10) Věcně příslušné odbory: pro účely tohoto předpisu se jedná o samostatné oddělení kontroly a interního auditu, pracovníka krizového řízení a odbory MěÚ podle platného „Organizačního řádu Městského úřadu Dvůr Králové nad Labem“, které jsou věcně příslušné ke zpracování osobních údajů.
11) Vedoucí věcně příslušných odborů: vedoucí zaměstnanci plnící povinnosti správce osobních údajů dále uvedené v této směrnici v působnosti jim podřízeného organizačního prvku: a) tajemník; b) samostatné oddělení kontroly a interního auditu – vedoucí samostatného oddělení kontroly a interního auditu, pracovník krizového řízení; c) odbory MěÚ – vedoucí příslušného odboru MěÚ; d) MPDK – určený strážník MPDK. 12) Zpracovatel: každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle Zákona. 13) Zpracování osobních údajů: jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. 14) Katalogové listy jsou pro účely této směrnice závazné formuláře, jimiž je plněna povinnost ze zákona; jejich vzor je přílohou této směrnice; v listinné podobě jsou uloženy na právním oddělení kanceláře tajemníka úřadu. 15) Seznamy osob oprávněných ke zpracování osobních údajů jsou pro účely této směrnice závazné formuláře, jimiž je plněna povinnost ze zákona; jejich vzor je přílohou této směrnice; v listinné podobě jsou uloženy na právním oddělení kanceláře tajemníka úřadu. 16) Manuál správce osobních údajů je souhrnem postupů a metodikou činnosti při zpracování osobních údajů, který detailněji rozpracovává jednotlivá ustanovení této směrnice; jeho aktuální znění je v listinné podobě uloženo na právním oddělení kanceláře tajemníka úřadu, v elektronické podobě je na serveru „U“.
2 URČENÍ ROLÍ V SYSTÉMU OCHRANY OSOBNÍCH ÚDAJŮ Pro řízení ochrany osobních údajů zpracovávaných u MěÚ jsou zřízeny následující bezpečnostní role: Starosta Správce osobních údajů zastupuje navenek starosta města. Tajemník Tajemník odpovídá starostovi za realizaci ustanovení Zákona a ostatních zvláštních zákonů, vztahujících se k problematice ochrany osobních údajů, u MěÚ. Vedoucí věcně příslušných odborů, vedoucí samostatného oddělení kontroly a interního auditu, pracovník krizového řízení (dále jen vedoucí) Vedoucí plní resp. zajišťují splnění opatření stanovených touto směrnicí ve své působnosti. Prakticky řídí, prosazují a kontrolují opatření k zajištění bezpečnosti osobních údajů zpracovávaných u jimi řízených odborů. Určený strážník MPDK Určený strážník MPDK odpovídá starostovi za realizaci ustanovení Zákona, ostatních zvláštních zákonů, vztahujících se k problematice ochrany osobních údajů, a této směrnice u MPDK. Oprávněné osoby Oprávněné osoby v rámci plnění svých pracovních povinností plní opatření k ochraně osobních údajů ve smyslu této směrnice.
3 VÝKON PRÁV A OSOBNÍCH ÚDAJŮ
POVINNOSTÍ
SPRÁVCE
3.1 POVINNOSTI OSOB 3.1.1 TAJEMNÍK Tajemník v rámci své odpovědnosti za ochranu osobních údajů u MěÚ: a) zajišťuje zahrnutí problematiky ochrany osobních údajů do plánu vzdělávání úředníků; b) pravidelně (dle potřeby, ale minimálně jednou v roce) zajišťuje informovanost oprávněných osob uvedených v čl. 1.2 odst. 5 písm. a) b), c) a d) této směrnice k problematice ochrany osobních údajů se zaměřením na: •
změny v případě novelizace Zákona 1, příp. dalších zákonů s dopadem do problematiky zpracování osobních údajů,
•
zevšeobecnění poznatků z kontrolní činnosti,
•
nové skutečnosti u města (MěÚ) promítající se do systému ochrany osobních údajů (organizační, dislokační, personální změny, upgrade HW nebo SW informačního systému apod.).
c) zajišťuje ochranu osobních údajů v jiných vnitřních předpisech a směrnicích města a MěÚ již při jejich tvorbě; d) organizuje a provádí kontrolní činnost 2 k dodržování zásad ochrany osobních údajů (po dohodě se starostou města může spolupracovat se samostatným oddělením kontroly a interního auditu); e) stanovuje a zajišťuje realizaci neodkladných opatření v oblasti zabezpečení ochrany osobních údajů; f) schvaluje přidělení přístupů zaměstnanců do neveřejných informačních systémů v případech, kdy je takové schválení správcem tohoto systému vyžadováno;
1
změny Zákona jsou průběžně zveřejňovány na www.uoou.cz v sekci „Právní předpisy“
2
podklady pro kontrolní činnost jsou uvedeny v čl. 3.3 směrnice
g) zajišťuje provedení změnového řízení této směrnice při změnách právního prostředí; h) při zpracování osobních údajů plní povinnosti oprávněné osoby podle čl. 3.1.4 směrnice. Úkony spojené s realizací 3.1.1 písm. b) až h) vyjma f) této směrnice zajišťuje právní oddělení kanceláře tajemníka úřadu (kromě a). 3.1.2 VEDOUCÍ Vedoucí v souladu s požadavky Zákona a této směrnice realizují opatření k ochraně osobních údajů ve své působnosti. Vedoucí je povinen: a) stanovit účely zpracování osobních údajů formou katalogových listů; pokud účel zpracování podléhá oznamovací povinnosti vůči ÚOOÚ, informovat o této skutečnosti tajemníka alespoň 10 pracovních dnů před odesláním registračního formuláře 3 Úřadu pro ochranu osobních údajů (dále jen ÚOOÚ“); b) stanovit oprávněné osoby formou katalogových listů a seznamů osob oprávněných ke zpracování osobních údajů včetně rozsahu a způsob zpracování osobních údajů, vytvořit jim podmínky k této činnosti včetně zajištění prostředků pro zpracování osobních údajů; c) na základě nových skutečností průběžně aktualizovat katalogové listy agendy OÚ a seznamy osob oprávněných ke zpracování osobních údajů; d) zajistit průkazné seznámení nového zaměstnance v pracovněprávním nebo jiném smluvním vztahu resp. osoby vykonávající u odboru praxi, stáž nebo rekvalifikační kurz s touto směrnicí a konkrétními podmínkami zpracování osobních údajů (vzhledem k působnosti odboru); e) zajistit účast oprávněných osob v rámci jejich průběžného vzdělávání na kurzech zaměřených k problematice ochrany osobních údajů; f) zajistit oprávněným osobám podmínky pro ukládání nosičů s osobními údaji a vyžadovat jejich používání (uzamykatelné úschovné objekty nebo uzamykatelné místnosti s možností samostatného vstupu pouze oprávněných osob);
3
registrační formulář je dostupný na www.uoou.cz v sekci „Registr“
g) zajistit bez zbytečného odkladu práva 4 fyzických osob, jejichž osobní údaje jsou o odboru zpracovávány v případě, že fyzická osoba žádá informaci o tomto zpracování nebo žádá o provedení nápravy ve zpracování svých osobních údajů; žádá-li fyzická osoba informaci o zpracování svých osobních údajů v rámci celého MěÚ, informovat o této skutečnosti tajemníka, který v rámci úřadu zajistí zkompletování a podání této informace; h) zajistit, aby písemnosti, jejichž původcem je jím řízený odbor a které jsou doručované zveřejněním na úřední desce (i elektronické úřední desce na webových stránkách města) obsahovaly pouze takové osobní údaje, které vyžaduje zvláštní zákon, dle kterého ke zveřejnění dochází; i) provádět kontrolní činnost k ochraně osobních údajů a v případě zjištěných nedostatků přijímat opatření k jejich odstranění. O zjištěných skutečnostech a přijatých opatřeních písemně informovat tajemníka; j) vyhodnocovat změny právního prostředí (např. změny právních předpisů) ve vztahu k oblasti ochrany osobních údajů, o změnách písemně informovat tajemníka; k) zajistit plnění oznamovací povinnost vůči ÚOOÚ o zpracování osobních údajů v případech, které nejsou Zákonem vyňaty z této povinnosti; l) zajistit ve spolupráci s odborem informatiky zpřístupnění informací veřejnosti 5, které by byly jinak přístupné prostřednictvím registru vedeného ÚOOÚ; m) zajistit předání osobních údajů do jiných států (nastane-li tato situace) v souladu s podmínkami uvedenými v § 27 Zákona; n) novým zaměstnancům zajistit prostřednictvím informatika zřízení přístupových oprávnění do informačních systémů a aplikací MěÚ; rovněž zajistit změny nebo zrušení těchto oprávnění v návaznosti na změnu zařazení příslušného zaměstnance, popisu jeho pracovních činností nebo ukončení jeho pracovního poměru k městu; o) při zpracování osobních údajů plnit povinnosti oprávněné osoby dle čl. 3.1.4 této směrnice; p) při přípravě vnitřních předpisů města a MěÚ zajišťují ochranu osobních údajů.
4
dle § 12 a 21 Zákona
5
dle § 18 odst. 2 Zákona
3.1.3 URČENÝ STRÁŽNÍK MPDK Určený strážník MPDK v rámci své odpovědnosti za ochranu osobních údajů u MPDK plní povinnosti tajemníka v čl 3.1.1 c), d), e), f), h) a vedoucího uvedené v čl. 3.1.2 této směrnice. Při plnění těchto povinností komunikuje přímo se starostou města. 3.1.4 OPRÁVNĚNÉ OSOBY Oprávněné osoby jsou povinny v rámci plnění svých pracovních povinností nebo povinností plynoucích z volené funkce plnit i opatření k ochraně osobních údajů stanovená Zákonem, tímto a dalšími vnitřními předpisy města a MěÚ, zejména: a) zpracovávat osobní údaje za podmínek a v rozsahu jim stanoveném v souladu s platnými přístupy do informačních systémů a SW aplikací; b) zachovávat mlčenlivost o osobních údajích a přijatých opatřeních k jejich ochraně, o nichž se v souvislosti se svým zaměstnáním, výkonem funkce nebo plněním smlouvy dozvěděly, a to i po skončení svého pracovního poměru u města, volebního období nebo platnosti smlouvy; c) v rámci průběžného vzdělávání se účastnit kurzů zaměřených k problematice ochrany osobních údajů; d) osobní údaje shromažďovat a dále zpracovávat v rozsahu: •
stanoveném zvláštními zákony, resp.
•
stanoveném v katalogovém listu, není-li rozsah zpracovávaných osobních údajů stanoven pro konkrétní účel (agendu) zvláštním zákonem.
e) při shromažďování osobních údajů od subjektů údajů: •
vyžadovat jejich souhlas 6 se zpracováním osobních údajů v souladu s katalogovým listem a současně zajistit uchování prokazatelného souhlasu po celou dobu zpracování těchto osobních údajů,
•
informovat a poučit je o jejich právech, tj. o právu na informaci o zpracování svých osobních údajů, právu na opravu osobních údajů a o ochraně jejich práv; tuto informaci neposkytují v případě, kdy zpracování osobních údajů ukládá zvláštní zákon nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů,
•
neshromažďovat osobní údaje skrytě nebo pod záminkou jiného účelu.
6
parametry souhlasu viz § 5 odst. 4 (osobní údaje) popř. § 9 písm. a) (citlivé údaje) Zákona
f) při zpracování osobních údajů: •
zpracovávat pouze přesné osobní údaje s ohledem na účel zpracování; v případě zjištění, že zpracovávané osobní údaje nejsou přesné, zpracování zablokovat do doby jejich opravy nebo doplnění, jinak osobní údaje se souhlasem vedoucího odboru zlikvidovat,
•
zpracovávat osobní údaje pouze k účelům, k nimž byly shromážděny (k jinému účelu pouze v případě, že fyzická osoba, ke které se osobní údaje vztahují, dala k tomu předem souhlas),
•
nesdružovat osobní údaje získané k rozdílným účelům,
•
uchovávat osobní údaje pouze po dobu, která je nezbytně nutná k účelu zpracování. Pominul-li účel zpracování konkrétních osobních údajů postupovat v souladu s platným Spisovým a skartačním řádem MěÚ, příp. údaje zlikvidovat.
g) ukládat nosiče obsahující osobní údaje, a to v listinné i elektronické podobě, na náležitě zajištěná místa (uzamykatelné úschovné objekty nebo uzamykatelné místnosti s možností samostatného vstupu pouze oprávněných osob). Při práci s nosiči postupovat tak, aby jiná osoba nemohla zneužít tyto nosiče jako zdroj informace (dle zásad „čistého stolu“ a „prázdné obrazovky“); h) nepořizovat kopie nosičů s osobními údaji či osobních údajů samých pro jinou než pracovní potřebu a ani to umožňovat jiným; s takovými kopiemi nakládat stejně jako s originálem; i) neumožnit zpracování osobních údajů jiné osobě, která není pro konkrétní účel zpracování oprávněnou osobou; j) vytištěné dokumenty, obsahující osobní údaje, neprodleně po vytištění odebírat z tiskáren, kopírek nebo faxů; k) osobní údaje předávat a poskytovat: •
v rámci MěÚ (MPDK) pouze oprávněným osobám způsoby stanovenými platným Spisovým a skartačním řádem MěÚ (platnými interními příkazy MPDK),
•
mimo MěÚ (MPDK) pouze v případech plynoucích z působnosti města a MěÚ (MPDK), stanoví-li tak zvláštní zákon nebo v souladu s platnou smlouvou v zákonem stanovených mezích.
l) při používání prostředků IT se řídit vnitřním předpisem Provozní řád informačního systému města Dvůr Králové nad Labem pro městský úřad a městskou policii“, v platném znění.
m) při plnění povinností, uložených touto směrnicí se řídit a postupovat podle manuálu správce osobních údajů. 3.1.5 VEDOUCÍ ODBORU INFORMATIKY Vedoucí Odboru informatiky je pro zajištění ochrany osobních údajů v prostředcích IT povinen zajistit: a) aplikaci opatření bezpečnosti IT uvedené v dokumentu manuál správce osobních údajů v části 3 metodika činnosti odboru informatiky pro zajištění ochrany osobních údajů b) fyzickou bezpečnost datových úložišť a provozních serverů MěÚ; c) na základě písemného požadavku vedoucích přístupová oprávnění oprávněným osobám do informačních systémů a SW aplikací MěÚ, v případě nutnosti jejich blokaci; d) kontrolní činnost k ochraně osobních údajů zpracovávaných v informačních systémech; o zjištěných skutečnostech informovat vedoucí, o zásadních nedostatcích i tajemníka; e) poskytování informací oprávněným osobám o zásadách bezpečnosti IT při ochraně osobních údajů v informačním systému; f) vymazání osobních údajů z pevného disku nebo vyjmutí paměťového média prostředků IT v případě jejich odeslání mimo MěÚ (oprava u servisní organizace, výpůjčka, pronájem, vyřazení, likvidace apod.).
3.2 NEVEŘEJNÉ INFORMAČNÍ SYSTÉMY Pro plnění povinností, plynoucích z působnosti města, jsou využívány datové fondy neveřejných informačních systémů, jejichž správcem jsou jiné subjekty. Při přidělování přístupových oprávnění do těchto systémů je nutno respektovat pravidlo „nutno znát“, tj. přístupová oprávnění přidělit pouze těm oprávněným osobám, kteří údaje z příslušných systémů potřebují k výkonu svých pracovních povinností. Oprávněné osoby, kterým bylo přiděleno přístupové oprávnění do takového systému, jsou povinny využívat zjištěné údaje výlučně k plnění pracovních povinností a dodržovat závazná pravidla, vydaná správci těchto systémů, požadavky Zákona i povinnosti stanovené touto směrnicí.
Pravidla přístupu k neveřejným informačním systémům a využívání jejich datových fondů jsou stanovena v příloze č. 2 této směrnice.
3.3 PODKLADY PRO KONTROLNÍ ČINNOST Zaměření kontrolní činnosti k ochraně osobních údajů je uvedeno v tabulce. Tabulka 2 P. č.
Podklady pro kontrolní činnost Zaměření kontroly
Provádí
Interval
Tajemník nebo jím určená osoba
podle Plánu kontrolní činnosti
1.
Realizace opatření k ochraně osobních údajů u jednotlivých odborů MěÚ
2.
Plnění povinností oprávněnými osobami dle čl. 3.1.4 směrnice
Vedoucí
průběžně
3.
Aktuálnost „Katalogových listů agendy OÚ“ a „Seznamů osob oprávněných k nakládání s osobními údaji“
Vedoucí
1 x za 12 měsíců
4.
Dodržování pravidel používání informačních technologií
Vedoucí Odboru informatiky
1 x za 6 měsíců
5.
Správnost a integrita vytvářených auditních logů, kontrola vytvořených auditních logů
Vedoucí Odboru informatiky
1 x za 6 měsíců
6.
Správnost a aktuálnost nastavení uživatelských oprávnění v informačních systémech
Vedoucí Odboru informatiky v součinnosti s vedoucími
1 x za 6 měsíců
7.
Stanovené postupy při využívání datových fondů neveřejných IS (aktuálnost evidence uživatelů, využívání oprávnění přístupu, evidence přístupů) včetně zápisu o výsledcích kontroly
8.
Oznamovací povinnost – aktuálnost
9.
Určený strážník
průběžně, Vedoucí
min. 1 x za 12 měsíců
Tajemník nebo jím určená osoba
1 x za 12 měsíců
Starosta města
průběžně
4 ZÁVĚREČNÁ USTANOVENÍ Tento vnitřní předpis byl ve smyslu § 102, odst. 3 zákona č. 128/2000 Sb., o obcích, v platném znění, schválen dne 23.10.2012 Radou města Dvůr Králové nad Labem, číslo usnesení : R/779/2012 – 80. RM a nabývá účinnosti dnem 01.11.2012
Mgr. Edita Vaňková, v.r. starostka
Směrnice pro ochranu osobních údajů Příloha č.1 Informace o zpracování osobních údajů zaměstnanců podle § 11 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, v platném znění a) osobní údaje zaměstnanců poskytnuté v rozsahu osobního dotazníku budou zpracovávány pro účely personální a mzdové agendy, a to po dobu nezbytně nutnou, nejdéle však po dobu trvání pracovněprávního vztahu zaměstnance k městu Dvůr Králové nad Labem (dále jen „zaměstnavatel“). Po této době budou osobní údaje uchovávány pouze pro účely archivnictví v rozsahu stanoveném příslušnými právními předpisy. Povinnost zajistit personální a mzdovou agendu je zaměstnavateli uložena zvláštními zákony, zejména z. č. 262/2006 Sb., zákoník práce, z. č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, z. č. 48/1997 Sb., o veřejném zdravotním pojištění a z. č. 586/1992 Sb., o daních z příjmu, všechny v platném znění; b) osobní údaje zaměstnanců budou zpracovávány pro účely personální agendy v listinné podobě v osobním spise; pro účely mzdové agendy i v elektronické podobě v informačním systému VEMA; c) nezbytné osobní údaje budou předávány pouze orgánům finanční a sociální správy nebo jiným příslušným úřadům v případech, kdy tak ukládá zvláštní zákon; jiným subjektům budou osobní údaje předány pouze po předchozím prokazatelném souhlasu zaměstnance; d) zaměstnanci mají právo na informaci o nakládání se svými osobními údaji zaměstnavatelem (§ 12 zákona č. 101/2000 Sb.); e) v případě zjištění (nebo domněnky), že zaměstnavatel zpracovává osobní údaje zaměstnance v rozporu s ochranou jeho soukromého a osobního života, má zaměstnanec právo požádat zaměstnavatele o vysvětlení, resp. nápravu formou blokace, likvidace či opravy jeho osobních údajů; f) zaměstnanec má právo podat svůj podnět přímo na Úřad pro ochranu osobních údajů nezávisle na vyjádření zaměstnavatele podle předchozího odstavce (§ 21 zákona č. 101/2000 Sb.). Svá práva uvedená v odst. d) a e) mohou zaměstnanci uplatňovat u tajemníka cestou personalistky.
Směrnice pro ochranu osobních údajů Příloha č. 2 Pravidla přístupu k neveřejným informačním systémům
OBSAH 1
NEVEŘEJNÉ INFORMAČNÍ SYSTÉMY .............................................. 4 1.1 1.2
2
URČENÍ ROLÍ ................................................................................................................................... 4 POVINNOSTI JEDNOTLIVÝCH ROLÍ ......................................................................................................... 4
CENTRÁLNÍ REGISTR VOZIDEL ....................................................... 7 2.1 2.2
3
URČENÍ ROLÍ ................................................................................................................................... 7 PRAVIDLA VYUŽÍVÁNÍ DATOVÉHO FONDU .............................................................................................. 7
EVIDENCE ZEMĚDĚLSKÝCH PODNIKATELŮ ..................................... 9 3.1 3.2
4
URČENÍ ROLÍ ................................................................................................................................... 9 PRAVIDLA VYUŽÍVÁNÍ DATOVÉHO FONDU .............................................................................................. 9
JEDNOTNÝ INFORMAČNÍ SYSTÉM ................................................11 4.1 4.2
5
URČENÍ ROLÍ ................................................................................................................................. 11 PRAVIDLA VYUŽÍVÁNÍ DATOVÉHO FONDU ............................................................................................ 11
REGISTR ŽIVNOSTENSKÉHO PODNIKÁNÍ.......................................13 5.1 5.2
6
URČENÍ ROLÍ ................................................................................................................................. 13 PRAVIDLA VYUŽÍVÁNÍ DATOVÉHO FONDU ............................................................................................ 13
CENTRÁLNÍ REGISTR ŘIDIČŮ .........................................................15 6.1 6.2
7
URČENÍ ROLÍ ................................................................................................................................. 15 PRAVIDLA VYUŽÍVÁNÍ DATOVÉHO FONDU ............................................................................................ 15
CZECHPOINT ................................................................................17 7.1 7.2
8
URČENÍ ROLÍ ................................................................................................................................. 17 PRAVIDLA VYUŽÍVÁNÍ DATOVÉHO FONDU ............................................................................................ 17
ZÁKLADNÍ REGISTRY.....................................................................19 8.1 8.2
URČENÍ ROLÍ ............................................................................................................................... 179 PRAVIDLA VYUŽÍVÁNÍ DATOVÉHO FONDU ............................................................................................ 19
2
Seznam použitých pojmů a zkratek
P. č.
Název
Zkratka
1.
Centrální registr řidičů
CRŘ
2.
CzechPoint
3.
Evidence zemědělských podnikatelů
EZP
4.
Centrální registr vozidel
CRV
5.
Městský úřad
MěÚ
6.
Neveřejný informační systém
NIS
7.
Registr živnostenského podnikání
RŽP
8.
Základní registry
ZR
CzP
3
1 NEVEŘEJNÉ INFORMAČNÍ SYSTÉMY 1.1 URČENÍ ROLÍ Pro zajištění bezpečnosti informací (osobních údajů) při využívání datových fondů jednotlivých systémů/aplikací jsou na MěÚ stanoveny tyto role: •
správce aplikace,
•
uživatelé 1,
•
informatik.
1.2 POVINNOSTI JEDNOTLIVÝCH ROLÍ Správce aplikace je vedoucí věcně příslušného odboru (dále vedoucí), jehož zaměstnanci přístup do NIS využívají, případně jiná osoba pověřená vedoucím. Správce aplikace zajišťuje: •
přidělení přístupu na základě tajemníkem schválené žádosti,
•
dohled nad dodržováním všech zákazů a povinností uživatele při práci s NIS,
•
evidenci uživatelů, pokud není vedoucím stanoveno jinak,
•
komunikaci se správcem systému,
•
rušení/změny přístupů uživatelů do jednotlivých NIS. Zásadními skutečnostmi je zejména ukončení pracovního poměru, změna pracovní pozice či náplně nebo např. mateřská dovolená,
•
kontrolní činnost se obvykle provádí alespoň 1x za 12 měsíců, a to s důrazem na: o na plnění pravidel stanovených správcem systému, o vytváření záznamů o přístupu do NIS, o odůvodněnost přístupu, o dodržování opatření proti neoprávněnému přístupu k osobním údajům získaným z NIS.
Uživatelé jsou oprávněni využívat údaje z datového fondu NIS výlučně pro plnění pracovních povinností, a to v rozsahu pouze nezbytném pro splnění daného úkolu. oprávněné osoby podle čl. 1.2 odst. 5 směrnice, kterým bylo přiděleno přístupové oprávnění do příslušného neveřejného informačního systému (rejstříku)
1
4
Uživatelé jsou povinni zachovávat mlčenlivost o všech skutečnostech, o kterých se v souvislosti s přístupem do NIS dozvěděli. Povinnost mlčenlivosti platí i po skončení pracovněprávního vztahu k městu, ve kterém jim byl přístup do NIS umožněn. Uživatelé jsou dále povinni: •
zachovávat jedinečnost a důvěrnost přístupových hesel,
•
informovat správce aplikace o aktivování svého přístupu do příslušného NIS,
•
údaje z datových fondů NIS využívat výlučně pro plnění pracovních povinností a to v rozsahu pouze nezbytném pro splnění daného úkolu,
•
být schopni prokázat důvodnost každého, tedy i započatého či nedokončeného dotazu,
•
přihlašovat se do NIS pouze na dobu nezbytně nutnou; po ukončení práce nebo při přerušení práce na dobu delší než 10 min. se z NIS odhlásit,
•
nezpracovávat osobní údaje v NIS za přítomnosti osob, které nemají oprávnění zpracovávat osobní údaje v příslušném NIS resp. nahlížet do NIS,
•
neprodleně oznamovat správci aplikace všechny skutečnosti, mající vliv na bezpečnost informací v datových fondech jednotlivých NIS.
Uživatelům je zakázáno: •
opustit pracoviště a ponechat jej nezajištěné,
•
ponechat IT prostředky nezabezpečené před neoprávněným přístupem, (uzamčení klávesnice a monitoru, odhlášení od informačního systému),
•
ponechat dokumenty (nosiče osobních údajů) volně dostupné na pracovní ploše stolu,
•
opustit kancelář a ponechat v ní neoprávněnou osobu bez přítomnosti jiné pověřené osoby,
•
bezdůvodně pořizovat kopie nebo videozáznamy (fotografie) osobních údajů,
•
používat vlastní audio a video zařízení k pořizování kopií a záznamů osobních údajů (fotoaparát, mobilní telefon, diktafon, video kamera atd.) v prostorách MěÚ,
•
kopírovat a tisknout dokumenty na veřejně přístupných nezabezpečených tiskových zařízeních,
•
umožnit nahlížet do osobních údajů neoprávněným osobám, 5
•
předávat osobní údaje neoprávněným osobám,
•
sdělovat přístupové údaje do NIS,
•
používat neevidovaná záznamová zařízení,
•
zpracovávat osobní údaje na neschválených IT prostředcích.
Informatik je povinen: •
zajistit případnou potřebnou technickou podporu při zřízení a používání přístupů uživatelů k datovým fondům jednotlivých NIS. Tuto činnost provádí v součinnosti se správcem systému nebo správcem aplikace.
6
2 CENTRÁLNÍ REGISTZR VOZIDEL 2.1 URČENÍ ROLÍ Správce systému Správcem Centrálního registru vozidel (dále jen „CRV“) je Ministerstvo dopravy ČR. Správce aplikace Správce aplikace CRV je vedoucí odboru dopravy a silničního hospodářství. Správce aplikace vede evidenci uživatelů. Tuto evidenci průběžně, min. však 1 x za kalendářní rok, porovnává se seznamem uživatelů s přístupem do CRV. Uživatelé Uživateli jsou oprávněné osoby, kterým bylo správcem systému vydáno oprávnění dálkového přístupu do datového fondu CRV na základě žádosti správce aplikace.
2.2 PRAVIDLA VYUŽÍVÁNÍ DATOVÉHO FONDU Přístup k CRV Přístup k CRV je umožněn správcem systému na základě žádosti. Objektivnost nutnosti přístupu zaměstnanců do CRV posuzuje správce aplikace. Uživatelé jsou povinni oznámit správci aplikace aktivaci svého přístupu do CRV.
7
Využívání datového fondu Všechny vstupy do CRV musí být odůvodněny nebo doloženy žádostí nebo zavedeny v elektronické spisové službě a opatřeny číslem jednacím příslušného spisu či žádosti. Z evidence musí být zřejmá identifikace uživatele (jméno, číslo zaměstnance, atd.), který vstup provedl, rovněž musí být vždy jednoznačně prokázána důvodnost každého, i započatého dotazu. Ukončení přístupu do CRV Zrušení oprávnění pro přístup do CRV zajišťuje správce aplikace. Tento rozhoduje o zrušení oprávnění přístupu uživatele do CRV tak, aby byl přístup zrušen nejpozději v poslední den, kdy je uživatel v pracovněprávním vztahu k městu. Technická podpora Technickou podporu přístupů k datovému fondu CRV zajišťuje informatik v součinnosti s Ministerstvem dopravy ČR. Kontrolní činnost Kontrolu přístupů uživatelů do CRV provádí správce aplikace. Kontroly jsou prováděny průběžně, nejméně však 1 x za kalendářní rok. Kontrola je zaměřena na: •
aktuálnost evidence uživatelů CRV,
•
objektivnost využívání oprávnění přístupu,
•
evidenci přístupů do CRV.
V případě potřeby požádá správce aplikace Ministerstvo dipravy ČR o zpracování seznamu dotazů provedených uživateli MěÚ za vybrané časové období. O výsledku provedené kontroly je vždy sepsán zápis, který musí obsahovat informace o rozsahu a výsledcích provedené kontroly a následně přijatých opatřeních. Zápisy jsou ukládány u správců aplikací.
8
3
EVIDENCE ZEMĚDĚLSKÝCH PODNIKATELŮ
3.1 URČENÍ ROLÍ Správce systému Správce Evidence zemědělských podnikatelů (dále jen „EZP“) je Ministerstvo zemědělství ČR. Správce aplikace Správu aplikace EZP zajišťuje vedoucí odboru obecní živnostenský úřad. Evidenci uživatelů vede správce aplikace EZP. Uživatelé Uživateli jsou oprávněné osoby, kterým bylo správcem systému přiděleno oprávnění přístupu k EZP na základě žádosti správce aplikace.
3.2 PRAVIDLA VYUŽÍVÁNÍ DATOVÉHO FONDU Přístup k EZP Přístup k EZP zajišťuje správce aplikace. Využívání datového fondu Všechny přístupy do EZP musí být zapsány v příslušném spise. Ze spisu musí být vždy jednoznačně prokázána důvodnost každého přístupu. Ukončení přístupu k EZP Zrušení oprávnění pro přístup k EZP provádí správce aplikace oznámením této skutečnosti správci systému. Kontrolní činnost Kontrolu přístupů zaměstnanců k EZP provádí správce aplikace. Kontroly jsou prováděny průběžně, nejméně však 1 x za kalendářní rok. Kontrola je zaměřena na: •
aktuálnost evidence uživatelů EZP, 9
•
objektivnost využívání oprávnění přístupu,
•
evidenci přístupů do EZP.
O výsledku provedené kontroly je vždy sepsán zápis, který musí obsahovat informace o rozsahu a výsledcích provedené kontroly a následně přijatých opatřeních. Zápisy jsou ukládány u správce aplikace.
10
4 JEDNOTNÝ INFORMAČNÍ SYSTÉM 4.1 URČENÍ ROLÍ Správce systému Správcem Jednotného informačního systému je Ministerstvo práce a sociálních věcí ČR. Správce aplikace Správcem aplikace je vedoucí odboru školství, kultury a sociálních věcí, nebo jím pověřená osoba. Uživatelé Uživateli jsou oprávněné osoby, kterým bylo správcem systému přiděleno přístupové Oprávnění na základě žádosti správce aplikace. Evidenci uživatelů systému vede správce aplikace.
4.2 PRAVIDLA VYUŽÍVÁNÍ DATOVÉHO FONDU Přístup do aplikace Přístup do aplikace zajišťuje správce aplikace. Uživatelé jsou povinni oznámit správci aplikace aktivaci svého přístupu. Využívání datového fondu Všechny přístupy do systému jsou uskutečňovány v souvislosti s výkonem sociální práce dle příslušných zákonů. Ukončení přístupu Zrušení oprávnění pro přístup do aplikace zajišťuje správce aplikace oznámením této Skutečnosti správci systému .
11
Kontrolní činnost Kontrolu přístupů uživatelů do aplikace provádí správce aplikace. Kontroly jsou prováděny průběžně, nejméně však 1 x za kalendářní rok. Kontrola je zaměřena na: •
aktuálnost evidence uživatelů,
•
správnost využívání přístupu v souvislosti vykonávanými činnostmi v systému.
O výsledku provedené kontroly je vždy sepsán zápis, který musí obsahovat informace o rozsahu a výsledcích provedené kontroly a následně přijatých opatřeních. Zápisy jsou ukládány u správce aplikace.
12
5 REGISTR ŽIVNOSTENSKÉHO PODNIKÁNÍ 5.1 URČENÍ ROLÍ Správce systému Správcem Registru živnostenských podnikatelů (dle jen „RŽP“) je Ministerstvo průmyslu a obchodu ČR; systém je provozován společností ICZ a.s. Správce aplikace Správcem aplikace RŽP je vedoucí odboru obecní živnostenský úřad. Uživatelé Uživateli jsou oprávněné osoby, kterým bylo přiděleno oprávnění přístupu k RŽP a obdrželi čipovou kartu s přihlašovacím certifikátem. Evidenci uživatelů, kteří mají přístup do RŽP, vede správce aplikace.
5.2 PRAVIDLA VYUŽÍVÁNÍ DATOVÉHO FONDU Přístup k RŽP Přístup k RŽP zajišťuje správce aplikace. Využívání datového fondu Všechny přístupy do RŽP musí být zapsány v příslušném spise. Ze spisu musí být vždy jednoznačně prokázána důvodnost každého přístupu. V případě „nedokončeného přístupu“ je uživatel povinen provést zápis odůvodněním a tento předat k evidenci správci aplikace, který případ oznámí a zdůvodní správci systému. Ukončení přístupu k RŽP Zrušení oprávnění pro přístup k RŽP provádí správce aplikace oznámením této skutečnosti správci systému, odebráním a znehodnocením čipové karty s přihlašovacím certifikátem.
13
Kontrolní činnost Kontrolu přístupů uživatelů do RŽP provádí správce aplikace. Kontroly jsou prováděny průběžně, nejméně však 1 x za kalendářní rok. Kontrola je zaměřena na: •
aktuálnost evidence uživatelů RŽP,
•
objektivnost využívání oprávnění přístupu,
•
evidenci přístupů do RŽP.
O výsledku provedené kontroly je vždy sepsán zápis, který musí obsahovat informace o rozsahu a výsledcích provedené kontroly a následně přijatých opatřeních. Zápisy jsou ukládány u správce aplikace.
14
6 CENTRÁLNÍ REGISTR ŘIDIČŮ 6.1 URČENÍ ROLÍ Správce systému Správcem Centrálního registru řidičů (dle jen „CRŘ“) je Ministerstvo dopravy České republiky. Správce aplikace Správcem aplikace CRŘ je vedoucí odboru dopravy a silničního hospodářství. Uživatelé Uživateli jsou oprávněné osoby, kterým bylo přiděleno oprávnění přístupu k CRŘ. Evidenci uživatelů, kteří mají přístup do CRŘ, vede správce aplikace.
6.2 PRAVIDLA VYUŽÍVÁNÍ DATOVÉHO FONDU Přístup k CRŘ Přístup k CRŘ zajišťuje správce aplikace. Využívání datového fondu Všechny přístupy do CRŘ musí být vždy zdůvodnitelné, případně zapsané v příslušných spisech. Ze spisu musí být vždy jednoznačně prokázána důvodnost každého přístupu. Ukončení přístupu k CRŘ Zrušení oprávnění pro přístup k CRŘ provádí správce aplikace oznámením této skutečnosti správci systému. Kontrolní činnost Kontrolu přístupů uživatelů do CRŘ provádí správci aplikace. Kontroly jsou prováděny průběžně, nejméně však 1 x za kalendářní rok. Kontrola je zaměřena na: •
aktuálnost evidence uživatelů CRŘ, 15
•
objektivnost využívání oprávnění přístupu,
•
evidenci přístupů do CRŘ.
O výsledku provedené kontroly je vždy sepsán zápis, který musí obsahovat informace o rozsahu a výsledcích provedené kontroly a následně přijatých opatřeních. Zápisy jsou ukládány u správce aplikace.
16
7 CZECHPOINT 7.1 URČENÍ ROLÍ Správce systému Správce systému CzechPoint (dále jen „CzP“) je Ministerstvo vnitra ČR. Správce aplikace Správu aplikace CzP zajišťuje vedoucí odboru všeobecné vnitřní správy. Uživatelé Uživateli jsou oprávněné osoby, kterým bylo přiděleno oprávnění přístupu k CzP. Evidenci uživatelů vede správce aplikace CzP.
7.2 PRAVIDLA VYUŽÍVÁNÍ DATOVÉHO FONDU Přístup k CzP Přístup k CzP zajišťuje informatik. Využívání datového fondu Všechny přístupy do CzP musí být podloženy uhrazeným pokladním dokladem za odpovídající správní poplatek. Ukončení přístupu do CzP Zrušení oprávnění pro přístup do CzP provádí informatik na základě požadavku správce aplikace. Kontrolní činnost Kontrolu přístupů uživatelů do CzP provádí správce aplikace. Kontroly jsou prováděny průběžně, nejméně však 1 x za kalendářní rok. Kontrola je zaměřena na: •
aktuálnost evidence zaměstnanců, kteří mají přístup k CzP,
•
správnost používání přístupu, 17
•
odůvodněnost přístupů do CzP.
O výsledku provedené kontroly je vždy sepsán zápis, který musí obsahovat informace o rozsahu a výsledcích provedené kontroly a následně přijatých opatřeních. Zápisy jsou ukládány u správce aplikace.
18
8 ZÁKLADNÍ REGISTRY 8.1 URČENÍ ROLÍ Správce systému Správce systému Základních registrů (dále jen ZR) je Ministerstvo vnitra ČR. Správce aplikace Správu aplikace ZR zajišťuje vedoucí odboru informatiky. Uživatelé Uživateli jsou oprávněné osoby, kterým bylo přiděleno oprávnění přístupu k ZR. Evidenci uživatelů vede správce metodik ZR.
8.2 PRAVIDLA VYUŽÍVÁNÍ DATOVÉHO FONDU Přístup k ZR Přístup k ZR zajišťuje správce aplikace. Využívání datového fondu Všechny přístupy do ZR musí být podloženy oprávněním, které vyplývá z příslušné zákonné agendy. Ukončení přístupu do ZR Zrušení oprávnění pro přístup do ZR provádí informatik na základě oznámení této skutečnosti metodikem ZR. Kontrolní činnost Kontrolu přístupů uživatelů do ZR provádí správce aplikace. Kontroly jsou prováděny průběžně, nejméně však 1 x za kalendářní. Kontrola je zaměřena na: •
aktuálnost evidence zaměstnanců, kteří mají přístup k ZR, 19
•
správnost používání přístupu,
•
odůvodněnost přístupů do ZR.
O výsledku provedené kontroly je vždy sepsán zápis, který musí obsahovat informace o rozsahu a výsledcích provedené kontroly a následně přijatých opatřeních. Zápisy jsou ukládány u správce aplikace.
20
KATALOGOVÝ LIST AGENDY OÚ Pořadové číslo katalogového listu Odbor Účel zpracování Kategorie osobních údajů Souhlas subjektu údajů/ano/ne Kategorie subjektu údajů Zdroje osobních údajů Kategorie příjemců Doba uchování Druh zpracování Oznamovací povinnost ÚOOÚ - ano/ne Registrace ÚOOÚ, datum a číslo registrace Způsob zpracování soubor (server/lokální PC) program/aplikace správce aplikace
9.
8.
7.
6.
5.
4.
2.
1.
P. č. jméno, příjmení Odbor
Seznam osob oprávněných k nakládání s osobními údaji
Název agendy
Název agendy
Název agendy
Název agendy
Název agendy
Název agendy
Název agendy
Název agendy
Název agendy
Název agendy
Název agendy