Univerzita Hradec Králové Fakulta informatiky a managementu Katedra managementu
Ochrana osobních údajů v podnikatelské praxi Bakalářská práce
Autor: Alena Dostálová Studijní obor: Informační management
Vedoucí práce: JUDr. Janeček Jan, Ph.D.
Hradec Králové
listopad 2016
Prohlášení: Prohlašuji, že jsem bakalářskou práci na téma Ochrana osobních údajů v podnikatelské praxi zpracovala samostatně a s použitím uvedené literatury.
V Hradci Králové dne 4.11.2016
Alena Dostálová
Poděkování: Ráda bych poděkovala vedoucímu bakalářské práce JUDr. Janeček Jan, Ph.D. za metodické vedení práce.
Anotace Bakalářská práce na téma Ochrana osobních údajů v podnikatelské praxi se v teoretické části zabývá právním zakotvením zákona o ochraně osobní údajů s přiblíženou činností Úřadu pro ochranu osobních údajů a jeho organizační strukturou, mezinárodními dokumenty a předpisy Evropské unie. Kapitola o podnikatelské praxi je zaměřená na konkrétní podnikatelský subjekt zaměřený na sociální službu. Popisuje a analyzuje se zde zpracovávání osobních údajů všech subjektů údajů zařízení v papírové a elektronické formě v podobě sdílených složek a informačních systémů. Provedenou analýzou jsou zjištěny nedostatky u konkrétního podnikatele, které se ukáží jako fatální pro budoucí chod firmy. Výsledkem jsou návrhy především na ochranu osobních údajů v elektronické formě zpracování.
Klíčová slova ochrana osobních údajů, osobní údaj, rodné číslo, Úřad pro ochranu osobních údajů, souhlas se zpracováním osobních údajů
Annotation
Title: Personal Data Protection in Business Practice The Bachelor thesis on topic Personal data protection in business practice deals in its theoretical part with legal base of personal data protection with close activity of The office for personal data protection and its organizational structure, international documents and European union regulations. Business practice chapter is focused on specific business subject focused on social service. It describes and analyses the process of personal data collection of all data subjects of the facility in paper and digital form, as shared folders and information systems. Deficiencies are identified by the conducted analysis by the specific entrepreneur, which can have fatal impact for the future of company flow. The result are proposals primarily for personal data protection in digital form.
Keywords personal data protection, personal data, personal identification number, the office for personal data protection, consent to personal data processing
Obsah 1
Úvod.......................................................................................................................... 7
2
Ústavněprávní základy ochrany osobních údajů ...................................................... 9
3
Právní regulace ochrany osobních údajů v Evropské unii ...................................... 12
4
Zákon o ochraně osobních údajů ............................................................................ 14 4.1
Práva a povinnosti správce a zpracovatele při zpracování osobních údajů ..... 15
4.2
Citlivé údaje ..................................................................................................... 16
4.3
Úřad pro ochranu osobních údajů .................................................................... 17
Ochrana osobních údajů v podnikatelské praxi ...................................................... 19
5
5.1
Zpracování osobních údajů při nástupu klienta do zařízení ............................. 20
5.1.1 5.1.1.1
Příspěvek na péči................................................................................... 22 Informační systém o příspěvku......................................................... 23
5.1.2
Datová schránka .................................................................................... 24
5.1.3
Server .................................................................................................... 24
5.2
Zpracovávání osobních údajů klienta v průběhu ubytování ............................ 25
5.2.1 5.3
Informační systém Cygnus .................................................................... 27
Zpracování osobních údajů klienta při ukončení pobytu či úmrtí.................... 28
6
Analýza zpracovávání osobních údajů u konkrétního podnikatele ........................ 30
7
Návrhy na zlepšení.................................................................................................. 32
8
Závěry a shrnutí ...................................................................................................... 36
9
Seznam použité literatury ....................................................................................... 38
10
Přílohy................................................................................................................. 42
Příloha 1: Organizační struktura Úřadu pro ochranu osobních údajů ............................ 43 Příloha 2: Oznámení o poskytovateli pomoci ................................................................. 44 Příloha 3: Karta zdravotních výkonů .............................................................................. 47 Příloha 4: Poukaz na vyšetření ORP včetně formuláře................................................... 48 Podklad pro zadání bakalářské práce studenta
1
Úvod Výběr tématu bakalářské práce jsem si zvolila proto, že mě ochrana osobních údajů
velice zajímá a nakonec i kvůli zaměstnání, ve kterém téměř dennodenně osobní údaje zpracováváme. Ochrana osobních údajů je téma, které se neustále rozšiřuje o nové problémy a případy s nimi spojenými. Je tedy dobré dávat pozor na to, jaké informace o sobě necháme zveřejňovat, protože s dnešními technologiemi se přenos informací může rychle dostat do celého světa. Tento fakt bohužel přináší riziko zneužití osobních údajů, a to neopatrností či lhostejností jedince, fyzické či právnické osoby, nebo také orgánů státní správy. Z toho tedy vyplývá, že bychom si měli své soukromí chránit a získané osobní údaje zpracovávat s respektem a poctivostí k danému subjektu údajů. Kromě zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, kterému se bude práce věnovat v samostatné kapitole, existuje také celá řada mezinárodních dokumentů a předpisů Evropské unie, které jsou závazné i pro Českou republiku. Pár těchto dokumentů a předpisů je uvedeno v kapitole 3 s názvem Právní regulace ochrany osobních údajů v Evropské unii. V teoretické části se též nachází právní zakotvení ochrany osobních údajů, tzn. Listina základních práv a svobod, občanský zákoník a trestní zákoník. V druhé polovině se práce zaměřuje na podnikatelskou praxi konkrétní firmy zaměřující se na poskytování sociální služby pro seniory, domov se zvláštním režimem. Nejen, že se zde zpracovávají osobní údaje jako je rodné číslo, číslo občanského průkazu atd., ale skrz zdravotnickou dokumentaci i citlivé údaje o zdravotním stavu. Ve většině zdravotnických zařízením je na zdravotní kartě pacienta resp. klienta v horní části uvedené jméno, příjmení, rodné číslo, zdravotní pojišťovna, případně i adresa, na zbylou část zdravotní karty se píše například očkování, anamnéza či další onemocnění. Ochranou osobních údajů ve zdravotnické dokumentaci, obsahující osobní a citlivé údaje, se zabývají zákony i mimo oblast zdravotnictví, protože tato oblast není samostatným odvětvím práva. Pokud by se citlivé údaje dostaly do nesprávných rukou nebo by s nimi bylo nakládáno v rozporu se zákonem, mohou při jednání konkrétnímu klientovi způsobit například společenskou újmu.
7
Cílem této práce je snaha o zlepšení zpracovávání osobních údajů a citlivých osobních údajů u konkrétního podnikatele. Práce obsahuje analýzu a návrhy na opatření pro zlepšení.
8
2
Ústavněprávní základy ochrany osobních údajů Jak už bylo řečeno v úvodu, osobní údaje představují jakési soukromí každého
z nás a v právně demokratických státech je považováno za významnou hodnotu chráněnou zvýšenou právní ochranou. Podstatným krokem pro Českou republiku bylo přijetí Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat tehdejší Československou republikou dne 28. ledna 1981 ve Štrasburku. Tato Úmluva Rady Evropy č. 108 byla prvním evropským dokumentem regulující předávání osobních údajů. Jménem České republiky byla tato Úmluva č. 108 Rady Evropy podepsána dne 8. září 2000. Souhlas s touto úmluvou vyslovil Parlament České republiky a prezident České republiky Úmluvu ratifikoval, neboli schválil. Díky schválení byl, v souladu s čl. 13 odst. 2 Úmluvy, pověřen Úřad pro ochranu osobních údajů. Úmluva byla publikována ve Sbírce mezinárodních smluv v roce 2001 pod číslem 115 a pro Českou republiku vstoupila v platnost dne 1. listopadu 2001. Základní ochrana lidských práv je zakotvena v Ústavě České republiky, kdy Listina základních práv a svobod jednoznačně zaručuje právo na nedotknutelnost osoby a jejího soukromí1, právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života2 a právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě3. Osobní údaj si lze představit jako informaci týkající se fyzické osoby respektive člověka, která jej umožní přímo či nepřímo identifikovat. K identifikaci konkrétního subjektu dochází ve chvíli, kdy ho lze jednoznačně odlišit od ostatních pomocí nashromážděných údajů. Těmito údaji nemusí být pouze jméno, příjmení, adresa, rodné číslo, otisk prstů, DNA, číslo občanského průkazu či podpis, ale například i majetkové poměry, osobní a úřední spisy, zdravotní stav atd. Osobní údaj ještě lze rozdělit na dva speciální druhy, a to na citlivé a anonymní údaje. Citlivý osobní údaj vypovídá o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství, filozofickém přesvědčení, trestné činnosti,
) Ústavní zákon č. 2/1993 Sb., ve znění ústavního zákona č. 162/1998 Sb.. Čl. 7 odst. 1. ) Ústavní zákon č. 2/1993 Sb., ve znění ústavního zákona č. 162/1998 Sb.. Čl. 10 odst. 2. 3 ) Ústavní zákon č. 2/1993 Sb., ve znění ústavního zákona č. 162/1998 Sb.. Čl. 10 odst. 3. 1 2
9
sexuálním životě a o již zmiňovaném zdravotním stavu subjektu údajů4. Tento speciální druh osobních údajů je blíže vymezen v zákoně č. 198/2009 Sb., o rovném zacházení a o právních prostředcích ochrany před diskriminací a o změně některých zákonů (jedná se o tzv. antidiskriminační zákon). Následky zneužití citlivých osobních údajů mohou být například v podobě diskriminace, a proto se tyto údaje mohou zpracovávat pouze se souhlasem subjektu údajů. Anonymní osobní údaj je údaj, s kterým nelze, přímo nebo nepřímo, určit konkrétní subjekt údajů. Vzniká z původně osobního či citlivého údaje, od kterého se odstraní informace identifikující subjekt. Osobní údaje tohoto charakteru se používají především pro statistické a odborné účely. V souvislosti s ochranou osobních údajů mluvíme o subjektu, správci a zpracovateli osobních údajů. Subjekt údajů představuje pouze fyzickou osobu – člověka, ke kterému se osobní údaje vztahují, nikoliv se nejedná o právnické osoby. Každý, kdo provádí zpracování osobních údajů, je ze zákona považován za správce osobních údajů. Správce osobní údaje zpracovává buď sám, nebo může zmocnit či pověřit zpracovatele osobních údajů. Správcem i zpracovatelem může být fyzická i právnická osoba, soukromý subjekt, stát v podobě veřejné moci nebo jiný orgán. Mezi správcem a podřízeným zpracovatelem musí být uzavřena písemná smlouva o zpracování osobních údajů. Správce nebo zpracovatel zpracovává osobní údaje v souladu s účelem, a prostředky, které určil správce. Zpracovávání osobních údajů definuje §4 písm. e) zákona č. 101/2000 Sb., jako „jakoukoliv operaci nebo soustavu operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.“ Poskytnutí osobních údajů subjektem údajů může být povinné či dobrovolné. Osobní údaje subjektu údajů může správce či zpracovatel zpracovávat pouze s jeho svobodným a vědomým souhlasem. Dle rozhodnutí Městského soudu v Praze se souhlas subjektu údajů nesmí konstruovat na základě toho, že nebude projeven nesouhlas se zpracováním osobních údajů. Takový
) §4 písm. b) zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. 4
10
postup by byl zjevným obcházením zákona.[9] Každý subjekt údajů má právo na ochranu svých údajů při jejich zpracování správcem či zpracovatelem. Nezodpovědnost při zpracovávání osobních údajů je v některých případech hodnocena jako trestný čin neoprávněného nakládání s osobními údaji, pokud se jedná o systémové selhání, dochází v organizaci ke kontrole Úřadem pro ochranu osobních údajů. Jestliže z výsledku kontroly vyplývá, že se v organizaci s citlivými údaji nenakládá podle zákona, mají pracovníci z Úřadu pro ochranu osobních údajů pravomoc udělit pokutu až do výše pěti milionů korun českých.
11
3
Právní regulace ochrany osobních údajů v Evropské unii Právním předpisem je Listina základních práv Evropské unie, o které rozhodla
Evropská rada v Kolíně nad Rýnem dne 4. června 1999. Listinu vypracoval konvent tvořený ze zástupců z každé země Evropské unie a Evropské komise, dále poslanci Evropského parlamentu a vnitrostátních parlamentů. V roce 2000 byla tato Listina formálně vyhlášena v Nice. Prostřednictvím Lisabonské smlouvy se stala neformálně součástí primárního práva Evropské unie a tím získala závazný právní účinek, jako mají Smlouvy. Ochrana osobních údajů se v Listině základních práv Evropské unie nachází v Hlavě II., kde se uvádí, že každý má právo na ochranu osobních údajů a tyto údaje musí být zpracovávány korektně, pro konkrétní účely a hlavně se souhlasem subjektu údajů5. Mezi další mezinárodní dokumenty a předpisy Evropské unie patří: Dodatkový protokol k Úmluvě o ochraně osob se zřetelem na automatizované zpracování osobních dat s účinností od 1. července 2004, Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, Směrnice Evropského parlamentu a Rady 2000/31/ES ze dne 8. června 2000, o určitých aspektech služeb informační společnosti, zejména elektronického obchodního styku v rámci vnitřního trhu, Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací ve znění jejich změn – změněna Směrnicí Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006, o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES, Nařízení Komise (EU) č. 611/2013 ze dne 24. června 2013 o opatřeních vztahujících se na oznámení o narušení bezpečnosti osobních údajů podle směrnice Evropského parlamentu a Rady 2002/58/ES o soukromí a elektronických komunikacích,
5
) čl. 8 Listiny základních práv Evropské unie (2012/C 326/02).
12
Rámcové rozhodnutí Rady 2008/977/SVV ze dne 27. listopadu 2008, o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech, Doporučení Komise 2009/387/ES ze dne 12. května 2009, o zavedení zásad ochrany soukromí a údajů v aplikacích podporovaných identifikací na základě rádiové frekvence, Doporučení Komise 2014/724/EU ze dne 10. října 2014, o šabloně pro posouzení dopadů inteligentních sítí a inteligentních měřicích systémů na ochranu údajů. Veškeré výše zmíněné dokumenty a předpisy se týkají všech 28 členských států Evropské unie. Všechny státy jsou těmito dokumenty a předpisy vázány či je mají přímo vložené ve svých zákonech a předpisech. Česká republika zakomponovala do svého zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů poznámky pod čarou týkající se Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat č. 108, vyhlášenou pod č. 115/2001 Sb. m. s a Článek 8 odst. 6 a článek 26 odst. 3 Směrnice č. 95/46/ES.
13
4
Zákon o ochraně osobních údajů Ochrana osobních údajů je stanovena zákonem č. 101/2000 Sb., o ochraně osobních
údajů a o změně některých zákonů, který je ze dne 4. dubna 2000 s účinností od 1. června 2000. Zákon je v souladu s právem Evropské unie6 a mezinárodními smlouvami, kterými je Česká republika vázána7. Pro ochranu osobních údajů v rozsahu zákona, zvláštních právních předpisů8, mezinárodních smluv, nacházejících se v právním řádu, a přímo použitelných předpisů Evropské unie, byl zřízen ústřední správní úřad, a to Úřad pro ochranu osobních údajů. Úřad pro ochranu osobních údajů má sídlo v Praze a vykonává působnost dozorového úřadu. Podrobnější popis Úřadu pro ochranu osobních údajů je v kapitole 4.3. Působnost zákona se vztahuje na osobní údaje, které jsou zpracovávány státními orgány, orgány územní samosprávy, jinými orgány veřejné moci, jakož i fyzických a právnických osob. Zákon se vztahuje na veškeré zpracovávání osobních údajů v České republice, automatizovaně nebo jinými prostředky, správcem usazeným na území České republiky, Evropské unie či mimo Evropskou unii. Zákon se naopak nevztahuje na zpracovávání osobních údajů fyzickou osobou, která tyto údaje má pouze pro vlastní potřebu či na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány. Existují také výjimečné situace, kdy správce své povinnosti nemusí, ba dokonce nesmí plnit vůči subjektu údajů. Tyto povinnosti správce jsou stanoveny v § 3 odst. 6 zvláštními zákony pro zajištění především finančního zájmu9, bezpečnosti10 a obrany11 České republiky.
) § 10 odst. 1 písm. a) zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti). 7 ) Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat č. 108, vyhlášená pod č. 115/2001 Sb. m. s. 8 ) § 10 odst. 1 písm. a) zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti). 9 ) Například zákon č. 218/2000 Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů (rozpočtová pravidla), ve znění pozdějších předpisů, zákon č. 250/200 Sb., o rozpočtových pravidlech územních rozpočtů, ve znění pozdějších předpisů, zákon č. 6/1993 Sb., o České národní bance, ve znění pozdějších předpisů, a zákon č. 212/1992 Sb., o soustavě daní, ve znění zákona č. 302/1993. 10 ) Zákon č. 40/1993 Sb., o nabývání a pozbývání státního občanství České republiky, ve znění pozdějších předpisů 11 ) Například zákon č. 222/1999 Sb., o zajišťování obrany České republiky, ve znění zákona č. 320/2002 Sb., zákon č. 218/1999 Sb., o rozsahu branné povinnosti a o vojenských správních úřadech (branný zákon), ve znění pozdějších předpisů, zákon č. 219/1999 Sb., o ozbrojených silách 6
14
4.1 Práva a povinnosti správce a zpracovatele při zpracování osobních údajů
Práva a povinnosti správce a zpracovatele při zpracování osobních údajů platí u obou dvou obdobně, tzn., že musí informovat subjekt údajů v jakém rozsahu, pro jaký účel a jakým způsobem budou osobní údaje zpracovány, kdo je bude zpracovávat a komu mohou být údaje zpřístupněny. Diference je v náležitostech smlouvy mezi správcem a zpracovatelem, pokud zmocnění nevyplývá z právního předpisu. Smlouva tedy musí mít písemnou formu, musí obsahovat v jakém rozsahu, za jakým účelem, na jakou dobu se uzavírá a záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. Rozdíl je také v porušení povinností správcem, kdy tento problém zjistí zpracovatel. Zpracovatel je povinen na tuto skutečnost upozornit a ukončit zpracování osobních údajů, jinak je zodpovědný, společně a nerozdílně se správcem, za vzniklou škodu subjektu údajů. Povinnosti vyplývající ze zákona jsou ve stanovení účelu, prostředků a způsobu zpracování osobních údajů. Zpracování či nezbytná aktualizace je nutná pouze u přesných osobních údajů, pokud údaje s ohledem na určený účel nejsou přesné, musí správce provést opatření v podobě zablokování, opravy, doplnění a likvidace, přičemž tento fakt musí oznámit všem příjemcům a tyto nepřesné osobní údaje označit. Nepřesné osobní údaje se mohou zpracovávat v mezích, které jsou uvedeny v § 3 odst. 6.12 Neodmyslitelnou povinností při zpracovávání osobních údajů je jejich zabezpečení, a proto musí správce a zpracovatel přijmout taková opatření, aby nedošlo k neoprávněnému či nahodilému přístupu k osobním údajům, to znamená, že pracovat s osobními údaji mohou pouze oprávněné osoby mající povinnost zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních. Správce má také oznamovací povinnost vůči Úřadu pro ochranu osobních údajů, a to při zahájení či ukončení své činnosti. Oznámení o zahájení činnosti musí mít náležitosti uvedené v §16 odst. 2 popisovaného zákona. Při ukončení činnosti, pominutí účelu zpracování nebo žádosti subjektu údajů je správce povinen tyto údaje zlikvidovat či archivovat. Nyní se také podívejme na práva správce a zpracovatele, již mají například nárok na přiměřenou úhrada za poskytnuté informace.
České republiky, ve znění pozdějších předpisů, a zákon č. 124/1992 Sb., o Vojenské policii, ve znění pozdějších předpisů. 12) Například zákon č. 13/1993 Sb., celní zákon, ve znění pozdějších předpisů.
15
4.2 Citlivé údaje
S ohledem na praktickou část je zde nutné vymezit zpracování citlivých údajů v § 9. V odst. b) vyplývá povinnost pro správce taková, že pokud není možné z důvodů fyzické, duševní či právní nezpůsobilosti získat souhlas subjektu údajů, musí ukončit zpracování údajů po uplynutí zájmů zachování života či zdraví. Dále můžeme zpracovávat citlivé údaj, jen jestliže: c) se jedná o zpracování při poskytování zdravotních služeb, ochrany veřejného zdraví, zdravotního pojištění a výkon státní správy v oblasti zdravotnictví podle zvláštního zákona13 nebo se jedná o posuzování zdravotního stavu v jiných případech stanovených zvláštním zákonem14, d) je zpracování nezbytné pro dodržení povinností a práv správce odpovědného za zpracování v oblasti pracovního práva a zaměstnanosti, stanovené zvláštním zákonem15, f) se jedná o údaje podle zvláštního zákona nezbytné pro provádění nemocenského pojištění, důchodového pojištění (zabezpečení), státní sociální podpory a dalších státních sociálních dávek, sociálních služeb, sociální péče, pomoci v hmotné nouzi a sociálně-právní ochrany dětí, a při zajištění ochrany těchto údajů v souladu se zákonem, h) je zpracování nezbytné pro zajištění a uplatnění právních nároků, ch) jsou zpracovány výlučně pro účely archivnictví podle zvláštního zákona.
13)
Například zákon č. 20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů, zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 280/1992 Sb., o resortních, oborových, podnikových a dalších zdravotních pojišťovnách, ve znění pozdějších předpisů, zákon č. 551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů, a zákon č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, ve znění pozdějších předpisů. 14) Například zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů. 15) Například zákon č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, zákon č. 1/1992 Sb., o mzdě, odměně za pracovní pohotovost a o průměrném výdělku, ve znění pozdějších předpisů, zákon č. 218/2002 Sb., o službě státních zaměstnanců ve správních úřadech a o odměňování těchto zaměstnanců a ostatních zaměstnanců ve správních úřadech (služební zákon), ve znění pozdějších předpisů, a zákon č. 1/1991 Sb., o zaměstnanosti, ve znění pozdějších předpisů.
16
4.3 Úřad pro ochranu osobních údajů
Úřad pro ochranu osobních údajů (Úřad, ÚOOÚ) je nezávislý orgán, který se řídí zákony a jinými právními předpisy. Záruka nezávislosti má zajistit účinnost a spolehlivost dohledu nad dodržováním předpisů, a proto musí jednat objektivně a nestranně. Je chráněn před jakýmkoliv vnějším vlivem, včetně přímého či nepřímého vlivu státu nebo spolkových zemí, a nikoliv pouze před vlivem organizací, na které dohlíží. Jestliže tomu tak není, orgán neplní povinnosti vyplývající ze směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. [10] Byl zřízen dne 1. června 2000 a jeho počáteční období činnosti bylo spojeno se získáním zkušeností od evropských kolegů. Mezi jeho současné činnosti patří dozor nad dodržováním povinností při zpracování osobních údajů, vedení registru zpracování osobních údajů, přijímání podnětů a stížností týkajících se porušení povinností a jejich následné informování o vyřízení, projednání přestupků a správních deliktů, udělování pokut, poskytování konzultací v oblasti ochrany osobních údajů. Úřad pro ochranu osobních údajů také zveřejňuje ve svém úředním Věstníku, na internetových stránkách, rozhodnutí týkající se předání osobních údajů do jiných států, tedy především do třetích zemí, protože v členských státech Evropské unie mají údaje volný pohyb. Další z důležitých činností je zajišťování plnění požadavků vyplývajících z mezinárodních smluv a spolupráce s podobnými úřady ostatních států či orgány působícími v oblasti ochrany osobních údajů na celém světě. K výkonu působnosti Úřadu pro ochranu osobních údajů poskytuje Ministerstvo vnitra a Policie České republiky údaje z registru obyvatel, z evidence obyvatel a cizinců. Poskytované údaje obsahují minimálně příjmení, jméno, adresu pobytu, a datum narození. O všech činnostech, které Úřad pro ochranu osobních údajů má, je zpracovávána a veřejnosti zpřístupňována výroční zpráva. Výroční zpráva obsahuje zhodnocení a informace o provedených kontrolách a je zveřejněna do 2 měsíců po skončení rozpočtového roku. Předseda Úřadu pro ochranu osobních údajů výroční zprávu také předkládá Poslanecké sněmovně, Senátu Parlamentu České republiky a vládě České republiky.
17
Organizační struktura Úřadu pro ochranu osobních údajů16 je složena z předsedy, inspektorů, interního auditora, tiskového mluvčího, bezpečnostního ředitele, kontrolního odboru, právního oddělení, správní sekce, sekce provozu a informatiky a odboru kanceláře předsedy. Kontrolní činnost provádějí inspektoři a kontrolní odbor na základě kontrolního plánu nebo na základě podnětů či stížností. Inspektoři zároveň kontrolu řídí. Současným předsedou, respektive předsedkyní je JUDr. Ivana Janů, kterou dne 26. srpna 2015 jmenoval prezident republiky na návrh Senátu Parlamentu České republiky na dobu 5 let. Předseda Úřadu pro ochranu osobních údajů může být jmenován maximálně na 2 po sobě jdoucí období a musí splňovat tyto podmínky: být občanem České republiky, být způsobilý k právním úkonům, být bezúhonný, splňovat podmínky stanovené zvláštním právním předpisem17 a řádně zastávat svoji funkci, mít ukončené vysokoškolské vzdělání. Z funkce je předseda odvolán stejným způsobem, jako je jmenován. U inspektorů je postup s podmínkami v mnoha bodech podobný. Liší se pouze ve jmenovacím období, které je na 10 let a může se opakovat, a v ukončeném odborném vysokoškolském vzdělání. Při kontrole je kontrolující povinen prokázat se kontrolovanému průkazem. Kontrolující má oprávnění na přístup k informacím v takovém rozsahu, jež dosáhne účelu kontroly. Dojde-li k porušení povinností, uloží inspektor lhůtu k odstranění nedostatků, pokud kontrolovaný chybu napraví, může Úřad pro ochranu osobních údajů upustit od uložení pokuty. V opačném případě se kontrolujícímu uloží pokuta. Za přestupek u fyzických osob lze uložit pokutu do maximální výše 5 000 000 Kč, u právnických osob se za správní delikt může pokuta vyšplhat až na dvojnásobek. Pokuta je splatná do 30 dnů ode dne právní moci rozhodnutí o jejím uložení. Pokutu vybírá Úřad pro ochranu osobních údajů a tento výnos je příjmem státního rozpočtu.
16
) Viz Příloha č. 1: Organizační struktura Úřadu pro ochranu osobních údajů. Zákon č. 451/1991 Sb.
17)
18
5
Ochrana osobních údajů v podnikatelské praxi Pro praktickou část jsem si zvolila konkrétní nejmenovanou firmu, která se zabývá
sociální službou zaměřenou na seniory. Druhem poskytované služby je domov se zvláštním režimem, který je definován v zákoně č. 108/2006 Sb., o sociálních službách. Poskytuje se zde pobytová služba, na dobu neurčitou, osobám se sníženou soběstačností z důvodu chronického duševního onemocnění, a osobám se stařeckou, Alzheimerovou demencí a ostatními typy demencí, jejich situace vyžaduje pravidelnou pomoc jiné fyzické osoby18. Služba je poskytována na základě oprávnění k poskytování sociálních služeb. O registraci rozhoduje příslušný krajský úřad, který po splnění podmínek poskytovatele sociálních služeb vydá rozhodnutí o registraci. Krajský úřad vede registr, který obsahuje poskytovatele sociálních služeb a jejich údaje o kapacitě, materiálním, technickém a personálním zabezpečení, poskytování základních a fakultativních činností a financování jednotlivých sociálních služeb, zobecněné údaje o žadatelích, osobách, kterým je sociální služba poskytována, nebo s kterými nemohla být uzavřena smlouva o poskytování sociálních služeb19. Registr je veden v listinné a elektronické podobě, a proto je krajský úřad povinen při zpracování údajů postupovat podle zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. V případě nového nástupu zaměstnance na pozici pracovník v sociálních službách, zdravotnický pracovník či pedagogický pracovník musíme na krajský úřad dokládat ověřenou kopii nejvyššího dosaženého vzdělání či osvědčení a výpis z rejstříku trestů fyzických osob, jestliže k nám nastupuje zdravotnický pracovník je nutná ještě ověřená kopie rozhodnutí o prodloužení platnosti osvědčení k výkonu zdravotnického povolání bez odborného dohledu, které uděluje Ministerstvo zdravotnictví České republiky na 6 let. U cizinců je potřeba doložit stejné dokumenty jako u občanů České republiky, s tím, že musí být přeloženy do českého jazyka a obsahovat tlumočnickou doložku. Přeložené dokumenty se musí zaslat na příslušný úřad, jestliže se jedná o středoškolské vzdělání či vyšší odborné vzdělání, zasílají se dokumenty na Krajský úřad, vysokoškolské vzdělání se zasílá na Ministerstvo školství, mládeže a tělovýchovy.
18 19
) § 50 odst. 1 zákon č. 108/2006 Sb., o sociálních službách. ) § 85 odst. 5 zákon č. 108/2006 Sb., o sociálních službách.
19
V obou případech se jedná o uznání zahraničního vzdělání a kvalifikace v České republice. Jestliže pracovník v sociálních službách nesplňuje kvalifikaci, je zapotřebí, aby si ji do jednoho roku a půl dodělal. Nesmíme zde také opomenout, že již při zaslání životopisu zájemce o zaměstnání, se zpracovávají osobní údaje. Pokud se s novým zaměstnancem uzavře pracovní smlouva, která už sama o sobě obsahuje osobní údaje, má právo zaměstnavatel dále zpracovávat tyto osobní údaje: pro evidenční listy důchodového pojištění zasílaných na OSSZ: datum a místo narození, všechna dřívější příjmení, rodné číslo, místo trvalého pobytu, pro správný výpočet mzdy: vzdělání, předchozí praxe, pro správný výpočet měsíčních záloh na daně: druh pobíraného důchodu, pro zjištění přesného data nároku na odchod do starobního důchodu: počet dětí (u žen), pro plnění povinného podílu osob se zdravotním postižením na celkovém počtu zaměstnanců: zdravotní znevýhodnění, pro placení zdravotního pojištění: zdravotní pojišťovna, za účelem hlášení zaměstnávání cizinců: státní občanství, prohlášení poplatníka daně z příjmu: pokud zaměstnanec uplatňuje daňové zvýhodnění a manžel/ka je zaměstnán/a:
příjmení
a
jméno
manžela/ky,
název
a
adresa
zaměstnavatele, pokud zaměstnanec uplatňuje zvýhodnění na vyživované dítě: jméno, příjmení a rodné číslo dítěte.[16]
5.1 Zpracování osobních údajů při nástupu klienta do zařízení
Ke zpracování osobních údajů, týkající se žadatelů o umístění, dochází v první řadě již před nástupem klienta do našeho zařízení. Abychom pro nově příchozího měli již sepsanou smlouvu o poskytování sociálních služeb, musí již rodina doložit alespoň vyplněnou žádost o umístění a nejaktuálnější lékařskou zprávu. Žádost o umístění obsahuje jméno, příjmení, rodné příjmení, datum a místo narození, rodné číslo, kontaktní adresu a kontaktní údaje na rodinného příslušníka, výši příspěvku na péči a důchodu a charakteristiku fyzického stavu, míru soběstačnosti a potřebnosti. Samotná 20
lékařská zpráva obsahuje citlivé údaje subjektu údajů týkajících se především zdravotního stavu, dále je uvedeno rodné číslo, jméno, příjmení, adresa a zdravotní pojišťovna. Při nástupu nám klient ještě dokládá občanský průkaz a kartičku zdravotní pojišťovny, které následně kopírujeme a skenujeme do počítače. Kartičku zdravotní pojišťovny ukládáme na sesternu k ostatním kartičkám a občanský průkaz musí mít klient uložen vždy v horním šuplíku od nočního stolku. Kartičku zdravotní pojišťovny ukládáme na sesternu kvůli rychlejšímu nalezení v případě, že by pro klienta jela rychlá záchranná služba. Všechny okopírované dokumenty zakládáme do složky klienta v šanonu. Šanony jsou umístěny v kanceláři firmy. Mezi další dokumenty zakládané do šanonu patří například smlouva o poskytnutí služeb, vyúčtování za poskytované služby, souhlas s hospodařením kapesného klienta, rozhodnutí od Úřadu práce, rozhodnutí soudů, důchodový výměr. Některé dokumenty máme také uloženy v elektronické podobě na sdíleném serveru. Nástup klienta musíme ohlašovat na příslušný Úřad práce, kam zároveň zasíláme formulář oznámení o poskytovateli pomoci20 s žádostí týkající se příspěvku na péči a oznámením změn příjemce dávky sociální péče. Žádosti rozlišujeme dvě, první je žádost o příspěvek na péči, kterou zasíláme u klientů, kteří ještě nemají o příspěvek na péči zažádáno. Druhou žádostí je myšlen návrh na změnu výše přiznaného příspěvku na péči, který zasíláme v případě, že klient má již přiznaný příspěvek na péči, ale došlo u něj ke zhoršení soběstačnosti. Všechny formuláře, které spadají pod Úřad práce, většinou zasíláme přes datovou schránku majitelky firmy. Jestliže si klient přeje, aby k nám chodil jeho starobní, vdovský důchod, musíme nástup klienta ohlašovat také na Českou správu sociálního zabezpečení pomocí formuláře hlášení o přijetí klienta/klientky do zařízení sociálních služeb21. Oznámením o přijetí klienta žádáme o výplatu důchodu formou hromadného výplatního seznamu k 15. dni v měsíci. Při souhlasu klienta se změnou formy výplaty musí tiskopis vlastnoručně podepsat, poté je tiskopis opatřen razítkem našeho zařízení a podepsán majitelem firmy. S Českou správou sociálního zabezpečení máme uzavřenou smlouvu o způsobu výplaty hromadným poukazem. Co se týče zdravotní dokumentace, ve většině případů k nám klient nastupuje z nějakého zařízení (LDN, nemocnice), kde při odchodu dostane propouštěcí zprávu,
20 21
) Viz Příloha č. 2: Oznámení o poskytovateli. ) § 116c zákona č. 582/1991 Sb.
21
která nám stačí, abychom se seznámili s aktuálním stavem a s léky, které klient užívá. Tím, že klient nastoupil k nám, se mu mění i jeho praktický lékař. Pro praktického lékaře je ideální buď výpis ze zdravotní dokumentace od bývalého praktického lékaře, nebo celá zdravotnická dokumentace. Každý praktický lékař má povinnosti při předávání zdravotnické dokumentace, a to přijmout taková technickoorganizační opatření, aby nemohlo dojít k nahodilé ztrátě či přístupu osobních údajů.[17] Jestliže bude obecná povinnost porušena, hrozí praktickému lékaři pokuta.[18]
5.1.1 Příspěvek na péči
Příspěvek na péči je určen osobám, které potřebují dlouhodobou pomoc jiné fyzické osoby při zvládání základních životních potřeb. Stupeň závislosti se stanovuje podle zákona č. 108/2006 Sb., o sociálních službách. Stupeň závislosti se odvíjí od mobility, orientace, komunikace, stravování, oblékání, obouvání, tělesné hygieny, osobní aktivity aj. Výše příspěvku na péči, s platností od 1. srpna 2016, pro osoby starší 18 let činí za kalendářní měsíc: 880 Kč, jde-li o stupeň I (lehká závislost), 4 400 Kč, jde-li o stupeň II (středně těžká závislost), 8 800 Kč, jde-li o stupeň III (těžká závislost), 13 200 Kč, jde-li o stupeň IV (úplná závislost). Řízení o přiznání příspěvku na péči se zahajuje na základě písemné žádosti, která je dostupná na kontaktních pracovištích krajských poboček Úřadu práce nebo na Integrovaném portálu Ministerstva práce a sociálních věcí. Dalším krok je veden ze strany příslušného Úřadu práce. Pro účely rozhodování o příspěvku na péči se provádí sociální šetření, kdy sociální pracovník z Úřadu práce navštíví, po domluvě, klienta přímo v našem zařízení. Následně zasílá sociální pracovnice z Úřadu práce svůj posudek na okresní správu sociálního zabezpečení, kde již mohou mít vyjádření praktického lékaře. Na základě těchto posudků vydá Úřad práce rozhodnutí buď o zamítnutí příspěvku na péči, ponechá tedy původní výši, nebo vydá rozhodnutí o navýšení. Proti rozhodnutí se lze odvolat, ale naše zařízení nemělo důvod se odvolávat jménem konkrétního klienta. Naše zařízení je například domluveno s krajskou pobočkou v Hradci Králové, že se písemné žádosti a ostatní dokumenty budou zasílat, 22
po naskenování, pomocí elektronické komunikace, většinou přes datovou schránku. Originální žádosti předáváme, při sociálním šetření, sociální pracovnici Úřadu práce. Příspěvek na péči je vyplácen měsíčně, příslušnou krajskou pobočkou Úřadu práce, formou poštovních poukázek či převodem na bankovní účet. Pro usnadnění zasíláme vždy, při příchodu klienta do našeho zařízení, žádost o změnu způsobu výplaty dávek, která nám zajistí, aby příspěvek na péči chodil na náš platební účet u peněžního ústavu v České republice vedený v CZK.[13]
5.1.1.1 Informační systém o příspěvku
V informačním systému o příspěvku22 jsou údaje o žadatelích a příjemcích, o výši příspěvku na péči a o fyzických a právnických osobách poskytujících pomoc. Informační systém o příspěvku je součástí Jednotného informačního systému práce a sociálních věcí, jehož správcem je Ministerstvo práce a sociálních věcí. Pro ministerstvo a Úřad práce je počítačový program (konstruovaný z hardwarově i softwarově jako cloudová služba) bezplatný a umožňuje dálkový přístup k osobním údajům. Poskytovanými údaji jsou rodná čísla, omezení svéprávnosti, jména, adresy aj. Na žádost zaměstnance z konkrétního úřadu může ministerstvo zřídit oprávnění k přístupu do informačního systému, tento přístup si ministerstvo eviduje.23 Doba uložení všech údajů z informačního systému, po splnění daného úkolu, je 15 kalendářních let následujících po kalendářním roce. V roce 2012 a začátkem roku 2013 probíhala v Jednotném informačním systému práce a sociálních věcí rozsáhlá kontrola nad zpracováváním osobních údajů a jejich zabezpečení. Ministerstvo práce a sociálních věcí České republiky a Úřad práce České republiky se dopustily dvou zásadních porušení zákona. První porušení se týkalo již zmiňovaného oprávnění k přístupu a druhé, neméně závažné porušení zákona, bylo nesplnění podmínky pořizování elektronických záznamů.[14]
22 23
) § 30 zákona č. 108/2006 Sb. ) § 4a zákona č. 73/2011 Sb., o Úřadu práce České republiky a o změně souvisejících zákonů
23
5.1.2 Datová schránka
Datová schránka je elektronické úložiště dokumentů. Úřady prostřednictvím datové schránky doručují své písemnosti příslušným adresátům (fyzickým nebo právnickým osobám), stejně jako komunikují s jinými orgány veřejné správy. Fyzické a právnické osoby mohou prostřednictvím datové schránky činit úkony vůči orgánům veřejné moci.[22] Datovou schránku smějí využívat včetně majitelky ještě další tři osoby, a to sociální pracovnice, asistentka majitelky a hospodářka. Informační systém datových schránek funguje od července roku 2009, pro některé subjekty a veřejnou správu se stala rutinou pro jiné je stále velkou neznámou či nezajímavou. Datová zpráva ve smyslu zákona č. 227/2000 Sb., o elektronickém podpisu, jde o elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na technických nosičích dat, používaných při zpracování a přenosu dat elektronickou formou, jakož i data uložená na technických nosičích (CD-R/CD-RW, DVD-R/DVD-RW, USB) ve formě datového souboru.[22] Datových formátů elektronických dokumentů je přípustných více než 26 formátů (například formát PDF, DOC/DOCX, atd.).[23] V datové schránce je datová zpráva považována za doručenou okamžikem přihlášení adresáta do své datové schránky. Potvrzení, ze kterého se dozvíme, co se stalo s odeslanou datovou zprávu, se nazývá doručenka nebo také dodejka. Nejčastějším odesílaným formátem našeho zařízení je buď formát PDF či DOC. Komunikujeme zde s Úřady
práce,
Českou
správou
sociálního
zabezpečení,
Krajským
úřadem
Královéhradeckého kraje, Okresními soudy, zdravotními pojišťovnami, Hasičským záchranným sborem Královéhradeckého kraje, městem a notářkou.
5.1.3 Server
Jak už bylo zmíněno, některé dokumenty jsou ukládány v elektronické podobě do konkrétních složek na server. Tento server se nachází na pevném počítači v kanceláři popisovaného zařízení. Server je díky místní síti sdílený do dalších zařízení (notebooků). Vzniklá data jsou ukládána do sdílených adresářů, kde jsou zároveň i zpracovávána. Sdílený server obsahuje složky typu důležité dokumenty, fotografie, hasiči, informační systém, inkontinenční pomůcky, jídelní lístky, manuály, objednávky, příspěvek na péči, provozní řád, provozní věci, revize, schodišťová sedačka, služby, standardy, stavba, supervize, školení a vzdělávání, úrazy, vykazování MPSV aj., 24
výkony pro pojišťovny, žádosti o dotace. Nejvíce zneužitelnými složkami, které nebyly vypsány, jsou složky klientů, personalistiky a seznamů. Ve složce Klienti má každý klient založenou svoji souborovou složku obsahující jeho osobní údaje, dále je zde k nalezení rozpis nárazových léků, objednávky léků za hotové, psychiatrické léky, diabetologie, praktický lékař, očkování, aplikace inzulínu, Česká správa sociální zabezpečení, vyřazení klienti, zájemci o umístění, změna zdravotní pojišťovny. Složka Personalistika obsahuje podobně, jako u klientů, podsložku každého zaměstnance a dále složku dohody o srážkách ze mzdy, dohody o provedení práce, formuláře zaměstnanci, harmonogramy práce, obědy pro zaměstnance, oznámení na Krajský úřad, pracovní oděvy, příspěvky na dopravu, rozhlas, ukončení pracovního poměru, vizitky, výplatnici, výstupy – zaměstnanci. Třetí složkou bohatou na osobní údaje je složka Seznamy k aktualizaci, která obsahuje agendu kanceláře, rozpisy léků všech klientů, příchody a odchody klientů do zařízení, telefonní seznam na zaměstnance, kontakty na rodiny klientů, přehled klientů s jejich rodným číslem a číslem občanského průkazu, místa a data narození. Server každý den používá majitelka firmy, hospodářka, asistentka a sociální pracovnice. Ve firmě neexistují žádná pravidla, jak s daty zacházet. Aby tedy nebyla data zneužita či zničena neoprávněnou osobou, je síť chráněna přes porty a přes administrátora. IT pracovník a servisní organizace má ale neomezený přístup k síti s daty, takže tu může být určitá obava o zneužití z této strany.
5.2 Zpracovávání osobních údajů klienta v průběhu ubytování
V průběhu ubytování se vyřizují záležitosti jako je například ohlašování ohledně hospitalizace, končící občanské průkazy, končící či ztracené kartičky zdravotní pojišťovny, aj. Zdravotní pojišťovny u občanů České republiky, zasílají kartičky automaticky na doručovací adresu, v případě našich klientů tedy na adresu našeho zařízení. V našem zařízení máme také klienty jiné národnosti. U těchto klientů musíme hlídat platnost, abychom mohli včas zažádat u zdravotní pojišťovny o novou kartičku. Většinou zdravotní pojišťovnu žádáme pomocí telefonické komunikace, kdy musíme nahlásit identifikační číslo naší společnosti, pro kontrolu adresu zařízení, poté rodné číslo klienta s kontrolní otázkou, kde má klient trvalé bydliště. Žádat o kartičku se musí z toho 25
důvodu, že naše česká zdravotní pojišťovna je jen prostředník a veškeré náklady na péči si následně řeší s pojišťovnou v zahraničí. Kartičku zdravotní pojišťovny klienta vždy převezmeme a uložíme k ostatním kartičkám, které se nacházejí na sesterně. Prošlou kartičku znehodnocujeme přestřižením alespoň na dvě části. Konec platnosti občanského průkazu oznamujeme na Magistrát města. Přes emailovou korespondenci nahlašujeme jméno, příjmení, rodné číslo, místo trvalého pobytu a platnost občanského průkazu konkrétního klienta. Pověřené pracovnice po domluvě přijedou do našeho zařízení, zkontrolují údaje o klientovi a nafotí ho. Přibližně za dva měsíce přijedou pracovnice z Magistrátu města s nově vyhotoveným občanským průkazem, který vymění za starý. Začátkem každého měsíce se zpracovávají zdravotní výkony u každého klienta za předešlý měsíc. Jedná se o tzv. výkazy pro pojišťovny. Zdravotní sestra vypíše, u každého klienta zvlášť kartu zdravotních výkonů24 za konkrétní měsíc. Tato karta obsahuje číslo a název výkonu, datum (interval dnů), úkon a kolikrát denně byl vykonán zdravotní výkon. Všechny údaje potřebné k vyplnění karty zdravotních výkonů nalezne zdravotní sestra ve zdravotnické dokumentaci, a proto musí dodržovat povinnosti vyplývající ze zákona o ochraně osobních údajů. Vykazování pro pojišťovny se po ručním vyplnění zadávají do informačního systému. Výsledkem celého vykázání je Poukaz na vyšetření ORP včetně formuláře25, který je složen z dílu A – poukaz na vyšetření/ ošetření ORP a dílu B – formulář přehled výkonů. Tyto výkazy musí být odeslány do 15. následujícího měsíce za předcházející měsíc. V průběhu ubytování dochází k vyzvedávání léků z lékáren pro konkrétního klienta. Léky odebíráme z místní lékárny nebo z lékárny v Hradci Králové. Většinou se pro ušetření jedné cesty nejprve telefonicky zavolá do lékárny a nahlásí se recept (tím je myšlen pouze léčivý přípravek), který se při vyzvednutí léčiva odevzdá lékárníkovi. Zákon č. 378/2007 Sb., o léčivech a o změnách některých souvisejících zákonů ukládá zásady lékárnám a lékárníkům.[19] Ti musejí zajistit, pro Státní ústav pro kontrolu léčiv, evidenci léčivých přípravků při výdeji pomocí jejich kódu a tuto evidenci uchovávat po dobu 5 let. Rozsah údajů a způsobu jejich poskytování probíhá formou hlášení, které zveřejní Státní ústav pro kontrolu léčiv ve svém informačním prostředku.
24 25
) Viz Příloha č. 3: Karta zdravotních výkonů. ) Viz Příloha č. 4: Poukaz na vyšetření ORP včetně formuláře.
26
Státní ústav pro kontrolu léčiv zřizuje a provozuje centrální datové úložiště, tzv. centrální úložiště elektronických receptů, pro sběr a zpracování elektronicky předepisovaných léčivých přípravků.26 V centrálním úložišti elektronických receptů ani nikde jinde nesmí být shromažďovány osobní, respektive citlivé údaje pacientů formou hlášení o vydaných léčivých přípravcích na základě listinného receptu. Bohužel se takovéhoto shromažďování dopustil Státní ústav pro kontrolu léčiv, v centrálním úložišti elektronických receptů, v období od ledna do září roku 2009, když zpracovával bez souhlasu osobní údaje osob, a to v řádu statisíců, kterým byl vydán léčivý přípravek na základě již zmíněného listinného receptu v lékárně připojené k centrálnímu úložišti elektronických receptů, a osob, kterým byl vydán léčivý přípravek bez lékařského předpisu s omezením. V obou případech v rozsahu identifikační údaje pacienta (číslo pojištěnce nebo jméno, příjmení, datum narození a adresa bydliště), kód zdravotní pojišťovny, identifikace lékárny a údaje o vydaném léčivém přípravku. Za překročení pravomoci a v rámci své činnosti opomenutí práva pacientů na ochranu dat a jejich práva na soukromí, byla Státnímu ústavu pro kontrolu léčiv uložena pokuta ve výši 2,3 milionů Kč.[20] Přístup do centrálního úložiště elektronických receptů má nepřetržitě předepisující lékaři, farmaceuti vydávající v lékárně předepsaný léčivý přípravek a zdravotní pojišťovny. Státní ústav pro kontrolu léčiv musí zajistit ochranu a bezpečnost v databázi uložených elektronických receptů před jejich poškozením, zneužitím nebo ztrátou podle zákona o ochraně osobních údajů.27
5.2.1 Informační systém Cygnus
Do informačního systému firmy mají přístup pouze asistentky ředitelky, ředitelka a jedna konkrétní všeobecná sestra. V informačním systému se včetně již zmíněného vykazování zpracovávají údaje o konkrétním klientovi, tedy jméno, příjmení, datum narození, rodné číslo, pohlaví, rodné příjmení, druh důchodu, rodinný stav, místo a okres narození, adresa, datum nástupu do našeho zařízení, číslo občanského průkazu a kartičky zdravotní pojišťovny a jejich platnost, název zdravotní pojišťovny, hotovostní depozita a jejich pohyb, kontaktní údaje na rodinu klienta (email, telefonní číslo a adresa), ze zdravotních záznamů to jsou předepsané léky, přehled diet. Další možností,
26 27
) § 13 odst. 3 písm. n) zákona č. 378/2007 Sb. ) § 81 odst. 1 písm. e) zákona č. 378/2007 Sb.
27
kterou lze udělat přes informační systém, je objednávka inkontinenčních pomůcek pro klienty. Ta se stejně jako vykazování zpracovává ručně a až poté se zadává do systému podle toho, na kolik má daný klient nárok. Informační systém nabízí i jiné objednávky jako jsou objednávky léků, léčebných a ortopedických pomůcek, tyto možnosti systému zatím nevyužíváme. Dalšími nevyužívanými operacemi systému je nutriční péče, hodnocení péče a přehled záznamů, vyúčtování za služby, zadávání standardů, zadávání žadatelů o umístění. Informační systém je složen z několika tematických částí, které jsou vzájemně propojené. Společnost, jež nám poskytuje informační systém, který máme aktuálně v pronájmu, může díky poskytování uživatelské podpory zneužít osobní údaje našich klientů pomocí vzdálené podpory či za stavu kybernetického nebezpečí.[21]
5.3 Zpracování osobních údajů klienta při ukončení pobytu či úmrtí
Při ukončení pobytu či úmrtí klienta se zasílá na Úřad práce oznámení, v případě zasílání důchodu hromadným poukazem se hlásí na ČSSZ formulářem hlášení o ukončení/úmrtí klienta v zařízení sociálních služeb. Jestliže k nám i po ohlášení na všechny úřady přijde důchod či jakákoliv jiná zásilka poštou a klient již není v našem zařízení, nemůžeme tento důchod či zásilku převzít. Jestliže klient odejde do domácí péče či jiného zdravotnického zařízení je naší povinností mu předat dokumenty týkající se rozpisu užívaných léků, rozpis naplánovaných prohlídek u lékařů, kopie lékařských zpráv, výměr důchodu, rozhodnutí o příspěvku na péči. Pokud má klient nárok, dostane od nás i při odchodu inkontinenční pomůcky, které mu náleží a léky na tři dny. Při úmrtí klienta se nejprve do zařízení volá náš nasmlouvaný praktický lékař, který provede prohlídku těla zemřelého a vyplní List o prohlídce zemřelého, tzv. ohledací list. Zemřelý se v našem zařízení ještě většinou stihne umýt a přichystají se mu věci do rakve, pokud je rodina přivezla do našeho zařízení. Zároveň se také informuje rodina o úmrtí svého blízkého. Po prohlídce praktických lékařem se zavolá pohřební služba, kterou buď zařídí rodina, nebo naše zařízení. Dohodu máme s pohřební službou v Hradci Králové, která si pro nebožtíka dojede, s nebožtíkem si pohřební služba odváží List o prohlídce zemřelého, občanský průkaz, kartičku zdravotní pojišťovny a popřípadě již zmíněné oblečení do rakve. Další kroky si už zajišťuje rodina sama. 28
Pokud u nás již klient není a za daný měsíc, kdy odešel, máme vykázáno, zdravotní a sociální dokumentaci musíme archivovat. Dokumentaci ukládáme do nadepsané krabice, která se většinou naplní za jeden až dva roky. Archivujeme na 10 let od doby odchodu klienta. Po uplynutí archivační doby se osobní údaje likvidují formou nadrcení a následného termického odstranění, spálení. Společnost provádějící likvidaci odpadu je obeznámena o tom, že odpad tvoří dokumenty obsahující osobní údaje. Tyto informace říkáme, abychom se nedopustili stejného porušení povinností uložených zákonem č. 101/2000 Sb., jako zaměstnanec již propuštěný ze společnosti, které byla uložena pokuta.[15] Od společnosti poté dostaneme potvrzení o skartaci dodaných písemností s informací, že skartace byla provedena dle normy DIN 32 757 (obsahuje 1 – 6 stupňů utajení).
29
6
Analýza
zpracovávání
osobních
údajů
u
konkrétního
podnikatele Firma nakládá s osobními údaji, v papírové podobě, aktuálních klientů a zaměstnanců s respektem a úctou k danému subjektu údajů. Kancelář je mimo pracovní dobu zamčená, tudíž se do ní nikdo nedostane. Nedostatek vidím v nezabezpečeném archivování. Všechny dokumenty k archivaci založené v popsaných krabicích se nacházejí v podkrovním pokoji za šatní skříní. Pokoj je klientský, tudíž se nezamyká a má do něj přístup prakticky kdokoliv. Klienti, kteří v pokoji bydlí, nejspíš netuší o prostoru za jejich šatní skříní, ale to může být pouze naše domněnka. Bohužel se při psaní této bakalářské práce ukázalo, že ochrana osobních údajů (aktuálních i bývalých klientů a zaměstnanců) v elektronické podobě není na takové úrovni zabezpečení, aby nemohlo dojít k neoprávněnému vniknutí ke sdíleným složkám na serveru a zašifrovat v nich veškerá data. Doposud se nám nepodařilo zjistit, jak se tato událost mohla stát. Naše domněnka je taková, že se hackeři pomocí zavirované přílohy emailu, který jsme museli otevřít, nebo prostřednictvím webového prohlížeče či navštívením webu, který je tímto typem malwaru (škodlivý software) infikován, dostali do některého z našich počítačů. S jistotou víme, že se na sdílený server hackeři dostali jedním z uživatelských účtů pomocí připojení přes vzdálenou plochu. I když uživatel nebyl přes vzdálenou plochu v tu chvíli přihlášen, hackeři si už sami na ploše konkrétního počítače našli Remote Desktop Protocol (síťový protokol, zkratka RDP), který jim umožnil ovládnout serverový počítač. Uživatelský účet měl stejné přihlašovací jméno jako heslo, čímž jsme hackerům s největší pravděpodobností usnadnili práci. Ve složce uživatelského účtu nám hackeři zanechali zprávu se svou přezdívkou a informací, že máme všechny soubory zašifrované, a pokud je chceme odšifrovat, ať je zkontaktujeme na jeden ze dvou uvedených emailů. Jelikož se výkupní částky pohybují velmi vysoko, majitelka žádné peníze hackerům nezaslala. Celá událost byla nahlášena na Policii České republiky pro případ, že by osobní a citlivé údaje byli zneužity. Tato hackerská technika pro zašifrování důležitých dat se nazývá ransomware (alias roqueware nebo scareware).[24] Firma zajišťující administrátorskou a zálohovací činnost bohužel nezálohovala na externí úložiště, nýbrž na druhou polovinu napadeného disku. Tudíž jsme přišli o 30
veškerá data na sdíleném serveru a i všechna data v informačním systému Cygnus. Z této události jsme se ale dostatečně poučili, a proto je nyní na všech počítačích ve firmě silné heslo a zálohuje se každý den jak na druhou polovinu disku, tak i na cloudové úložiště firmy, která nám zajišťuje administrátorkou a zálohovací činnost. Data, která byla ztracena, doplňujeme na server a do informačního systému dodnes.
31
7
Návrhy na zlepšení Pro popisovaného podnikatele bych navrhla zlepšení týkající se vykazování pro
pojišťovny, dat na sdíleném serveru jejich ochrany a zálohování, ochrany elektronické pošty (e-mailu), docházkového systému. U vykazování pro pojišťovny bych firmě navrhla, aby se výkony psaly rovnou do informačního systému Cygnus a nemusely se psát nejprve na papír a až pak do počítače. Mohlo by totiž dojít ke ztrátě či neoprávněnému nahlédnutí do karty zdravotních výkonů klienta, čímž by došlo k porušení povinností zpracovatele osobních, zde s jistotou říci i citlivých údajů. Zlepšení by vedlo také k rychlejšímu zpracování vykazování. Nyní tomu tak není, protože všeobecná sestra musí vypsat výkazy na předtištěné papíry, poté je předává asistence, která výkazy přepíše do informačního systému Cygnus, následně je všeobecná sestra zkontroluje a až poté je asistentka může vykázat zdravotním pojišťovnám. Z důvodu zašifrování souborů na sdíleném serveru by dalším návrhem na zlepšení byl kryptografický software, který zajišťuje přístup osobám oprávněným nakládat s daty. Kryptografický nástroj s online symetrickým šifrováním ukládaných dat navazující na organizační strukturu firmy. U symetrického šifrování je pro zašifrování dat použit stejný klíč jako pro dešifrování. Šifrování probíhá na úrovni jednotlivých složek. Pro běžného uživatele nepředstavuje prakticky žádné omezení při zpracovávání uložených souborů, protože pracuje v naprosto standardním prostředí bez jakéhokoliv omezení. Soubory pro uživatele bez potřebného klíče jsou nečitelné, tudíž administrátoři a IT pracovník jsou odděleni od obsahu souborů na sdíleném serveru, ale přitom mohou provádět údržbu systému.[25] Vzhledem k tomu, že se serverový počítač vůbec nevypíná a hospodářka, asistentka ani sociální pracovnice nepracují nonstop, dalším návrhem na zlepšení zabezpečení dat je zálohování na cloudové úložiště. Automatické zálohování dat by mohlo probíhat jedenkrát denně v nastavenou dobu například v osm hodin večer. Díky tomu se zvýší datové zabezpečení velmi jednoduchou službou pronájmu prostoru pro odkládání záloh v jiné lokalitě, než je primární (serverový) disk.[26] Přestože je tento návrh uveden již v kapitole 6 Analýza zpracovávání osobních údajů u konkrétního podnikatele, doporučila bych toto zálohování dat dělat samostatně v rámci kanceláře a pomocí místního IT pracovníka. Po zkušenosti se sjednanou firmou tu existují jisté 32
obavy týkající se spolehlivosti a důvěry. Protože ani naše zařízení nepřijalo všechna možná technickoorganizační opatření, která vyplývají ze zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, doporučila bych ještě k etickému kodexu přidat nějaké předpisy či řád týkající se zpracovávání osobních údajů. Ovšem je zde ještě otázka, kde se fyzicky cloudové úložiště (cloudové disky) nacházejí, protože data mohou být uložena na území České republiky, nebo na území Evropské unie či v ostatních státech tzv. třetích zemí, které mají různé právní normy. Například společnosti sídlící v USA nebo poskytující služby v USA jsou povinny podstoupit data klienta vládě, což může představovat pro zákazníky mimo USA problém. Podobně je to s povinností ochrany osobních údajů. Spousta cloudů ale zapracovala na svém zabezpečení z důvodů napadání dat a transfery tak chrání zabezpečené SSL/TSL kanály komunikace. Výhodu také vidím v tom, že k datům máme přístup odkudkoli, kde je internet, data můžeme sdílet s kýmkoli a hlavně se o cloud computing nemusíme starat. Dalšími výhoda zejména pro podnikatele je eliminace nákladů na správu a údržbu a úspory v oblasti spotřeby energie. Protože se doporučuje zálohovat data alespoň na dvě úložiště, doporučila bych zálohu na flesh disk, který není finančně náročný na pořízení. Má ale více hrozeb než již zmíněné cloudové úložiště. Nevýhodou je snadná ztráta, zapomenutí či odcizení. Pokud není na flash disku použito heslo či šifrování údajů, jsou citlivé údaje dostupné každému, kdo se datového nosiče zmocní. Flash disky mají také nevýhodu v omezeném počtu zápisů a často jsou mechanicky poškozovány neopatrnými uživateli například náhodným rozlomením. V popisované firmě se prozatím nikdy nestalo, že by se flash disk dostal mimo kancelář a hlavně ho vždy používá pouze oprávněná osoba. Dalšímu návrhu na zlepšení ochrany dat bych se nevyhýbala ani v elektronické poště. Některé nevinně vypadající „e-maily“ totiž mohou obsahovat malware. Nelze tedy spoléhat pouze na antivirovou kontrolu, a proto bych se inspirovala z těchto kroků, které by eliminovali možnou „nákazu“: 1. Nastavení vhodného hesla – Uživatelé by měli zvolit takové heslo, které je dostatečně silné a zároveň zapamatovatelné, aby si jej nemuseli lepit na obrazovku svého PC. 2. Obrana proti únikům dat – Je potřeba vytvořit směrnici nařizující, že se podnikové informace nesmí za žádných okolností dostat ven bez explicitního
33
souhlasu vedení, a nástroj, který dokáže na základě kontroly klíčových slov upozornit na možný únik dat. 3. Zastavení spamů – Spam není jen na obtíž, ale představuje skutečné nebezpečí a obrana proti němu může být zajištěna prostřednictvím kombinace technických opatření, vnitropodnikových směrnic a školení. 4. Kontrola obsahu prostřednictvím filtrování a monitoringu – Monitorování obsahu e-mailů pomáhá ochránit firmu před následky zpráv s nevhodným či nelegálním obsahem, včetně soudních obvinění. 5. Obrana proti malwaru – Dobře nastavené filtrování rozezná a zablokuje takové přílohy, které by mohly obsahovat virus, a také dokáže eliminovat útok nulového dne. 6. Obrana proti phishingu – E-mail zůstává nejoblíbenějším způsobem k iniciování sociálních útoků, přičemž phishing patří mezi nejčastější techniku. Zde je třeba důrazně varovat uživatele před reakcí na podezřelé nabídky. 7. Hloubková obrana – Znamená kombinovanou obranu proti všem formám útoků a úniků dat, včetně antiviru/antimalwaru, nástroje proti spamu a nástroje na filtrování obsahu, a to jak na klientských stanicích, tak na poštovním serveru. 8. Dodržování odvětvových standardů – Všechny případné problémy jsou závažnější pro ty společnosti, které podléhají compliance ve svém odvětví (zdravotnictví, bankovnictví, automotive apod.). Pro ně existují speciální bezpečnostní techniky, jak pro malé firmy, tak i pro větší společnosti. 9. Školení a osvědčená praxe – Největším problémem bývá chování koncového uživatele. Neexistuje žádná ochrana na světě, která by chránila proti zaměstnanci, který se nechá snadno obelstít a vydá hackerům úplný přístup k síti. 10. Dodržování bezpečnostních pravidel – A nakonec by si každá firma měla v oblasti e-mailové komunikace vytvořit bezpečnostní politiku s pravidly, která lze s využitím technických prostředků snadno nastavit, monitorovat a případně vynucovat.[28] V rámci již naplánovaného zavedení docházkového systému bych v rámci bezpečnosti dat navrhla například speciální uživatelský účet, do kterého by měla přístup pouze oprávněná osoba – například účetní. Jak uvádí Úřad pro ochranu osobních údajů ve své Výroční zprávě z roku 2007 na straně 42 a 43: „Použití systémů, v jejichž paměti 34
dochází k uchovávání biometrických údajů, nelze považovat za nezbytné pro jakoukoliv běžnou evidenci.“ Hrubým plánem je zatím docházkový systém se spolehlivým určením osoby, a to identifikací pomocí biometrického údaje – otisku prstu. Docházkový systém by zaznamenával docházku (příchod, odchod, kuřácká pauza, oběd), dále pak rozpis směn, přehled dovolených, přesčasů a nabídka obědů pro zaměstnance. Veškerá data z docházkového systému by se sice ukládala do vlastního počítače, ale zároveň by byla k nahlédnutí a případné opravě přes síť ze serverového počítače, který je umístěn v kanceláři.
35
8
Závěry a shrnutí Ochrana osobních údajů je vysoce aktuální problematika úzce související
s kybernetickou bezpečností. Na toto téma jsou navrhovány právní úpravy obsahující obecná nařízení či směrnice. Jedno takové obecné nařízení, které bylo schváleno Evropským parlamentem a nabude účinnosti v roce 2018, je nařízení týkající se ochrany osobních údajů z oblasti elektronických komunikací tzv. „data breaches“ (porušení zabezpečení osobních údajů). V dubnu 2016 se na téma „data breaches“ konal workshop,
kterého se
zúčastnili zástupci
Svazu průmyslu,
České asociace
farmaceutických firem, ICT Unie, Asociace televizních organizací, Výboru nezávislého ICT průmyslu a zástupci společností IBM, Seznam, Microsoft a další.[29] Na workshopu se vyskytla terminologie jako je narušení bezpečnosti osobních údajů, porušení ochrany osobních údajů a porušení zabezpečení osobních údajů. Data breaches je definována ve Směrnici 2002/58/ES ve znění směrnice 2009/136/ES čl. 2. písm i, takto: „narušením bezpečnosti osobních údajů se rozumí narušení bezpečnosti, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neoprávněnému vyzrazení nebo zpřístupnění osobních údajů přenášených, uchovávaných nebo jinak zpracovávaných v souvislosti s poskytováním veřejně dostupné služby elektronických komunikací ve Společenství“. A dle zákona č. 127/2005 Sb., § 2 písm. y28: „Porušením ochrany osobních údajů rozumíme porušení bezpečnosti, které vede k neoprávněnému přístupu nebo k neoprávněné nebo nahodilé změně, zničení, vyzrazení či ztrátě osobních údajů zpracovávaných v souvislosti s poskytováním veřejně dostupné služby elektronických komunikací“.[30] Podle mého názoru je správné, že na tyto témata vznikají i workshopy, doba a technika jdou stále dopředu a bez internetu si už většina lidí nedokáže představit svůj život. Myslím si, že většina lidí neví, jaké následky mohou vzniknout, když vyplní osobní údaje tam, kde vlastně ani vůbec nemusí. Nemusíme si ani nalhávat v tom, že většina populace nereaguje ani na varování před podvodními „emaily“ s přílohou či webovým odkazem na konkrétní webové stránky a dalšími hrozbami internetu. Velké společnosti vytvářející ochranné systémy se snaží přijít s nejúčinnějším programem, který by odhalil většinu typů kybernetického nebezpečí. Největší počet incidentů data breaches je většinou v sektoru zdravotnictví.
28
) Zákon č. 127/2005 Sb., o elektronických komunikacích.
36
Dle mého názoru, po zkušenosti se ztrátou veškerých údajů díky ransomwaru, který ovlivnil i tuto bakalářskou práci, je stále stará technika uchovávání dokumentů v papírové podobě, více bezpečnější než v elektronické podobě. Podle analýzy Check Point hrozba ransomwaru neustále roste.[31] Na žebříčku zemí, které jsou nejčastěji terčem kyberútoků, se naše Česká republika v srpnu 2016 umístila na 88. pozici, zato Slovensko je na 77. pozici. Umístění České republiky znamená, že patříme mezi bezpečnější země. Závěrem bych chtěla poradit, aby si každý alespoň jedenkrát týdně svá data zálohoval nejen na flash disk, ale i na nějaké úložiště dostupné zdarma na webových stránkách.
37
9
Seznam použité literatury [1]
BARTÍK, Václav a JANEČKOVÁ, Eva. Ochrana osobních údajů v aplikační praxi: vybrané otázky. 799. publikace, Praha: Linde Praha, a.s., 2009. Počet stran 277. ISBN 978-80-7201-740-9.
[2]
Webová databáze AToM2. Zlín : AION CS, s.r.o, 2010 [citováno 201507-26], Dostupné z URL
. Předpisy Sbírky zákonů ČR v aktuálním konsolidovaném znění.
[3]
OSIČKOVÁ, Ludmila. Ochrana osobních údajů a výjimky pro Policii ČR. Brno, 2013. 45 s. Bakalářská práce. Filosofická fakulta, Masarykova univerzita. Vedoucí práce PhDr. Pavla Kovářová.
[4]
JANEČEK, Jan. Právo 3. 1322. publikace, Hradec Králové: Gaudeamus, Univerzita Hradec Králové, 2014. Počet stran 113. ISBN 978-80-7435-382-6.
[5]
Kancelář Poslanecké sněmovny. Praha : Parlament České republiky, 1995 – 2016 [citováno 2015/09/28], Dostupné z URL . Důležité zákony, Ústavní zákony.
[6]
Redakční systém vismo®. Praha : Úřad pro ochranu osobních údajů, 2013 [citováno 2015-09-28], Dostupné z URL . Úřad pro ochranu osobních údajů je nezávislým orgánem vymezeným zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a některými dalšími zákony.
[7]
Webová databáze AToM2. Zlín : AION CS, s.r.o, 2010 [citováno 201510-14], Dostupné z URL < http://www.zakonyprolidi.cz/cs/2009-198>. Předpisy Sbírky zákonů ČR v aktuálním konsolidovaném znění.
[8]
Úřad pro publikace Evropské unie. Brusel: Evropská unie, 1998-2016 [citováno 2016-01-20], Dostupné z URL . Úřední věstník Evropské unie.
[9]
Rozsudek Městského soudu v Praze ze dne 16. 10. 2012, č. j. 6Ca 378/2008 – 37. Úřad pro ochranu osobních údajů [online]. Úřad pro ochranu osobních údajů [citováno 2016-06-26]. Dostupné z URL . Zpracování osobních údajů uchazečů o zaměstnání po ukončení výběrového řízení; pojem osobní údaj a zpracování osobních údajů; konkludentní souhlas (6 Ca 378/2008-37).
[10] ROZSUDEK SOUDNÍHO DVORA ze dne 9. 3. 2010, č. j. C-518/07. Úřad pro ochranu osobních údajů [online]. InfoCuria - Judikatura Soudního dvora [citováno 2016-06-26]. Dostupné z URL . 38
[11] Webová databáze AToM2. Zlín : AION CS, s.r.o, 2010 [citováno 201607-14], Dostupné z URL < http://www.zakonyprolidi.cz/cs/2006-108>. Předpisy Sbírky zákonů ČR v aktuálním konsolidovaném znění. [12] Ministerstvo práce a sociálních věcí České republiky. Praha : MPSV ČR, 2006 – 2016 [citováno 2016/07/31], Dostupné z URL < https://formulare.mpsv.cz/oksluzby/cs/welcome/forms.jsp>. Elektronické formuláře pro sociální služby a dávky OZP. [13] Ministerstvo práce a sociálních věcí České republiky. Praha : MPSV ČR, 2006 – 2016 [citováno 2016/08/10], Dostupné z URL < http://www.mpsv.cz/cs/8#pp>. Zdravotní pojištění – Příspěvek na péči. [14] PAVLÁT, David. Jednotný informační systém práce a sociálních věcí ze dne 10. 12. 2013. Úřad pro ochranu osobních údajů [online]. Úřad pro ochranu osobních údajů [citováno 2016-08-10]. Dostupné z URL < https://www.uoou.cz/jednotny-informacni-system-prace-a-socialnich-veci/d6117>. [15] PAVLÁT, David. Likvidace dokladů obsahujících osobní údaje ze dne 10. 12. 2013. Úřad pro ochranu osobních údajů [online]. Úřad pro ochranu osobních údajů [citováno 2016-08-10]. Dostupné z URL < https://www.uoou.cz/likvidace-dokladu-obsahujicich-osobni-udaje/d-6097>. [16] PAVLÁT, David. Zaměstnavatel jako správce osobních údajů ze dne 13. 12. 2013. Úřad pro ochranu osobních údajů [online]. Úřad pro ochranu osobních údajů [citováno 2016-08-10]. Dostupné z URL < https://www.uoou.cz/zamestnavatel-jako-spravce-osobnich-udaju/d-6171>. [17] PAVLÁT, David. K nakládání se zdravotnickou dokumentací v souvislosti se změnou ošetřujícího lékaře ze dne 18. 4. 2013. Úřad pro ochranu osobních údajů [online]. Úřad pro ochranu osobních údajů [citováno 2016-0821]. Dostupné z URL < https://www.uoou.cz/k-nakladani-se-zdravotnickoudokumentaci-v-souvislosti-se-zmenou-osetrujiciho-lekare/d-1726>. [18] PAVLÁT, David. Předávání zdravotnické dokumentace ze dne 13. 12. 2013. Úřad pro ochranu osobních údajů [online]. Úřad pro ochranu osobních údajů [citováno 2016-08-21]. Dostupné z URL < https://www.uoou.cz/predavani-zdravotnicke-dokumentace/d-6258>. [19] Webová databáze AToM2. Zlín : AION CS, s.r.o, 2010 [citováno 201609-04], Dostupné z URL . Předpisy Sbírky zákonů ČR v aktuálním konsolidovaném znění. [20] Rozhodnutí předsedy Úřadu pro ochranu osobních údajů ze dne 11. 4. 2012, zn. SPR-6781/09-105/NON. Úřad pro ochranu osobních údajů [online]. Úřad pro ochranu osobních údajů [citováno 2016-09-04]. Dostupné z URL < https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id _dokumenty=14580>. 39
[21] Webová databáze AToM2. Zlín : AION CS, s.r.o., 2010 [citováno 201609-19], Dostupné z URL < https://www.zakonyprolidi.cz/cs/2014-181>. Předpisy Sbírky zákonů ČR v aktuálním konsolidovaném znění. [22] Česká pošta, s.p.. Praha : Ministerstvo vnitra ČR, 2015 [citováno 201609-19], Dostupné z URL < https://www.datoveschranky.info/o-datovychschrankach/slovnik-pojmu>. Datové schránky. [23] LECHNER, Tomáš. Vývoj v oblasti datových schránek. [online] IT SYSTEMS. 2016, (3). ISSN 1802-615X. [citováno 2016-09-19]. Dostupné z URL < http://www.systemonline.cz/sprava-dokumentu/vyvoj-v-oblastidatovych-schranek.htm>. [24] Ransomware. AVAST Software s.r.o. [online]. [citováno 2016-10-07]. Dostupné z URL . [25] KOZÁK, Jan. Ochrana dat na sdílených úložištích. [online] IT SYSTEMS. 2016, IT řešení pro veřejný sektor a zdravotnictví 2016. ISSN 1802615X. [citováno 2016-10-07]. Dostupné z URL < https://www.systemonline.cz/it-security/ochrana-dat-na-sdilenychulozistich.htm>. [26] PRODĚLAL, Jaroslav. Cloud je dobré rozhodnutí, které přináší řešení s vysokou přidanou hodnotou. [online] IT SYSTEMS. 2016. ISSN 1802-615X. [citováno 2016-10-07]. Dostupné z URL < https://www.systemonline.cz/zpravy/ cloud-je-dobre-rozhodnuti-ktere-prinasi-reseni-s-vysokou-pridanou-hodnotouz.htm>. [27] ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ. Výroční zpráva 2007 [online]. Praha: Úřad pro ochranu osobních údajů, 2008. [citováno 2016-10-07]. Dostupné z URL . [28] BÍNEK, Zdeněk. 10 kroků k ochraně výrobních dat před e-mailovými hrozbami. [online] IT SYSTEMS . 2016, (9). ISSN 1802-615X. [citováno 201610-07]. Dostupné z URL < https://www.systemonline.cz/it-security/10-kroku-kochrane-vyrobnich-dat-pred-e-mailovymi-hrozbami.htm>. [29] PAVLÁT, David, PhDr.. Workshop na téma „data breaches“ ze dne 21. 4. 2016. Úřad pro ochranu osobních údajů [online]. Úřad pro ochranu osobních údajů [citováno 2016-10-07]. Dostupné z URL < https://www.uoou.cz/workshop-na-tema-data-breaches/d-20084/p1=1099>. [30] BURIAN, David. DATA BREACHES [online]. Úřad pro ochranu osobních údajů. 2016. [citováni 2016-10-07]. Dostupné z URL < https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id _dokumenty=20094> 40
[31] Podle analýzy Check Pointu hrozba ransomwaru neustále roste [online]. IT SYSTEMS . 2016. ISSN 1802-615X. [citováno 2016-10-07]. Dostupné z URL < https://www.systemonline.cz/zpravy/podle-analyzy-check-pointuhrozba-ransomwaru-neustale-roste-z.htm>. [32] DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Vyd. 1, 1344. publikace. Brno: Computer Press, 2004. Počet stran 190. ISBN 80-251-0106-1. [33] LACKO, Ľuboslav. Osobní cloud pro domácí podnikání a malé firmy. Vyd. 1, 16 156. Brno: Computer Press, 2012. Počet stran 272. ISBN 978-80251-3744-4.
41
10 Přílohy Příloha 1: Organizační struktura Úřadu pro ochranu osobních údajů Příloha 2: Oznámení o poskytovateli pomoci Příloha 3: Karta zdravotních výkonů Příloha 4: Poukaz na vyšetření ORP včetně formuláře
42
Příloha 1: Organizační struktura Úřadu pro ochranu osobních údajů
43
Příloha 2: Oznámení o poskytovateli pomoci
44
45
46
Příloha 3: Karta zdravotních výkonů
47
Příloha 4: Poukaz na vyšetření ORP včetně formuláře
48
49
1
2
