Zeptali jsme se pověřence pro ochranu osobních údajů Českého statistického úřadu.
Jakým způsobem jsou v rámci sčítání chráněny údaje, které občané při vyplňování sčítacích formulářů poskytují?
Sčítání 2021 je připravováno již několik let. Poslední, velmi intenzivní fáze příprav však probíhají po nabytí účinnosti obecného nařízení o ochraně osobních údajů známého jako GDPR. Tato skutečnost ovlivnila velkou měrou návrhy všech systémů a postupů při tomto náročném projektu, a to na základě tzv. principu Privacy by Design, tedy česky bychom řekli na principu ochrany soukromí jako výchozím nastavení systému. Jedná se o zakotvení zásad ochrany soukromí již do návrhů plánovaných technologií a procesů.
Řečeno slovy GDPR, uplatňujeme veškeré zásady ochrany osobních údajů týkající se zejména zákonnosti, korektnosti a transparentnosti, účelového omezení, minimalizace údajů, přesnosti, omezení uložení, integrity a důvěrnosti a v neposlední řadě odpovědnosti.
Když jsme před více než dvěma lety v rámci připravovaného návrhu zákona o sčítání vypracovávali takzvané posouzení vlivu zpracování na ochranu osobních údajů, bylo opravdu náročné představit si všechny možné dopady zpracovatelských operací na zabezpečení osobních údajů. Přesto se nám podařilo velmi dobře popsat, jakým hrozbám mohou být osobní údaje vystaveny, jaké mohou být dopady do soukromí osob a jaká technická a organizační opatření musejí být přijata. Hlavní důraz přitom byl kladen na procesy elektronického zpracování dat, v nichž oproti minulému sčítání před deseti lety došlo k nejvýraznějším změnám. V současné složité epidemické situaci je možnost sečtení se bez kontaktu se sčítacími komisaři o to důležitější.
Co se tedy děje s mými osobními údaji poté, co vyplním elektronický sčítací formulář?
Prostřednictvím běžného internetového prohlížeče nebo nainstalované mobilní aplikace se k formuláři dostanete odkudkoli na světě. Aby to od začátku bylo bezpečné, tak musíte použít aktualizovaný a nezavirovaný přístroj a systém.
Všechny vstupní kanály jsou od prvního okamžiku zabezpečeny. Při návrhu tohoto zabezpečení byla zvažována všechna možná rizika. Přitom některá technická řešení, která se vysloveně nabízela k využití, například často používaná internetová služba reCAPTCHA od společnosti Google, nebyla nakonec vůbec použita, neboť nesplňovala náročná kritéria daná bezpečnostními standardy, a zejména platné zákony.
Vámi vyplněné údaje jsou ukládány do zabezpečeného úložiště umístěného na území České republiky. Tímto úložištěm je zákonem zřízený Cenzový informační systém CIS, který je zároveň informačním systémem veřejné správy a vztahují se na něj přísná pravidla daná zákony. CIS byl zřízen za účelem zpracování údajů ze sčítání, a tím i demografické a migrační statistiky. Zde se nakonec sejdou všechny informace ze sčítacích formulářů, a to i digitalizovaná data z listinných sčítacích formulářů, a zároveň nezbytné údaje ze zákonem stanovených administrativních zdrojů dat.
Jak dokážeme ochránit osobní údaje v listinných sčítacích formulářích? Je v ochraně citlivých údajů nějaký rozdíl oproti elektronické formě?
Princip je v obou případech podobný. Ochrana začíná již na straně respondenta, což je jediná fáze, kterou nemůžeme přímo ovlivnit. Primárním ohrožením bezpečnosti údajů může totiž být zavirovaný počítač, neaktualizovaný operační systém nebo zapomenutý vyplněný listinný formulář na stole v práci.
V dalších etapách putování údajů do CIS záleží na formě a způsobu transferu těchto dat. Tak například vyplněný listinný formulář, který v zalepené obálce vhodíte do poštovní schránky, případně odevzdáte na kontaktním místě nebo na kterékoliv pobočce České pošty, je v daný moment chráněn kupříkladu primárními instituty práva, tedy prostřednictvím zákonů, listovního tajemství, povinností mlčenlivosti všech zúčastněných. A samozřejmostí jsou organizačně technická opatření, minimalizace možností přístupu k formuláři, přísná evidence a tak dále.
Po odevzdání budou listinné formuláře zaevidovány a dopraveny v zapečetěných boxech na digitalizační režimové pracoviště. Zde se převážně automatizovaným způsobem obsah naskenuje, dojde ke strojovému rozpoznání textu a převedený obsah se šifrovaně přenese do CIS. Samotné papírové formuláře se po digitalizaci stanou součástí skartačního procesu a budou fyzicky bezpečně zlikvidovány.
Veškeré procesy podléhají přísným, standardně používaným opatřením. Nezapomínejme, že jak ČSÚ, tak jeho hlavní smluvní zpracovatelé, tedy státní podniky Česká pošta i Státní pokladna – Centrum sdílených služeb, jsou instituce, které běžně s citlivými údaji pracují a musejí je ze zákona vždy dostatečně chránit.
Mgr. Jaroslav Hora
Je absolventem Univerzity Karlovy v Praze, magisterského a postgraduálního studia v oboru informačních věd, a Policejní akademie ČR ve studijním oboru bezpečnostně právní studia. Od devadesátých let působí ve státní správě ve výkonných i manažerských funkcích v oblasti bezpečnosti a ochrany dat. V roce 2017 začal působit v ČSÚ v rámci bezpečnostního odboru a rok nato byl jmenován do funkce pověřence pro ochranu osobních údajů. Je aktivním členem profesních sdružení Spolek pro ochranu osobních údajů a Asociace pověřenců ČR.
V jaké podobě bude ČSÚ zveřejňovat výsledky? Nehrozí, že by právě v této fázi mohlo dojít k nějakému úniku osobních údajů?
Výsledky budou dostupné všem zájemcům ve formě otevřených dat na webu scitani.cz a ve veřejné databázi ČSÚ. K úniku údajů, které by mohly být přímo přiřazeny ke konkrétní fyzické osobě, by dojít v žádném případě nemělo. Zveřejňovány budou pouze agregované statistické údaje, tedy rozhodně bez osobních údajů. ČSÚ používá řadu moderních metod primární i sekundární ochrany statistické důvěrnosti. Údaje získané pro statistické účely nejsou a nemohou být jakýmkoliv způsobem zpřístupněny jiným subjektům, a to ani státním úřadům či jiným orgánům veřejné moci. Jedná se o základní princip oficiální statistiky garantovaný zákonem. Je tedy zcela vyloučeno, aby poskytnutí údaje způsobilo jakékoli osobě jakýkoliv postih, znevýhodnění, újmu či škodu.
Jak dlouho trvá, než se shromážděné osobní údaje definitivně odstraní?
Zákon stanoví, že k vymazání nebo zničení osobních údajů, podle druhu nosiče informací, musí dojít, jakmile pomine účel, pro který byly zpracovány, nejpozději však do dvou let. Údaje tedy budou likvidovány v různých etapách podle způsobu a fáze zpracování, v každém případě hned, jakmile splní svůj účel. Nejzazší dvouletá hranice je stanovena jako limit, kterého v praxi pravděpodobně nebude ani zdaleka dosaženo.
Kolik lidí má vlastně přístup k mým osobním údajům a po jak dlouhou dobu? Opravdu nehrozí, že by někdo z oprávněných zaměstnanců mohl osobní údaje zneužít?
Záleží na dané etapě procesu a druhu zpracování. V případě sběru vyplněných formulářů sčítacími komisaři, pokud to epidemická situace dovolí, nebo jejich odevzdání na kontaktním místě to bude některý z tisíce zaměstnanců. Při následném převodu těchto formulářů do elektronické podoby to budou už pouze jednotky osob. Každý z těchto zaměstnanců bude mít k údajům přístup v tom smyslu, že bude mít z logiky věci v ruce váš vyplněný formulář. Většina činností při digitalizaci je automatizována, a když například v některé části zpracování bude automatické strojové rozpoznávání psaného textu neúspěšné a bude nezbytný zásah člověka, zpřístupní se odpovědnému pracovníkovi pouze potřebný výřez nerozpoznaného textu bez dalších souvisejících údajů. Při následném digitálním zpracování dat se počty pracovníků, kteří k osobním údajům mají přístup, pohybují tedy také v řádu jednotek. Přístup k osobním údajům nebude mít nikdo, kdo jej k výkonu své činnosti bezprostředně nepotřebuje. Například ani administrátor nebo třeba pověřenec pro ochranu osobních údajů.
Systém je nastaven tak, aby případné lidské chyby či zlý úmysl byly včas odhaleny, případně napraveny a eventuálním škodám se zamezilo. K minimalizaci možného zneužití přispívají také přísná omezení a kontroly fyzického přístupu, organizačně technická opatření nebo pečlivý výběr pracovníků.
Za zmínku stojí připomenout, že za porušení uložených závazků, povinnosti mlčenlivosti a případně i za neoprávněné nakládání s osobními údaji hrozí fyzickým osobám poměrně značné sankce. Od těch standardních pracovněprávních, přes vysoké pokuty v řádech statisíců až milionů až po trestněprávní postihy s možností trestu odnětí svobody až na pět let.
Podléhá zabezpečení dat ze sčítání nezávislé kontrole?
Samozřejmě. ČSÚ, jako orgán veřejné moci, podléhá ze zákona státnímu dozoru prostřednictvím kontrolních orgánů. V této oblasti podléhá ČSÚ zejména kontrole Úřadu pro ochranu osobních údajů a Národního úřadu pro kybernetickou a informační bezpečnost.
Veškeré interní kontrolní mechanismy jsou nastaveny tak, aby byly skutečně funkční. Kontrola je realizována příslušnými vedoucími pracovníky, specifickými manažerskými a administrátorskými rolemi a v neposlední řadě je objektivním kontrolorem pověřenec pro ochranu osobních údajů jakožto nezávislý odborník v oblasti ochrany osobních údajů, který nesmí být vázán pokyny zaměstnavatele a který objektivně dohlíží na správné nastavení procesů a řádné zacházení s osobními daty.
Kromě toho s přípravou projektu souvisí i řada realizovaných interních a externích auditů, včetně zátěžových i penetračních testů aplikací a infrastruktury.
Stalo se někdy v nedávné minulosti, že by osobní údaje během sčítání unikly nebo byly zneužity?
Osobně nevím o žádném prokazatelném případu úniku nebo zneužití osobních údajů ze sčítání v novodobé historii České republiky. A nároky na zabezpečení se neustále zvyšují.
Veřejnost dnes vnímá oblast osobních údajů ještě o něco přísněji než například v době minulého sčítání. Je to dáno zejména změnami v chápání významu soukromí, rychlou expanzí informačních služeb, možnostmi zneužití těchto dat a s tím souvisejícími změnami v legislativě a výraznějším vymáháním nastavených pravidel.
Kdo se dále podílí na zabezpečení osobních údajů?
Spolupráce probíhá formou metodiky, konzultací a odborné mezirezortní kooperace v různých oblastech. Od začátku příprav sčítání jsme v úzkém kontaktu s příslušnými institucemi, počínaje státními orgány jako například Úřadem pro ochranu osobních údajů, Ministerstvem vnitra, Národním úřadem pro kybernetickou a informační bezpečnost, odborem hlavního architekta eGovernmentu až po Národní agenturu pro komunikační a informační technologie nebo neziskové organizace a profesní sdružení.
V rámci horizontální spolupráce při sčítání jsou našimi hlavními partnery Česká pošta a Státní pokladna – Centrum sdílených služeb. Dalšími zpracovateli osobních údajů jsou specializované komerční společnosti, které splnily podmínky zadávacího řízení příslušných veřejných zakázek. Důvodem pro zapojení těchto profesionálů je především skutečnost, že využívají znalosti, postupy nebo technologie s potřebnou odbornou úrovní, která jim umožňuje efektivněji dosáhnout některého z účelů zpracování a zajistit přitom i potřebnou ochranu osobních údajů.
Rozhovor si můžete přečíst také v časopisu Statistika&My.
