Nedostatky v dodržiavaní predpisov ÚPSVaR: Analýza a dôsledky

Úrady práce, sociálnych vecí a rodiny (ÚPSVaR) zohrávajú kľúčovú úlohu v poskytovaní sociálnych služieb a podpore občanov v rôznych životných situáciách. Aby tieto inštitúcie mohli efektívne plniť svoje poslanie, musia prísne dodržiavať platné právne predpisy a normy, najmä v oblasti ochrany osobných údajov a informačnej bezpečnosti. Nedodržiavanie týchto predpisov môže mať vážne dôsledky pre občanov, samotné inštitúcie a dôveru verejnosti v systém sociálnej starostlivosti. Tento článok sa zameriava na analýzu zistených nedostatkov v dodržiavaní predpisov ÚPSVaR, s cieľom poukázať na dôležitosť ich implementácie a dodržiavania.

Nedostatky v oblasti ochrany osobných údajov

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (GDPR) kladie vysoké nároky na ochranu osobných údajov. Zistené nedostatky v tejto oblasti poukazujú na potrebu zlepšenia postupov a zvýšenia povedomia o povinnostiach vyplývajúcich z GDPR.

Nedostatočná dokumentácia a interné postupy

Mnohé obce a mestá nepostupovali v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby. Často chýbali pravidlá a pokyny pre oprávnené osoby, ktoré by komplexne riešili postupy pri získavaní osobných údajov, uplatňovaní práv dotknutých osôb a plnení oznamovacej povinnosti prevádzkovateľa (čl. 12 ods. 1 až 7 a čl. 24 ods. 1 a 2 Nariadenia (EÚ)).

Medzi konkrétne nedostatky patrili:

• Nevypracovanie pravidiel (metodiky) pre spracúvanie osobných údajov na základe zmluvy alebo súhlasu dotknutej osoby, ktoré by obsahovali podrobnosti o informáciách, ktoré sú povinné oznámiť dotknutej osobe a postupoch, ktoré sú povinné plniť pri spracúvaní v rôznych situáciách a pri odvolaní súhlasu (čl. 24 ods. 1 a 2 Nariadenia (EÚ)).
• Absencia postupov pre aplikáciu kritérií stanovených v čl. 6 ods. 4 Nariadenia (EÚ) a pre prípady, kedy dochádza k spracúvaniu osobitných kategórií osobných údajov podľa čl. 9 ods. 1 Nariadenia (EÚ) (čl. 24 ods. 1 a 2 Nariadenia (EÚ)).
• Nedostatočná úprava konkrétnych postupov pre spracúvanie osobných údajov.
• Nešpecifikovanie metodiky tzv. balančného testu, resp. miery posúdenia (čl. 24 ods. 1 a 2 Nariadenia (EÚ)).
• Chýbajúce bezpečnostné zásady pre mobilné pripojenie do IS VS a pre prácu na diaľku (§ 41 písm. f) výnosu č. 55/2014 Z. z.).
• Nevedenie formalizovanej dokumentácie prístupových práv všetkých používateľov (§ 41 písm. j) výnosu č. 55/2014 Z. z.).
• Neexistencia pravidiel pre sťahovanie súborov z externých sietí (§ 33 písm. d) výnosu č. 55/2014 Z. z.).

Nedostatočná analýza a aktualizácia dokumentácie

Mnohé obce a mestá nevykonali analýzu stavu údajov do 25.05.2018, neaktualizovali bezpečnostnú dokumentáciu z roku 2015 alebo nevypracovali novú bezpečnostnú dokumentáciu (čl. 24 ods. 1 a 2, čl. 25 , 28 a 30 a čl. 32 až 39 Nariadenia (EÚ) a § 78 ods. 11 zákona 18/2018). Aktualizácia bezpečnostného projektu k 25.05.2018 bola nedostatočná (čl. 24 ods. 1 a 2 Nariadenia (EÚ)).

Prečítajte si tiež: Investovanie na burze

Nedostatočné informovanie dotknutých osôb

Obce nepreukázali, že poskytovali dotknutej osobe pri získavaní osobných údajov priamo od nej informácie v rozsahu podľa čl. 13 ods. 1 až 3 Nariadenia (EÚ). Informácie, ktoré bola obec povinná poskytnúť dotknutej osobe podľa čl. 13 ods. 1 až 3 a čl. 14 ods. 1 až 4 Nariadenia (EÚ), neboli zverejnené na jej webovom sídle, čím bol porušený čl. 12 ods. 1 Nariadenia (EÚ).

Problémy so sprostredkovateľmi

Obce v prípadoch, keď nepreverovali sprostredkovateľov, či poskytujú dostatočné záruky na to, že prijmú primerané technické a organizačné opatrenia v súlade s Nariadením (EÚ), nepostupovali v súlade s čl. 28 ods. 1 Nariadenia (EÚ). Prevádzkovateľ nepreskúmal podľa čl. 28 ods. 10 Nariadenia (EÚ) uzatvorené sprostredkovateľské zmluvy a neposúdil, či deklarovaný sprostredkovateľ sám neurčil účely a prostriedky spracúvania osobných údajov, a teda či sa v súvislosti s daným spracúvaním nemal považovať za prevádzkovateľa. ŽSK nepreveroval, či sprostredkovatelia prijali primerané technické a organizačné opatrenia v súlade s nariadením GDPR a spoliehal sa na iba na ich vyhlásenie. To však nezaručovalo istotu, že sprostredkovatelia prijmú primerané opatrenia tak, ako deklarovali svojim vyhlásením podľa čl. 28 ods. 1 nariadenia GDPR. ŽSK nemal precizované postupy pre uzatváranie zmlúv so sprostredkovateľmi. Spracúvanie osobných údajov bez uzatvorenej sprostredkovateľskej zmluvy bolo v nesúlade s ustanovením čl. 28 bod 3 Nariadenia (EÚ).

Zodpovedná osoba a konflikt záujmov

Obec v súvislosti s ustanovením zodpovednej osoby do funkcie a určením jej postavenia a pôsobnosti v rámci organizácie bola v konflikte záujmov, čo bolo v nesúlade s čl. 38 ods. 6 Nariadenia (EÚ). Mesto nezabezpečilo plnenie úloh zodpovednej osoby pre mestskú knižnicu a informačný systém „Masmédiá mesta“ v súlade s čl. 39 ods. 1 Nariadenia (EÚ). Ustanovenie zamestnanca do funkcie zodpovednej osoby pred účinnosťou Nariadenia (EÚ) bez úspešného absolvovania skúšky na výkon zodpovednej osoby nebolo v súlade s § 24 ods. 1 a 2 zákona 122/2013. Tým, že prevádzkovateľ neurčil zodpovednú osobu od 25.05.2018, nekonal v súlade s čl. 37 ods. 1 písm. a) Nariadenia (EÚ).

Kamerové systémy a balančný test

Mesto spracúvalo osobné údaje prostredníctvom kamerového systému bez dôkladného posúdenia (balančného testu, resp. testu proporcionality), či nad záujmami prevádzkovateľa neprevažujú záujmy dotknutých osôb tak, ako to predpokladá Nariadenie (EÚ) a zdôrazňuje sa v recitáli 47 k Nariadeniu (EÚ). Obec pred spracúvaním osobných údajov vo forme kamerového záznamu nevykonala tzv. balančný test. Systematické kamerové monitorovanie verejných priestorov podliehalo povinnému posúdeniu vplyvu podľa usmernenia ÚOOÚ SR.

Súhlas so spracúvaním osobných údajov

Mesto podmieňovalo vypísanie výberového konania (predzmluvný vzťah) súhlasom dotknutej osoby, čo nebolo v súlade s čl. 7 od. 4 Nariadenia (EÚ) a bolo to výsledkom nesprávnej aplikácie Nariadenia (EÚ). Obec ako prevádzkovateľ konala nad rámec ustanovenia čl. 6 ods. 1 písm. b) Nariadenia (EÚ), keď vyhlásila výberové konanie, v rámci ktorého podmienila účasť vo výberovom konaní predložením písomného súhlasu uchádzača so spracúvaním osobných údajov na účely výberového konania. Porušenie čl. 7 bod. 3 Nariadenia (EÚ), podľa ktorého odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie. Obec zaviazala dotknutú osobu, že odvolanie súhlasu je možné len písomnou formou na adresu obce, aj keď zmluva bola uzatvorená osobne. Nebol uplatnený správny základ spracúvania osobných údajov. Uzatvorenie zmluvy bolo podmienené poskytnutím súhlasu dotknutej osoby, a to napriek tomu, že sa jednalo o zmluvný základ spracúvania osobných údajov podľa čl. 6 ods. 1 písm. b) Nariadenia (EÚ) - spracúvanie bolo nevyhnutné na plnenie zmluvy.

Prečítajte si tiež: Príkazy докладovania na ÚPSVaR

Posúdenie vplyvu na ochranu osobných údajov

Obec nepostupovala v súlade s čl. 24 ods. 1 a 2, čl. 35 Nariadenia (EÚ) a nevzal do úvahy zásady uvedené v bodoch 84 a 90 Memoranda Nariadenia (EÚ), keď nemal vypracované postupy, podľa ktorých by oprávnené osoby vedeli, ako majú postupovať pri posúdení vplyvu na ochranu osobných údajov. Obec nevykonala posúdenie vplyvu podľa čl. 35 Nariadenia (EÚ).

Nedostatky v oblasti informačnej bezpečnosti

Informačná bezpečnosť je kľúčová pre ochranu dát a systémov pred neoprávneným prístupom, zneužitím alebo poškodením. Nedostatky v tejto oblasti môžu viesť k úniku citlivých informácií a narušeniu činnosti organizácie.

Bezpečnostná dokumentácia a riadenie prístupu

Mesto nemalo určenú zodpovednú osobu za informačnú bezpečnosť, čo nebolo v súlade s § 29 písm. c) výnosu MF SR. Prevádzkovateľ nekonal v súlade s § 29 písm. f) výnosu MF SR, keď nemal upravený postup pre určenie konkrétnej zodpovednosti za jednotlivé aktíva a vyvodenie zodpovednosti pri zistení porušenia bezpečnostnej politiky. Obec nepriradila zodpovednosť za bezpečnosť a obsah každého významného aktíva konkrétnemu vlastníkovi a neustanovila osobu zodpovednú za informačnú bezpečnosť, čím nedodržala ustanovenie § 29 písm. c) a f) výnosu č. 55/2014 Z. z. V Bezpečnostnej dokumentácií - časť IT smernica boli zadefinované úlohy pre správcu siete. Táto funkcia v kontrolovanom období nebola zriadená a obsadená. Uvedené nebolo v súlade s ustanovením čl.24 ods. Obec nedodržala ustanovenie § 41 písm. c) a j) výnosu č. 55/2014 Z. z. tým, že nemala určený postup a zodpovednosť pre prideľovanie prístupových práv a neviedla formalizovanú dokumentáciu prístupových práv všetkých používateľov.

Krízové riadenie a bezpečnostné kontroly

Obec nedodržala ustanovenie § 32 písm. a) výnosu č. 55/2014 Z. z., keď nevedela deklarovať zloženie krízového štábu (uvedený v bezpečnostnej dokumentácií) ani jeho právomoci. Tiež obec nevykonala vnútornu kontrolu (audit) informačnej bezpečnosti. Bezpečnostný projekt stanovil povinnosť vykonávať bezpečnostné kontroly (audity) v závislosti od predmetu kontroly raz za mesiac, resp. štvrťrok, ale v praxi žiadne kontroly neboli vykonávané, tým obec porušila ustanovenie § 32 písm. a) výnosu č. 55/2014 Z. z.

Kontinuita činností

Obec neurčila kritické procesy, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS, čím nedodržala ustanovenie § 31 písm. d) výnosu 55/2014 Z. z. Obec porušila § 31 písm. d) výnosu č. 55/2014 Z. z. tým, že nestanovila okruh kritických procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS.

Prečítajte si tiež: Rekvalifikácia: Cesta k lepšiemu zamestnaniu

Poučenie zamestnancov a tretích strán

Obec porušila ustanovenie § 30 písm. a) a b) výnosu č. 55/2014 Z. z. tým, že obec nezabezpečila poučenie o bezpečnostnej politike a ochrane údajov zamestnancov tretích strán pred ich prvým vstupom do IS.

Štandardy pre elektronické dokumenty

Obec nedodržala ustanovenie § 57a výnosu č. 55/2014 Z. z., ktorý určil štandardy pre prijímanie a čítanie podpísaných elektronických dokumentov.

Sieťová infraštruktúra

Obec nedodržala ustanovenie § 34 písm. b) výnosu č. 55/2014 Z. z. tým, že neviedla evidenciu o všetkých miestach prepojenia sietí, ktoré boli v jej správe vrátane prepojení s externými sieťami.

Zverejňovanie zmlúv

Zmluva o zabezpečení činností zodpovednej osoby bola zverejnená iba ako naskenovaný obrázok, čo nebolo v súlade s ustanovením § 18 písm. d) výnosu č. 55/2014 Z. z. (Ďalej, v predmetnej zmluve boli určené tri ZO ale na webovom sídle boli uvedené štyri ZO). Obec bezodkladne nezverejnila zmluvu so ZO, porušila ustanovenie § 5a ods. 9 zákona č. 211/2000 Z. z.

Nedostatky v procese posudzovania odkázanosti na sociálnu službu

Posudzovanie odkázanosti na sociálnu službu je kľúčový proces, ktorý určuje, či má občan nárok na poskytovanie sociálnej služby a v akom rozsahu. Tento proces je upravený zákonom č. 448/2008 Z. z. o sociálnych službách.

Postup pri posudzovaní odkázanosti

V zmysle zákona 448/2008 Z. z. o sociálnych službách a o zmene a doplnení zákona 455/1991 Zb. o živnostenskom podnikaní /živnostenský zákon/ v znení neskorších predpisov záujemca o poskytovanie sociálnych služieb musí dodržať nasledovný postup:

Domov sociálnych služieb

a) zaslať Žiadosť o posúdenie odkázanosti na sociálnu službu na Úrad Banskobystrického samosprávneho kraja, Odbor sociálnych služieb a zdravotníctva, so sídlom Námestie SNP 23, Banská Bystrica /ďalej len ÚBBSK-OSSaZ/, resp. doručiť osobne do podateľne ÚBBSK.

Prílohy žiadosti o posúdenie odkázanosti na sociálnu službu:

• lekársky nález, posudok, správa o priebehu a vývoji choroby a zdravotného postihnutia alebo výpis zo zdravotnej dokumentácie nie starí viac ako 6 mesiacov. Ak tieto doklady poskytovateľa zdravotnej starostlivosti sú nepostačujúce, posudzujúci lekár požiada lekára, s ktorým má FO, ktorá žiada o posúdenie odkázanosti, uzatvorenú dohodu o poskytovaní zdravotnej starostlivosti o vypracovanie tlačiva „Lekársky nález na účely posúdenia odkázanosti na sociálnu službu“
• Posudok vydaný ÚPSVaR na účely kompenzácie sociálnych dôsledkov ťažkého zdravotného postihnutia, ak tento bol vydaný
• Posudok odkázanosti na sociálnu službu vydaný inou obcou alebo iným VÚC, ak tento bol vydaný
• Právoplatné Rozhodnutie o zbavení spôsobilosti na právne úkony, ak toto bolo vydané,

b) ÚBBSK-OSVaZ vypracuje na základe lekárskeho a sociálneho posudku do 30 dní posudok o odkázanosti na sociálnu službu. V ňom sa určí stupeň odkázanosti na pomoc inej osoby. Následne vydá Rozhodnutie o odkázanosti na sociálnu službu. V domove sociálnych služieb sa poskytuje sociálna služba fyzickej osobe, ktorá je odkázaná na pomoc inej fyzickej osoby a jej stupeň odkázanosti je najmenej V podľa prílohy č.3 zákona 448/2008 Z. z. o sociálnych službách a o zmene a doplnení zákona 455/1991 Zb. o živnostenskom podnikaní /živnostenský zákon/ v znení neskorších predpisov.

c) Občan, ktorý je odkázaný na poskytovanie sociálnej služby, si môže vybrať z ponuky poskytovateľov sociálnych služieb, ktorí sú zapísaní v Registri poskytovateľov

Zariadenie pre seniorov

a) zaslať Žiadosť o posúdenie odkázanosti na sociálnu službu na príslušným obecný, resp. mestský úrad podľa miesta trvalého bydliska žiadateľa (tlačivo má k dispozícii obecný, resp. mestský úrad)

Prílohy žiadosti o posúdenie odkázanosti na sociálnu službu:

• lekársky nález, posudok, správa o priebehu a vývoji choroby a zdravotného postihnutia alebo výpis zo zdravotnej dokumentácie nie starí ako 6 mesiacov. Ak tieto doklady poskytovateľa zdravotnej starostlivosti sú nepostačujúce, posudzujúci lekár požiada lekára, s ktorým má FO, ktorá žiada o posúdenie odkázanosti, uzatvorenú dohodu o poskytovaní zdravotnej starostlivosti o vypracovanie tlačiva „ Lekársky nález na účely posúdenia odkázanosti na sociálnu službu“
• Posudok vydaný ÚPSVaR na účely kompenzácie sociálnych dôsledkov ťažkého zdravotného postihnutia, ak tento bol vydaný
• Posudok odkázanosti na sociálnu službu vydaný inou obcou alebo iným VÚC, ak tento bol vydaný,
• Právoplatné Rozhodnutie o zbavení spôsobilosti na právne úkony, ak toto bolo vydané,

b) Príslušná obec, resp. mesto vypracuje na základe lekárskeho a sociálneho posudku do 30 dní posudok o odkázanosti na sociálnu službu. V ňom sa určí stupeň odkázanosti na pomoc inej osoby. Následne vydá Rozhodnutie o odkázanosti na sociálnu službu.V zariadení pre seniorov sa poskytuje sociálna služba fyzickej osobe, ktorá dovŕšila dôchodkový vek a je odkázaná na pomoc inej fyzickej osoby a jej stupeň odkázanosti je najmenej IV podľa prílohy č.3 zákona 448/2008 Z. z. o sociálnych službách a o zmene a doplnení zákona 455/1991 Zb. o živnostenskom podnikaní /živnostenský zákon/ v znení neskorších predpisov.

c) Občan, ktorý je odkázaný na poskytovanie sociálnej služby, si môže vybrať z ponuky poskytovateľov sociálnych služieb, ktorí sú zapísaní v Registri poskytovateľov

Ďalší postup po vydaní posudku

Ďalší postup, keď už občan má vydaný posudok o odkázanosti na sociálnu službu a právoplatné rozhodnutie o odkázanosti na sociálnu službu, ktoré nadobudlo právoplatnosť: pre druhy sociálnej služby, ktoré sú poskytované v Slovenskej Ľupči (teda aj domov sociálnych služieb aj zariadenie pre seniorov)

V prípade, že občan chce byť umiestnený v DD a DSS Slovenská Ľupča, doručí osobne alebo poštou Žiadosť o zabezpečenie poskytovania sociálnej služby - pre druh DSS a ZpS (tlačivo žiadosti je zverejnené v časti tlačivá, prípadne na www.vucbb.sk) na adresu:

ZSS TrojlístokCzambelova 23976 13 Slovenská Ľupča

Do poradovníka čakateľov pre konkrétny druh sociálnej služby bude zaradená tá žiadosť o zabezpečenie poskytovania sociálnych služieb, ktorá bude obsahovať všetky predpísané náležitosti a prílohy - právoplatné rozhodnutie o odkázanosti na sociálnu službu a posudok o odkázanosti na sociálnu službu a je označená originálom podpisu žiadateľa, resp. jej úradne osvedčená kópia. Potvrdenie o príjme (za predchádzajúci kalendárny mesiac pri pravidelnom príjme alebo za predchádzajúci kalendárny rok pri nepravidelnom príjme) a doklady o majetkových pomeroch, resp. vyhlásenie o majetku fyzickej osoby v zmysle § 72 ods.

Dôsledky nedodržiavania predpisov

Nedodržiavanie predpisov v oblasti ochrany osobných údajov a informačnej bezpečnosti môže mať pre ÚPSVaR a obce vážne dôsledky:

• Finančné sankcie: Za porušenie GDPR môžu byť uložené vysoké pokuty.
• Reputačné riziko: Strata dôvery verejnosti v schopnosť inštitúcie chrániť osobné údaje.
• Právne spory: Dotknuté osoby sa môžu domáhať náhrady škody za porušenie ich práv.
• Narušenie činnosti: Únik informácií alebo zlyhanie systémov môže vážne narušiť činnosť organizácie.

Odporúčania pre zlepšenie

Na základe zistených nedostatkov je možné formulovať nasledujúce odporúčania pre zlepšenie:

• Vypracovanie a aktualizácia internej dokumentácie: Je potrebné vypracovať a pravidelne aktualizovať interné akty riadenia, ktoré budú obsahovať presné pokyny pre oprávnené osoby v oblasti ochrany osobných údajov a informačnej bezpečnosti.
• Školenie zamestnancov: Pravidelné školenia zamestnancov o povinnostiach vyplývajúcich z GDPR a ďalších relevantných predpisov.
• Preverovanie sprostredkovateľov: Dôkladné preverovanie sprostredkovateľov a uzatváranie zmlúv, ktoré zaručia dodržiavanie GDPR.
• Implementácia bezpečnostných opatrení: Zavedenie a pravidelná kontrola technických a organizačných opatrení na ochranu osobných údajov a informačnej bezpečnosti.
• Vykonávanie balančných testov: Pred spracúvaním osobných údajov prostredníctvom kamerových systémov je potrebné vykonať balančný test a posúdiť, či nad záujmami prevádzkovateľa neprevažujú záujmy dotknutých osôb.
• Zabezpečenie súladu so zákonom o sociálnych službách: Dôsledné dodržiavanie postupu pri posudzovaní odkázanosti na sociálnu službu.

tags: #vydané #príkazy #ÚPSVaR #informácie