Úřad pro ochranu osobních údajů odpovídá Britským listům
ÚOOÚ: Bezpečnostní opatření pro zpracování dat ze sčítání jsou nedostatečná
Na základě informací z tiskové konference uspořádané Českým statistickým úřadem (ČSÚ) jsme včera odpoledne zaslali Úřadu pro ochranu osobních údajů (ÚOOÚ) osm dotazů. Dnes ráno přišla odpověď:
BL: 1. Jaké je stanovisko vašeho Úřadu k poměrně ostré kritice předsedkyně ČSÚ, že se Úřad vloni v listopadu odmítl stát auditorem/garantem ochrany osobních údajů zpracovávaných ČSÚ v souvislosti se SLDB?
ÚOOÚ: Komentář ČSÚ, že smlouvu s auditorskou firmou uzavřeli poté, co ÚOOÚ odmítl provést bezpečnostní audit na SLBD, vnímáme jako určitou nekorektnost ze strany ČSÚ. O bezpečnostní audit byl ÚOOÚ požádán paní předsedkyní v listopadu 2000 a v odpovědi na její žádost bylo uvedeno, že toto ÚOOÚ nepřísluší. ÚOOÚ je dozorovým orgánem a ze zákona nemá kompetenci provádět bezpečnostní audity či jiné posudky. Ostatně by si takové činnosti vzájemně odporovaly.
ÚOOÚ tedy nechápe, proč je v této souvislosti tato skutečnost veřejnosti ČSÚ předkládána jako jakási neochota či nevstřícnost Úřadu.
2. Vedoucí představitelé ČSÚ při setkání s novináři kritizovali nízkou odbornou úroveň a nesystematičnost inspektorů vašeho Úřadu. Můžete se k této kritice vyjádřit? Jakou odbornou kvalifikaci mají vaši pracovníci, určení ke kontrolní činnosti v ČSÚ?
ČSÚ neměl možnost odbornou úroveň inspektorů ÚOOÚ jakkoli poznat. Inspektoři jsou navrhováni Senátem a jmenováni prezidentem republiky. Pokud by kdokoli měl výhrady k odborné či jiné způsobilosti inspektorů, bylo by na místě výhrady uplatnit u Senátu.
Inspektoři ÚOOÚ navštívili několik okresních pracovišť ČSÚ pouze za účelem získání seznamů sčítacích komisařů. Ačkoliv se nepochybně nejednalo o kontrolu, setkala se tato aktivita s obstrukcemi ze strany ČSÚ. Následně byly hledány další obstrukční záminky, např., že ČSÚ není znám průkaz inspektora. Vzhledem k tomu, že dosud byli prezidentem republiky jmenováni pouze tři inspektoři, jejich jména byla dostatečně publikována a je možné si je vždy spolehlivě ověřit. Tuto skutečnost nelze srovnávat se sčítacími komisaři, a to jak co do počtu tak co do kompetencí. Inspektoři jsou tři, sčítacích komisařů několik desítek tisíc. Kontrola proto musela probíhat namátkově.
3. ČSÚ v dopise Britským listům uvedl, že posudky znalců V. Smejkala, J. Janky a J. Kodla mají interní charakter a nejsou znaleckými posudky ve smyslu zákona. Byly vašemu Úřadu tyto materiály, které ČSÚ pokládá za tajné, poskytnuty?
O posudky znalců ÚOOÚ nežádal a nebyly mu tedy ani poskytnuty. Tyto ani jiné posudky nejsou pro kontrolní činnost ÚOOÚ směrodatné.
4. Bylo by podle názoru vašeho Úřadu porušením zákona č. 101/2000 Sb., kdyby ČSÚ poskytl znění zmiňovaných hodnotících posudků veřejnosti (s případným odstraněním určitých pasáží, jak se o tom zmiňuje rozklad podaný Britskými listy)?
Protože tyto posudky nemáme k dispozici, nemůžeme ani posoudit, zda obsahují pasáže, jejichž zveřejněním by mohla být ohrožena bezpečnost zpracovávaných údajů. Pokud by takovéto v posudcích obsažené pasáže byly odstraněny, k porušení zákona by zřejmě nedošlo. Za dodržení zákona je v tomto případě plně zodpovědný ČSÚ.
5. Byla Úřadu poskytnuta zpráva o bezpečnostních opatřeních, kterou posudky hodnotí? Jaká je podle názoru vašeho Úřadu její kvalita? Považujete zamýšlená bezpečnostní opatření za dostatečná?
Úroveň bezpečnostních opatření měl ÚOOÚ možnost posoudit dosud pouze ze smlouvy a dodatků ke smlouvě mezi ČSÚ a firmou DELTAX. Právě na základě studia těchto dokumentů ÚOOÚ usoudil, že bezpečnostní opatření jsou dosud nedostatečná a proto požádal ČSÚ, aby nebylo započato s automatizovaným zpracováváním údajů a to v jakékoliv fázi či úrovni.
6. Jaký je v současné době názor Úřadu na dostatečnost a kvalitu bezpečnostních opatření provedených v souvislosti s připravovaným zpracováním osobních údajů získaných na sčítacích dotaznících?
Souvisí s předchozí odpovědí. Ujišťování ČSÚ a firmy DELTAX nejsou pro ÚOOÚ dostatečně přesvědčivá. Tato ujištění nejsou ostatně dostatečná ani pro vládu. V minulých dnech se vicepremiér Rychetský obrátil na předsedkyni ĆSÚ dopisem v němž žádá, aby po projednání s ÚOOÚ byl uzavřen s firmou DELTAX dodatek ke smlouvě, v němž budou zapracovány požadavky ÚOOÚ a byla tak bezezbytku zajištěna ochrana osobních údajů při tomto zpracování.
7. Jak hodnotíte bezpečnostní aspekty zapojení firmy Deltax Systems, a. s., do SLDB v úloze zpracovatele údajů?
Viz odpověď na předchozí dotaz.
8. Akceptujete názor předsedkyně ČSÚ Bohaté, že její Úřad není vázán rozhodnutími ÚOOÚ, ledaže by se tato rozhodnutí opírala o výrok soudu? Jak budete postupovat, pokud ČSÚ naplní deklarovaný záměr a nebude se pokyny ÚOOÚ řídit?
Na SLBD se plně vztahuje také zákon č. 101/2000 Sb. včetně dozorové činnosti ÚOOÚ. Rozhodnutím ÚOOÚ se ČSÚ musí řídit, jinak se vystavuje riziku udělení sankcí podle tohoto zákona. K vymáhání sankcí pak ÚOOÚ využije všech mu zákonem stanovených kompetencí.
Názory paní předsedkyně ČSÚ jsou v této oblasti mylné.
