Právní argumentace IR
Úřad pro ochranu osobních údajů
Pplk.
Sochora 27,
170 00 Praha 7
Zasláno na e-mail: posta@uoou.cz
v Praze dne 30.10.2012
Dobrý den,
rád bych se na vás obrátil jménem občanského sdružení Iuridicum Remedium
s podnětem, který se vztahuje k podezřením z porušení zákona o
ochraně osobních údajů (dále také
„ZOOÚ“) při zpracování osobních údajů v souvislosti s provozem tzv.
sKarty. sKarta, neboli karta sociálních systémů náleží dle zákona č. 73/2011
Sb., o Úřadu práce České republiky a o změně souvisejících zákonů, ve znění
pozdějších předpisů (dále také jen „zákon č. 73/2011 Sb.“) v rámci Jednotného
informačního systému práce a sociálních věcí oprávněným osobám a příjemcům
dávek vedeným v tomto systému. Účelem karty je identifikace oprávněných osob a
příjemců dávek pro účely informačních systémů o nepojistných sociálních
dávkách. Dále může mít karta elektronicky čitelného identifikačního dokladu ve
vztahu k Jednotnému informačnímu systému práce a sociálních věcí (dále
také „JIS PSV“), průkazu osoby se zdravotním postižením podle zákona o
poskytování dávek osobám se zdravotním postižením a o změně souvisejících
zákonů, funkci platební a funkci nástroje výplaty nepojistných sociálních
dávek.
Zákonná úprava existence JIS PSV je obsažena zejména v § 4a a
následujících zákona č. 73/2011 Sb.. Podle § 4a odst. 1 zákona č. 73/2011 sb.
je „Ministerstvo (práce a sociálních
věcí) s správcem Jednotného informačního systému práce a sociálních věcí, jehož
součástí jsou veškeré údaje z informačních systémů o dávkách státní sociální
podpory, pomoci v hmotné nouzi, o příspěvku na péči, o dávkách pro osoby se
zdravotním postižením a v oblasti státní politiky zaměstnanosti. Správou
evidence údajů o výplatách dávek uvedených v předchozí větě může správce
Jednotného informačního systému práce a sociálních věcí pověřit Českou správu
sociálního zabezpečení.“
Dne 24.1.2012 uzavřelo Ministerstvo práce a sociálních věcí na straně
jedné a Česká spořitelny, a.s. na straně druhé „Smlouvu o zajišťování
administrace výplaty sociálních dávek a dávek z oblasti státní politiky
zaměstnanosti a provozování karty sociálních systémů“ (dále také „Smlouva“).[1] Česká spořitelna má v souladu s touto
smlouvou postavení zpracovatele osobních údajů ve smyslu § 4 písm. k) ZOOÚ.
Ustanovení zpracovatelské smlouvy dle § 6 ZOOÚ jsou obsaženy v části 9.
výše uvedené Smlouvy. Předmětem smlouvy je spolupráce Ministerstva práce
a sociálních věcí (dále také „MPSV“) a České spořitelny při vydávání a
provozování karet sociálních systémů a administrace jimi vyplácených dávek. Česká
spořitelna na základě této smlouvy (bod. 3.1.) má pro MPSV zřídit a
provozovat systém administrace dávek, zřídit a vést sběrný účet a platební účty
oprávněných osob, zabezpečit vydávání a správu sKaret pro oprávněné osoby podle
požadavků Ministerstva, zabezpečit výplatu dávek a platební funkce karty,
zřídit a provozovat portál za účelem poskytnutí informací Oprávněným osobám o
stavu Platebního účtu a využití Platebních funkcí karty.
Při těchto činnostech Česká spořitelna přichází do
styku s osobními údaji osob, které pobírají sociální dávky vyplácené
prostřednictvím sKarty. Tyto informace se týkají nejen toho, kdo je příjemcem
dávek, ale lze z nich v řadě případů určit příjemcem jaké dávky
dotyčný je (pokud má daná dávka jednotnou výši). Zejména u účelově vázaných
dávek, kde je třeba čerpat dávku prostřednictvím sKarty a není možné provést
výběr peněz v bankomatu pak má Česká spořitelna přístup k širokému
spektru údajů týkajících se například místa a času čerpání dávky či sociálních
služeb, strukturu nákupního koše apod. Povinnost České spořitelny ověřovat
v reálném čase oprávněnost každého jednotlivého případu využití platební
funkce karty (bod 5.4.1 Smlouvy).
Smluvní vztah mezi Českou spořitelnou a oprávněnou
osobou vzniká v souladu s bodem 8.2 okamžikem převzetí karty a
podpisem příslušné smluvní dokumentace. V případě dávek vyplácených
prostřednictvím sKarty si příjemce dávek může vybrat jiný způsob výplaty dávek
pouze u dávek, které nejsou účelově vázané. Předávání osobních údajů České
spořitelně se tedy minimálně část z příjemců sociálních dávek nemůže
vyhnout, respektive jedinou možností je přestat být příjemcem sociálních
dávek.
V souladu s § 4 písm. k) ZOOÚ je správcem
osobních údajů každý subjekt, který určuje účel a prostředky zpracování
osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních
údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon
nestanoví jinak. V tomto případě je tedy správcem MPSV. Oprávnění
k zpracování osobních údajů v JIS PSV vyplývá ze zákona č. 73/2011
Sb. Tímto zpracováním je výslovně pověřeno MPSV s tím, že v souladu s
§4a odst. 1 zákona č. 73/2011 Sb. může správce JIS PSV pověřit evidencí údajů o
výplatách státní sociální podpory, pomoci v hmotné nouzi, o příspěvku na péči,
o dávkách pro osoby se zdravotním postižením a v oblasti státní politiky
zaměstnanosti uvedených v předchozí větě Českou správu sociálního zabezpečení.
Z tohoto ustanovení jednoznačně vyplývá, kdo může být osobou podílející se
na provozování JIS PSV včetně provozu sKarty, která je součástí tohoto systému.
Zákon č. 73/2011 Sb. neupravuje možnost MPSV přenášet oprávnění při provozu JIS
PSV na jinou osobu, než je Česká správa sociálního zabezpečení, tedy ani na Českou
spořitelnu. Jednoznačné určení toho, kdo provozuje JIS PSV v § 4a zákona č.
73/2011 Sb. je zvláštním ustanovením k § 4 písm. k) ZOOÚ. Ministerstvo práce a
sociálních věcí tedy není oprávněno uzavírat smlouvu o zpracování osobních
údajů se soukromou společností, která by se týkala zpracování údajů vedených
v JIS PSV, protože zvláštní zákon jednoznačně určuje, že zpracování mohou
provádět pouze stanovené subjekty (MPSV a Česká správa sociálního zabezpečí).
V takovém případě by Česká spořitelna
nebyla osobou oprávněnou zpracovávat osobní údaje předávané MPSV z JIS PSV
v souvislosti s provozem systému sKarty. Zpracováním bez souhlasu
subjektů údajů by tak zřejmě docházelo ze strany České spořitelny k porušení
celé řady ustanovení zákona o ochraně osobních údajů. MPSV by pak předáním
údajů České spořitelně zřejmě porušovalo minimálně § 13 ZOOÚ.
Tímto žádáme o prověření našeho podání,
případně o provedení kontroly v dané věci. Považujeme za nezbytné, aby
Úřad pro ochranu osobních údajů na tomto případě pregnantně vyjádřil právní
názor na možnost přenášení výkonu státní správy (včetně zpracování citlivých
osobních údajů získaných bez souhlasu subjektu údajů) státními úřady na
soukromé společnosti. Tuto „privatizaci státní moci“ považujeme za
problematický trend spojený v posledních letech zejména s řešením
státních zakázek v oblasti IT.
S pozdravem za Iuridicum Remedium, o.s.,
Mgr. David Kyncl
[1]
Smlouva je dostupná zde: http://www.mpsv.cz/files/clanky/12022/Smlouva_o_administraci_nepojistnych_davek_a_provozovani_karty_socialnich_systemu.pdf
