Vnitro umožnilo přes devadesát tisíc neoprávněných vstupů do registru obyvatel

V registru obyvatel jsou vedeny referenční údaje o státních občanech České republiky

Ministerstvo vnitra jako správce osobních údajů umožnilo podle Úřadu pro ochranu osobních údajů (ÚOOÚ) celkem 95 555 vadných vstupů do registru obyvatel. Vyplývá to z výsledku kontroly, který Úřad publikoval v souvislosti s účinností nového zákona, podle kterého nemůže být vnitro jako státní instituce pokutováno. Původně mu měla být udělena pokuta ve výši 1,1 milionu korun. Vnitro už nastavilo nově oprávnění k přístupu a chybu napravilo.

Původně mělo být ministerstvo vnitra za chyby s nakládáním s osobními údaji pokutováno částkou 1,1 milionu korun. Podle nového zákona však Úřad přišel „zmiňovanou právní úpravou o možnost ukládat pokuty orgánům veřejné moci a veřejným subjektům, tedy například ministerstvům, různým správním úřadům, městům či obcím za přestupky související s ochranou osobních údajů“, informuje ÚOOÚ na svých stránkách.

88 491 přístupů nad rámec zákona

V daném případě šlo v souvislosti s ministerstvem vnitra o dvě zjištění: „Cílem první kontroly bylo prověření dodržování povinností ministerstva vnitra jako správce osobních údajů zpracovávaných v registru obyvatel. Závěrem bylo, že ministerstvo vnitra umožnilo celkem 7 064 neoprávněných přístupů do registru obyvatel v souvislosti s agendou týkající se udělování autorizace dle zákona o ověřování a uznávání výsledků dalšího vzdělávání,“ stojí ve faktech případu masivních chybných přístupů.

„Dále umožnilo celkem 88 491 přístupů k údajům v registru obyvatel ve větším rozsahu, než stanoví zákon o základních registrech a v rámci systémového nastavení registru obyvatel umožnilo v exekučním řízení exekutorům přístup k osobním údajům všech tzv. vázaných osob, bez možnosti rozlišení oprávněnosti požadavku. Ministerstvo vnitra tak jako správce osobních údajů nepřijalo dostatečná opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům v registru obyvatel,“ uvádí Úřad pro ochranu osobních údajů doslova.

Šlo o nesprávné nastavení služby

Protože počet neoprávněných přístupů je ohromující a prohlášení k výsledku kontroly ze strany ÚOOÚ ne zcela srozumitelné, požádala Česká justice o vysvětlení přímo ministerstvo vnitra.  „Zmiňovaných 88 491 přístupů k referenčním údajům Registru obyvatel se týkalo využití služby od 1. ledna 2015 do 30. prosince 2016, jejímž prostřednictvím byly zpřístupňovány údaje o statutárním orgánu právnické osoby nad rámec údajů uvedených v § 26 odst. 2 písm. i) zákona o základních registrech. Nejedná se o přístupy exekutorů. Případ byl řešen v souvislosti s přístupem jednoho z měst k údajům o statutárních orgánech jiného orgánu veřejné moci,“ uvedl na dotaz České justice Jiří Korbel z odboru tisku ministerstva vnitra.

„Z pohledu MV odpovídal za legalitu přístupů primárně správce Registru osob, který k jejímu fungování využívá i interní služby týkající se Registru obyvatel, přičemž tato interní služba je využívána i pro jiné účely, MV tedy nemůže omezovat údaje pouze na tři položky; omezení tak mělo být provedeno ze strany kompozice celé služby Registru osob,“ vysvětlil Jiří Korbel, co se ve skutečnosti přihodilo.

Správce sám nahlásil neoprávněný přístup

V druhém případě šlo o ověřování totožnosti uchazečů o odbornou zkoušku: „Pokud jde o 7064 přístupů u agendy Udělování autorizace dle zákona o uznávání výsledků dalšího vzdělávání, šlo o případ ověřování identity uchazečů o odbornou zkoušku realizovanou autorizovanou osobou, a to prostřednictvím agendy registrované Ministerstvem školství, jehož prostřednictvím byl přístup umožněn. Po zjištění podezření z neoprávněného přístupu k údajům MV vyzvalo k okamžitému zamezení přístupů,“ uvedlo pro Českou justici ministerstvo vnitra prostřednictvím mluvčího.

V tomto případě správce dokonce oznámil podezření na neoprávněný přístup, jak mu ukládá zákon: „V uvedené době neměl správce Registru obyvatel přístup k nastavení oprávnění agend v Registru práv a povinností ani k případným provozním záznamům, ze kterých by neoprávněný přístup mohl detekovat. Vydával pouze písemná stanoviska k oprávněnosti přístupu k údajům Registru obyvatel, které postupoval odboru eGovernmentu a správci Registru práv a povinností, k zajištění správnosti matice oprávnění v Registru práv a povinností. V uvedené věci došlo zároveň k oznámení Správou základních registrů podle § 7 odst. 5 zákona o základních registrech Úřadu pro ochranu osobních údajů o důvodném podezření na neoprávněný přístup k osobním údajům,“ doplnil pro Českou justici Jiří Korbel.

Doložen jediný případ exekutora

Co se týče exekutorů, podle mluvčího vnitra existuje pouze jediný případ nesprávného přístupu k registru obyvatel: „V případě poskytování osobních údajů exekutorům nebyl nijak vyčíslen počet údajně neoprávněných přístupů, doložen byl jeden případ. Údaje z Registru obyvatel byly poskytovány v zákonem stanoveném rozsahu, nastavení služeb však neumožňovalo užší výběr požadovaných osobních údajů. Neznamená to však, že by exekutor nutně dále nakládal se všemi údaji, které mu byly, jakkoli na základě zákonného oprávnění, zpřístupněny,“ uvedl.

I přesto, že podle nového ustanovení nemůže ministerstvo dostat pokutu, úřad podle svých slov stav napravil, i když ochránci soukromí v tiskové zprávě z počátku srpna tvrdí opak. „V reakci na vlastní zjištění i závěry kontroly byla skrze vlastní systémy a dále skrze Správu základních registru okamžitě promítnuta všechna zjištění, závěry a stanoviska do Registru práv a povinností a nastavení oprávnění přístupů při provozu Registru obyvatel,“ dodává Jiří Korbel z tiskového odboru ministerstva vnitra.

Irena Válová