03_15_023 Podpora procesů ve službách a podpora rozvoje sociální práce

KLUB

Vyhledávání v klubu

Autor:

Řešitel:

Číslo otázky:

Číslo projektu / hash:

Full Text:

Zobrazit:

Řadit dle:

UPOZORNĚNÍ

Konzultace a zodpovídání dotazů v rámci výzvy č. 23 končí 27. 11. 2015 ve 14.30 hod.

Řadit odpovědi: Nejnovější nahoře Nejstarší nahoře

Řadit komentáře: Nejnovější nahoře Nejstarší nahoře

Předchozí otázka

Následující otázka

Zpět

Otázka: Osobní/citlivé údaje o cílové skupině vs. zákon o ochraně osobních údajů UZAVŘENO

cílová_skupina indikátory osobní_údaje zákon

Dobrý den,

při realizaci projektu by měl příjemce dotace shromažďovat osobní/citlivé údaje o osobách z cílové skupiny projektu - minimálně v rozsahu tvz. identifikace osoby (jméno, příjmení, datum narození, bydliště). Pokud účast v projektu u konkrétní osoby přesáhne tzv. bagatelní podporu, měl by tato data zapisovat do IS ESF14+ a tím předat poskytovateli dotace. K tomu všemu však potřebuje souhlas příslušné podpořené osoby a také osobu plně informovat a poučit, jak s daty bude nakládáno. Z důvodu nastavení indikátoru a bagatelní podory by bylo vhodné souhlas zajistit již při přípravě projektové žádosti.

V "Obecné části pravidel pro žadatele a příjemce" se uvádí, že v odůvodněných případech je možné poskytnout podporu i osobám, u kterých nemusí příjemce dotace osoby identifikovat v předepsaném rozsahu. Za takové případy jsou považovány situace, kdy identifikace osoby a uchování těchto údajů je v rozporu s účelem práce s danou cílovou skupinou.

Cílovou skupinou by byly například zaměstnanci žadatele/příjemce dotace/partnera nebo poskytovatelé sociálních služeb a jejich zaměstnanci.

Prosíme o informace na jak dlouhou dobu se data poskytují, kdo přesně je bude zpracovávat a bude k nim mít přístup, jaké jsou záruky o technickém a organizačním zabezpečení ochrany osobních údajů, jaká další data budou přiřazována a z jakých agendových systémů MPSV, jakým způsobem může podpořená osoba svůj souhlas odvolat a zda, s kým a v jakém rozsahu by došlo ke sdílení poskytnutých údajů s dalšími subjekty, popř. další informace umožňující naplnění zákonné povinnosti žadatele/příjemce dotace vůči cílové skupině (zákon 101/2000 Sb. , o ochraně osobních údajů).
Jak se bude postupovat s nastavením, vykazováním a penalizováním indikátorů/bagatelní podpory v případě, že podpořená osoba v průběhu nebo po realizaci projektu:
- a) údaje bude ochotna poskytnout, ale jen příjemci dotace, tj. nepovolí jejich zápis do IS ESF14+, případně však bude ochotna poskytnout údaje k nahlédnutí při fyzické kontrole ze strany poskytovatele dotace;
- b) údaje bude ochotna poskytnout, dovolí jejich přepis do IS ESF14+, ale nebude souhlasit s přiřazováním dalších existujících dat evidovaných v agendových systémech;
- c) svůj souhlas v průběhu a/nebo po projektu úplně nebo částečně odvolá.
Lze za výše zmíněný odůvodněný případ pokládat situaci uvedenou v bodech 2a) až 2c)?
Bylo by možné údaje poskytovateli dotace do IS ESF+ předat ve formě kódu, který by neodkrýval identitu osoby? Kód i příslušné identifikační údaje by byly dostupné u příjemce dotace.

Předem děkuji

11.10.2015 15:15 PM

Komentáře k otázce

1 Odpověď

Dobrý den,

v odpovědi na Vaše otázky uvádíme následující:

1) data uvedená ve formuláři monitorovacího listu podpořené osoby budou uchovávána pro účely jejich zpracování v souladu s § 5 odst. 1 písm. e) zákona č. 101/2000 Sb., o ochraně osobních údajů, do 31. 12. 2033, tedy po dobu, po kterou je Evropská komise oprávněna provádět kontrolu Operačního programu Zaměstnanost.

2) data budou po vložení do systému anonymizována, k jmenným údajům má přístup příjemce. Všichni ostatní budou mít přístup pouze k anonymizovaným datům. Přístup k osobním údajům bude umožněn pouze na základě jasného a jednoznačného zákonného důvodu, přičemž přístup k neanonymizovaným údajům může být poskytnut zpravidla pouze pro auditní či kontrolní účel a pouze na omezenou dobu, a to tak, aby bylo vždy možné doložit, kdo, odkud a kdy jaké operace provedl. U každé aktivity bude zaznamenán uživatelský účet, provedená aktivita, její výsledek, datum a čas jejích provedení, IP adresa, odkud se uživatel připojil, výsledek operace apod. Přístup ke jmenným / neanonymizovaným údajům obecně nebude možný prostřednictvím uživatelského rozhraní. Osoba, která na základě žádosti doloží oprávněnost dotazu do databáze se jmennými údaji, bude muset být pro účely přístupu k databázi korektně autorizována a autentizována (na základě certifikátu).

3) ve vztahu k bezpečnosti systému, tj. zabezpečení ochrany osobních údajů, je systém vytvářen tak, aby byl plně v souladu s bezpečnostním standardem ČSN ISO/IEC 27002 (doporučení normy obsahuje 133 bezpečnostních opatření rozdělených do 11 oblastí). Systém je dále připravován i s ohledem na zákon o kybernetické bezpečnosti, jelikož v budoucnu systém s velkou pravděpodobností bude spadat do kategorie kritického systému veřejné správy (s ohledem na množství a povahu záznamů). Aktuálně je zpracovávána analýza dopadů na ICT prostředí MPSV ve vztahu k IS ESF 2014+ a požadavkům zákona o kybernetické bezpečnosti. Systém IS ESF 2014+ je připravován a bude provozován na interní hardwarové infrastruktuře MPSV, jmenná data jsou uložena v oddělené zabezpečené databázi, veškeré operace nad jmennými daty, včetně čtení dat, budou zaznamenávány do logů. Systém bude vytvořen tak, aby webový server s prezentační vrstvou byl umístěn v rámci demilitarizované zóny MPSV (fyzická nebo logická podsíť, která je z bezpečnostních důvodů oddělena od ostatních zařízení) a zbývající klíčové komponenty (aplikační server, databázový server apod.) byly v rámci komunikační systémové infrastruktury MPSV. Jsme toho názoru, že respektování normy ISO/IEC 27002 i zákona o kybernetické bezpečnosti systémem IS ESF 2014+ je jasnou zárukou technického a organizačního zabezpečení ochrany osobních údajů.

4) IS ESF 2014+ bude mít k dispozici rozhraní na evidence ČSSZ přes webové služby Integrovaného komunikačního rozhraní ČSSZ (B2B služby IKR ČSSZ). Dále bude přejímat data z Jednotného informačního systému práce a sociálních věcí (konkrétně v současnosti údaje z OK práce), a to pouze ty údaje, které jsou nezbytné pro výpočty indikátorů o podpořených osobách a pro související evaluační analýzy. IS ESF 2014+ bude také napojen na Registr obyvatel v rámci IS ZR (základní registry) – účelem je validace podpořených osob. Dalším rozhraním je rozhraní na systém MS2014+ (údaje o projektech) a IS DS (datové schránky za účelem autorizace uživatelů). Obecně se jedná pouze o předávání údajů nezbytných pro vykazování indikátorů (monitorování) dle Nařízení 1304/2013 a provádění evaluací OPZ, v budoucnu i ostatních programů ESF. Přesný výčet datových položek je velice rozsáhlý, může být poskytnut na vyžádání individuálně na základě odůvodněné žádosti.

5) informace o příjemcích bagatelní/nebagatelní podpory v případě načítání dat o účastnících z navazujících systémů (ČSSZ, ÚP apod.) jsou anonymizovány - systém anonymizuje položky identifikačních údajů podpořené osoby (Např. Jméno a Příjemní je nahrazeno nespecifickým hashem na základě jednosměrné kryptografické hashovací funkce (tj. z hashe nelze zpětně zjistit původní jméno); Trvalé bydliště je anonymizováno do položky Okres).

6) účastník neposkytuje souhlas s používáním osobních údajů, jen je o způsobu jejich využití informován. Důvodem je skutečnost, že MPSV je jakožto správce osobních údajů zpracovávaných v souvislosti s realizací projektů podpořených z OPZ oprávněno zpracovávat uvedené osobní údaje podpořené osoby na základě nařízení Evropského parlamentu a Rady (EU) č. 1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu (zejména jeho příloh I a II), a to za účelem prokázání řádného a efektivního nakládání s prostředky ESF, které byly na realizaci projektu poskytnuty z OPZ. Realizátor projektu podpořeného z OPZ je oprávněn zpracovávat osobní údaje podpořené osoby na základě pověření vydaného správcem (tj. MPSV) v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů.

7) vzhledem k tomu, že podpořená osoba nedává svůj souhlas s používáním osobních údajů, nemůže jej odvolat. Každopádně pokud osoba údaje neposkytne, nemůže být započítána mezi účastníky, tj. je na příjemci, zda v rámci svého projektu podpoří osobu, kterou nebude moci vykázat v rámci monitorovacích indikátorů projektu. Jediné údaje, které může osoba odmítnout poskytnout, jsou údaje týkající se znevýhodnění (osoby se zdravotním postižením, osoby s jiným znevýhodněním, migranti, osoby, které jsou původem cizinci, menšiny (včetně marginalizovaných společenství jako jsou Romové).

8) co se týče penalizace nedodržení závazku MI - v rámci výzvy č. 023 je závazný MI týkající se účastníků pouze MI 6 00 00 Celkový počet účastníků. K tomuto MI příjemce stanovuje cílovou hodnotu jejíž nedodržení může mít dopad na výši způsobilých výdajů (sankce pi nesplnění závazků cílových MI viz Obecná část pravidel pro žadatele a příjemce v rámci OPZ str. 76). Je na žadateli, aby při stanovování výše závazného MI odhadl, jakou výši je schopen naplnit a to nejen co do ochoty cílové skupiny poskytnout osobní údaje ale i do množství dosažených bagatelních podpor.

S pozdravem

Hana Bartoníčková

-------------------------------------------------

Původní odpověď:

Dobrý den,

na zodpovězení Vašeho dotazu se pracuje, odpověď uveřejníme v nejbližších dnech.

Děkuji za pochopení

Hana Bartoníčková

13.10.2015 12:21 Hana Bartoníčková

Komentáře k odpovědi

Diskuze

Diskuze byla uzavřena z následujícího důvodu: ukončeno zodpovídání dotazů v souvislosti s termínem pro předložení žádostí. Diskuzi uzavřel(a) Administrator Administrator v 28.3.2016 21:36.

Příspěvky

Žádné příspěvky