Od 1. července nás teoreticky čeká spuštění základních registrů, které jsou nyní v testovacím provozu. Základní registry jsou součástí digitalizace veřejné správy. Podle původních prognóz měly být registry spuštěny od 1. 7. 2010 ve zkušebním provozu a o rok později v ostrém provozu. Naše výhrady k systému základních registrů jsme se snažili shrnout v tomto článku, který vzniknul na základě veřejné debaty o eGovermentu pořádané našim sdružením 15. listopadu 2011.

Veřejná diskuze o eGovernemntu (článek ke stažení zde)
 

Debaty se zúčastnili:
Miloš Šnytr - Úřad na ochranu osobních údajů
Michal A. Valášek - Altairis Chief Software Architect
LP Fish - novinář specializovaný na moderní technologie

Záznam z debaty: http://official.fm/tracks/321835?no_frameset=true
 

V roce 1890 vydali američtí právníci Samuel Warren a Louis D. Brandeis průlomový text nesoucí název Právo na soukromí (The Right to Privacy). Tvrdili v něm, že z nároku na osobní a majetkovou ochranu každého amerického občana plyne nezcizitelné právo být nechán na pokoji (Right to be left alone). Z textu vyplývá, že osobní informace mají být v první řadě v moci dané osoby, která má být schopna s nimi autonomně nakládat. Koncept srozumitelný a logický. Stojí za to se nicméně podívat blíže na koncepci ochrany osobních údajů v ČR a zamyslet se nad tím, zda i u nás jsou osobní údaje naším “vlastnictvím“.
Dne 28.11. byl oficiálně spuštěn pilotní provoz základních registrů, které jsou součástí projektu digitalizace veřejné správy pod názvem eGovernment. IURE v předvečer spuštění pilotního provozu základních registrů uspořádalo veřejnou debatu pod názvem eGovernment (dále eGon) a ochrana osobních údajů. Na panelovou diskuzi jsme přizvali experty, kteří by podle našeho názoru mohli veřejnosti osvětlit jak budou registry fungovat a jak jsou zabezpečeny jejich osobní údaje. Na panelu měl zasednou samozřejmě i zástupce Ministerstva vnitra ČR, které má v gesci tvorbu architektury eGovernmentu, publicitu i osvětové aktivity. Bohužel, zástupce MV ČR svoji účast bez náhrady zrušil a vzhledem k tomu, že eGovernment je plně v kompetenci Ministerstva vnitra ČR nemohla naše diskuze odpovědět na všechny otázky. Sami řečníci upozorňovali na fakt, že o projektu se můžeme dočíst pouze v zákonech souvisejících s eGovernmentem a v projektové dokumentaci na stránkách zřízených k propagaci projektu. Nicméně i tak byla diskuze plodná (její záznam si můžete poslechnout na stránkách IURE http://official.fm/tracks/321835?no_frameset=true)
Pojmem eGovernment označujeme mimo jiné možnost elektronické komunikace s orgány státní a veřejné správy. Očekáváme, že eGovernment nám významně usnadní styk s úřady, uspoří nám čas, zvýší efektivitu fungování úřadů a ušetří peníze daňových poplatníků. Řečníci se shodli, že tento dopad je pozitivní.
Zajímavější ovšem byla část, kde vyplynulo, že každý stát systém vytváří trochu odlišně. Např. v Rakousku je vstup do systému eGonu zcela dobrovolný a identifikační čísla má občan uložena na své ID kartě. V ČR tyto data bude spravovat Úřad pro ochranu osobních údajů. Při podobném porovnání systémů EU bychom se určitě dopátrali více zajímavých rozdílů.
Na mnoho otázek jsme ovšem nezískali relevantní odpovědi.

Kde vidí IURE základní problémy registrů

Data v databázích nebudou možná šifrována (nevíme jistě a na otázku jsme nezískali odpověď) nebudou tedy odolná úniku dat přímo z registrů. Ochrana dat má být zajištěna propojováním přes generovaná identifikační čísla.

Jako problém vidíme, že transakční logy budou uchovávány v rámci informačních systémů základních registrů i ORG (generátor identifikátorů), myslíme si, že z transakčních logů lze zrekonstruovat historii jednání dané osoby na naše obavy jsme nedostali jasnou odpověď ani při debatě. Zajímavé pro nás tedy je, kdo bude mít přístup k transakčním logům?
Architektura systému umožňuje sofistikovaná databázová volání napříč systémem. Jediné, co brání zneužití jsou přístupová práva, závislá na legislativě. Tato důvěra v existenci legislativy zazněla i na debatě. Podle nás je systém základních registrů extrémně citlivý na změnu legislativy. Pokud si představíme modelovou situaci, že v nepřehledné praxi poslanecké sněmovny navrhne některý z poslanců převod generátoru identifikátorů pod MV ČR, tak bude mít jeden orgán spravující celou řadu různých databází v rukou efektivní nástroj k jejich propojování. Centralizace systému v rukou Ministerstva vnitra nebo jiného státního orgánu je sama o sobě bezpečnostním rizikem pro soukromí občanů.

Mezi další rizika celého systému zařazujeme možnost zneužití ze strany toho, kdo bude zadávat přístupová práva. Omezení nebo kontrola těchto osob není jasně definována.
Kontrolní pravomoc nad zpracováním osobních údajů v registrechje Úřad pro ochranu osobních údajů, který ovšem nemá kapacity tento úkol plnit. Ze struktury pravomocí také vyplývá, že ÚOOÚ je kontrolním orgánem i sám pro sebe, v systému není zahrnuta další instituce, která by kontrolovala činnost ÚOOÚ.
Shrneme-li naše připomínky, projekt eGovernmentu je určitě prospěšným počinem pro zlepšení služeb státu, který je tu pro občana, o tom určitě nemusíme pochybovat. Nám ovšem vadí, že soukromí občanů ČR je vnímáno pouze jako záznam v databázích, které jsou technologicky ošetřeny (jak a do jaké míry ukáže čas), ale tyto údaje nejsou vnímány jako naše vlastnictví. Nakládání s daty v databázích jsou plně podřízena funkčnosti veřejné správy. Bezpečnost dat (jednotlivé údaje) v základních registrech není to samé jako bezpečnostní politika obsahu dat (informace), která by měla stát nad daty. Absence této koncepce nahrává všem výše zmíněným kritickým oblastem.

Na závěr bychom ještě podotkli, že to jak se k občanům a jejich soukromí staví veřejná správa je patrné z komunikace MV ČR a ochotě účastnit se veřejné debaty o základních registrech. I z tohoto důvodu by bylo vhodné, aby byla zřízena nezávislá instituce ombudsmana, která by měla v kompetenci řešit stížnosti občanů např. na (ne)činnost Úřadu pro ochranu osobních údajů. ÚOOÚ nemá dostatečné kapacity na jednotlivá podání a navíc není dostatečným garantem pro ochranu dat, protože jeho činnost je zaměřená na bezpečnost dat nikoliv na bezpečnost obsahu dat.
 

Základní registry a legislativa

Vytvoření centrálních registrů veřejné správy stojí na zákoně č. 111/2009 Sb., o základních registrech a zákoně č. 227/2009 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o základních registrech, ve znění pozdějších předpisů, dále pak zákon č.300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů (zákon o eGovernmentu nebo eGovernment Act), zákon č.301/2008 Sb. , kterým se mění některé zákony v souvislosti s přijetím zákona o elektronických úkonech a autorizované konverzi dokumentů, zákon č.365/2000 Sb., o informačních systémech veřejné správy tento zákon rámcově vymezuje například vydávání výpisů na kontaktních místech veřejné správy Czech POINTech. Zákon o občanských průkazech č.328/1999 Sb.- využití e-občanky v elektronické komunikaci.

Podle původních prognóz měly být registry spuštěny od 1. 7. 2010 ve zkušebním provozu a o rok později v ostrém provozu. Aktuální termíny se ovšem nakonec posunuly a nový harmonogram je, že 28.11.2011 byl spuštěn pilotního provoz, který potrvá do 1. dubna 2012 a následuje zkušební provoz. Podle plánu čeká ČR ostrý provoz od 1. července 2012.

Více informací
• Správa základních registrů: http://www.szrcr.cz/
• Koncepce budování informačních systémů: http://www.isvs.cz/user_data/dokumenty/UVIS-Koncepce-ISVS-1999.pdf
• Sytém základních registrů - Nová kompetence ÚOOÚ v roce 2010 http://apps.bvv.cz/i2000/Akce/b-inv.nsf/WWWAllPDocsID/IEXP-7VZED5/$File/krump.pdf
• M. Valášek. Potěmkinův e.government. http://www.lupa.cz/clanky/potemkinuv-e-government/