strategie informatika projekty procesy nezávislá podpora a poradenství s vazbou na ICT 2.11.2010 Per Partes Consulting Nadpis presentace Princip řešení komunikace mezi IS vysokých škol a maturitní databází z pohledu IS veřejné správy Petr Hujňák www.perpartes.cz
Možné typy komunikace (sdílení informací) A. Požadavek na osobní údaje VŠ požaduje adresné (tj. osobní) informace o konkrétním uchazeči ke studiu za definovaným účelem. Př. S jakými výsledky složil Josef Novák maturitu?[známky konkrétní osoby] osobní B. Požadavek na informace vypočtené z přístupu k osobním údajům VŠ požaduje agregované neadresné informace o uchazečích ke studiu, které vyžadují interně procházet adresné (tj. osobní) údaje. Př. Kolik uchazečů přihlášených ke studiu na naši VŠ absolvovalo maturitu z daného předmětu na vyšší úrovni obtížnosti? [počet osob] zpracované z osobních neosobní - 2 -
Možné typy komunikace (sdílení informací) C. Požadavek na agregovaná data VŠ požaduje agregované neadresné informace o uchazečích ke studiu, které jsou předzpracovány a již nevyžadují ad hoc přístup k osobním údajům. Př. Kolik studentů v republice podalo přihlášku na jednotlivou zkoušku absolutoria? [počet osob] neosobní D. Požadavek na zveřejnění údajů VŠ zveřejňují podmínky přijetí uchazečů o studium pro daný rok (ve strukturované podobě). Př. Vyžadujeme maturitu z matematiky na vyšší úrovni obtížnosti. [zaslané veřejné údaje] neosobní - 3 -
Principy zpracování osobních údajů Zákon č.101/2000 Sb., o ochraně osobních údajů Listina základních práv EU, článek 8 Pozn.: osobním údajem je jakákoliv informace týkající se určeného nebo určitelného subjektu údajů správcem je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj subjektem údajů je fyzická osoba, k níž se osobní údaje vztahují A. Účelnost a přiměřenost k účelu Účel zpracování osobních údajů musí být vždy přesně definován a údaje musí být přiměřeně zpracovávány ke stanovenému účelu: - rozsah údajů nezbytně nutný k danému účelu - časová omezenost nezbytně nutná pro naplnění účelu. B. Zdroje a příjemci Zdroje osobních údajů musí být identifikovány a příjemci osobních údajů musí být přesně definováni. 5 (1) Zákona č. 101/2000 Sb. čl. 8 Listina základních práv EU C. Přesnost (korektnost) Osobní údaje nesmí být zkresleny a s subjekty údajů mají právo na přístup a nápravu svých údajů. - 4-5 (1) Zákona č. 101/2000 Sb. 12 (2), 16 (2) Zákona č. 101/2000 Sb.
D. Zpracování se souhlasem Principy zpracování osobních údajů 5 (3) Zákona č. 101/2000 Sb. Osobní údaje lze zpracovávat jen se souhlasem subjektu údajů - tj. plnění smlouvy mezi správcem os. údajů a subjektem údajů nebo nebo na základě zvláštního zákona 5 (3) Provádí-li správce zpracování osobních údajů na základě zvláštního zákona, je povinen dbát práva na ochranu soukromého a osobního života subjektu údajů. (například zákon č.111/1998 Sb. zákon o vysokých školách) E. Nesdružovatelnost Osobní údaje získané z rozdílných účelů se nesmí sdružovat (propojovat) do vyšších celků. F. Informační bezpečnost Osobní údaje musí být zpracovávány v systému managementu bezpečnosti informací, zabraňujícímu - neoprávněnému nebo nahodilému přístupu k údajům - zajišťujícímu prokazatelnost přístupu k osobním údajům (logování) - 5-5 (1) Zákona č. 101/2000 Sb. 13 Zákona č. 101/2000 Sb.
Principy zpracování osobních údajů G. Způsob zpracování 5 (1) Zákona č. 101/2000 Sb. Pro zpracování osobních údajů musí být stanoveny prostředky a způsob jejich zpracování (tj. workflow). Základním úkolem pro řešení komunikace mezi IS vysokých škol a maturitní databází je návrh cílového workflow (tj. chtěného stavu) pro sdílení informací čtyř hlavních aktérů informačního toku. - 6 -
Důsledky zákona č.101/2000 Sb. Dávkové předávání velkého množství dat mezi informačními systémy VŠ a maturitní databází (IS Certis) zahrnující osobní údaje není z hlediska Zákona č. 101/2000 Sb., o ochraně osobních údajů, prakticky možné. Umožňovalo by sdružovat informace ze dvou databází s osobními údaji! - 7 -
Návrh řešení pomocí informačních služeb Je možné předávat osobní údaje v nezbytném rozsahu za přesně definovaným účelem pomocí informačních služeb. Tyto služby je třeba před zahájením jejich využívání, pokud nejsou poskytovány na základě zvláštního zákona, oznámit na ÚOOÚ, který vydá osvědčení o provedení registrace zpracování osobních údajů. 16 (1) Ten, kdo hodlá jako správce zpracovávat osobní údaje nebo změnit registrované zpracování podle tohoto zákona, s výjimkou zpracování uvedených v 18, je povinen tuto skutečnost písemně oznámit Úřadu před zpracováváním osobních údajů. Informační službou se rozumí definovaná množina souvisejících softwarových funkcionalit (např. poskytnutí dat / data as a service), společně s politikami a principy (vč. bezpečnostních) pro řízení jejich užití. Na rozdíl od předání dat je přístup k datům formou služby omezen na poskytované a přesně definované služby z předem stanoveného katalogu služeb. - 8 -
Idea principů pro datovou komunikaci - 9 -
Princip interoperability API přes Web services VŠ v roli konzumenta informací přistupuje na dotazovací funkce katalogu poskytovaných informačních služeb na referenčním rozhraní (= dotazovací služby). Sdílení údajů přes dotazovací služby bude využíváno všemi VŠ, tedy technologicky různorodými IS umístěnými v různých geografických lokalitách. Z důvodu různorodosti je potřeba dotazovací rozhraní navrhnout na obecných technologických standardech na výměnu dat a zajistit tak maximální interoperabilitu (schopnost spolupráce) různých technologických platforem. Interoperabilitu lze nejvhodněji zajistit prostřednictvím webových služeb. Webové služby jsou definovány mezinárodní standardizační organizací W3C (World Wide Web Consortium). Webové služby představující aplikační interface (API) typu M2M (Machine-to-Machine) jsou definovány jako softwarový systém navržený pro podporu vzájemné sítové spolupráce počítačů prostřednictvím HTTP protokolu. - 10 -
Per Partes knowledge management Per Partes Consulting, s.r.o. Bohunická 47a 619 00 Brno Hlavní 103 141 00 Praha 4 www.perpartes.cz info@perpartes.cz Preventivní rizikový management: Pomáháme zákazníkům a/nebo dodavatelům dosáhnout bezproblémového průběhu projektu. Následný krizový management: Vždy existuje cesta, jak krizi vyřešit. Víme jak.