Zásady zpracování osobních údajů

Zásady zpracování osobních údajů v aplikaci eDoklady

Digitální a informační agentura (dále též jen „DIA“) jako správce vašich osobních údajů se zavázala vaše osobní údaje důsledně chránit v souladu s transparentností etickými informačními postupy a platnými zákony na ochranu osobních údajů̊ včetně Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) někdy také General Data Protection Regulation (dále také Nařízení GDPR) “) a zákonem č. 110/2019 Sb. o zpracování osobních údajů.

DIA si klade za cíl zajistit maximální ochranu vašich osobních údajů při všech operacích které souvisí s jejich zpracováním (např. shromažďování ukládání vyhledávání strukturování uspořádávání výmaz apod.).

Tato informace o zpracování osobních údajů může být v budoucnu na základě legislativních či provozních potřeb měněna. Aktuální podobu informace naleznete vždy na této webové stránce.

1. Kdo je správce osobních údajů

Digitální a informační agentura (DIA) je ústřední správní úřad pro elektronickou identifikaci služby vytvářející důvěru a pro informační systémy veřejné správy. Agentura byla zřízena zákonem č. 471/2022 Sb. kterým se mění zákon č. 12/2020 Sb. o právu na digitální služby a o změně některých zákonů ve znění pozdějších předpisů k 1. lednu 2023 a plnou působnost přebrala od 1. dubna 2023.

Sídlo DIA je

Na Vápence 915/14 Praha 3

Datová schránka: yukd8p7

IČO: 17651921

Elektronická adresa podatelny: posta@dia.gov.cz

Pověřencem pro ochranu osobních údajů je Bc. Eva Lipovská E-mail: gdpr@dia.gov.cz

2. Co je aplikace eDoklady

Aplikace eDoklady umožňuje prokázání totožnosti nebo jiné skutečnosti za použití tzv. digitálního stejnopisu průkazu („eDoklady“) vyžaduje-li právní předpis nebo výkon působnosti prokázání totožnosti nebo jiné skutečnosti průkazem který je veřejnou listinou hmotné povahy nebo umožňuje-li právní předpis prokázání totožnosti nebo jiné skutečnosti průkazem který je veřejnou listinou hmotné povahy.

Další základní charakteristikou aplikace pro prokazování eDoklady je pak dobrovolnost - každý občan má volbu zda eDoklady využije anebo zda se bude i nadále prokazovat fyzickými průkazy. Aplikace je využitelná pouze k prokázání totožnosti nebo jiné skutečnosti při osobním kontaktu a nikoli pro elektronickou identifikaci.

3. Právní základ pro zpracování vašich osobních údajů

K poskytnutí a umístění dat na mobilním zařízení subjektu údajů dojde na základě čl. 6 odst. 1 písm. c) GDPR tj. zpracování je nezbytné pro splnění právní povinnosti která se na správce vztahuje konkrétně zákon č. 12/2020 Sb. o právu na digitální služby a o změně některých zákonů ve znění pozdějších předpisů („Zákon“) který upravuje využívání digitálních nástrojů v rámci různých životních situací. Zákona vychází ze základních zásad ochrany osobních údajů resp. jejich zpracování – zákonnosti korektnosti transparentnosti účelového omezení minimalizace údajů a omezeného uložení.

K poskytnutí osobních údajů ověřujícímu subjektu dojde na základě čl. 6 odst. 1 písm. a) GDPR tj. subjekt údajů udělil souhlas s předáním svých osobních údajů pro jeden či více konkrétních účelů.

K logování aktivit v ekosystému aplikace eDoklady dojde na základě čl. 6 odst. 1 písm. c) GDPR tj. zpracování je nezbytné pro splnění právní povinnosti která se na správce vztahuje přičemž tato povinnost je správci dána relevantními ustanoveními Zákona resp. zákonem č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů ve znění pozdějších předpisů.

K uchování historie v paměti mobilního telefonu uživatele eDoklady dojde na základě čl. 6 odst. 1 písm. a) GDPR tj. uživatel udělí souhlas ve formě projevu vůle kterým dojde k inicializaci ukládání historie do mobilního zařízení.

4. Účel zpracování vašich osobních údajů

V rámci aplikace eDoklady jsou prováděna tato zpracování osobních údajů:

Poskytnutí a umístění dat na mobilním zařízení subjektu údajů

V případě že se subjekt údajů rozhodne využívat aplikaci eDoklady budou jeho osobní údaje v rozsahu ve kterém jsou zaznamenány v jeho průkazu totožnosti (resp. jiné veřejné listině hmotné povahy) způsobem který je bezprostředně čitelný nebo vnímatelný člověkem přeneseny do aplikace v jeho mobilním zařízení ve formě digitálního stejnopisu jehož součástí jsou rovněž údaje o průkazu potřebné k prokázání totožnosti nebo jiné skutečnosti.

Konkrétně např. v případě občanských průkazů budou tyto informace získány z agendového informačního systému evidence občanských průkazů jehož správcem je Ministerstvo vnitra a to prostřednictvím personalizované části portálu veřejné správy tzv. portálu občana a bude z nich vytvořen datový balík (tj. digitální stejnopis) který je dále přenášen do aplikace eDoklady aktivované subjektem údajů.

K poskytnutí osobních údajů do aplikace eDoklady a jejich uložení na mobilním zařízení subjektu údajů dojde jednak:

  • jednorázově v okamžiku instalace resp. aktivace aplikace subjektem údajů a následně
  • periodicky bude umožněno alespoň jednou denně nově vystavený aktuální digitální stejnopis průkazu uložit na mobilní zařízení subjektu údajů.

V případě že subjekt údajů aplikaci eDoklady ze svého zařízení odinstaluje dojde i k výmazu uložených dat z jeho mobilního zařízení.

Přehled funkčních požadavků na operace zpracování:

  • Shromáždění
  • Uložení
  • Poskytnutí dat či jejich části

Popis účelů

  • Prokázání identity občana
  • Prokázání věku občana
  • Prokázání jiné skutečnosti

Seznam zpracovávaných osobních údajů

Občan (fyzická osoba a držitel dokladu):

  • číslo dokladu
  • příjmení
  • jméno (příp. jména)
  • titul
  • rodné číslo
  • datum narození
  • místo narození
  • pohlaví
  • rodinný stav nebo registrované partnerství
  • státní občanství
  • adresa místa trvalého pobytu
  • datum vydání
  • platnost do
  • vydal
  • úřední záznamy – nezkrácená podoba jména nebo složeného příjmení držitele občanského průkazu jsou-li v rámci údajů o držiteli občanského průkazu uvedeny ve zkrácené podobě

Ověřovatel (samostatná fyzická osoba nebo zaměstnanec ověřujícího subjektu):

  • identifikace čtecího zařízení (může být vyplněno např. jméno a příjmení, interní identifikátor atp., záleží na volbě správce organizace)
  • organizace (nebo jméno fyzické či podnikající fyzické osoby)
  • identita JIP/KAAS (CAAIS)
  • ISDS PIN
  • lokální účet (e-mail ověřovatele)

Doba uchování OÚ: Do provedení výmazu aplikace či revokace údajů v aplikaci

Popis subjektů údajů: Občan prokazující se digitální identitou a fyzická osoba či zaměstnanec organizace který provádí ověření identity

Popis příjemců OÚ způsob užití: Orgány veřejné moci, vybrané soukromé subjekty. Není předáváno mimo EU.

Předání dat subjektu údajů ověřujícímu subjektu

V případě že se subjekt údajů rozhodne při prokázání totožnosti (nebo jiné skutečnosti) třetí straně (ověřujícímu subjektu) využít aplikaci eDoklady a prokázat svou totožnost (nebo jiné skutečnosti) jejím prostřednictvím budou jeho osobní údaje v rozsahu který subjekt údajů odsouhlasí v rámci aplikace odeslány do čtecí aplikace využívané ověřujícím subjektem (ten vůči komu lze prokázat totožnost nebo jinou skutečnost digitálním stejnopisem průkazu). Ověřující subjekt musí vyrozumět Digitální a informační agenturu prostřednictvím k tomu určené elektronické aplikace dle § 9f Zákona aby mohl aplikaci pro ověřování využívat přičemž ověřujícím může být rovněž fyzická osoba. Ověřující subjekty budou tak činit prostřednictvím aplikace pro vyrozumění a to s využitím přístupu se zaručenou identitou.

Výše uvedený souhlas udělený subjektem v rámci aplikace eDoklady bude vždy obsahovat následující informace:

  • v jakém rozsahu budou údaje ověřujícímu subjektu poskytnuty (seznam zobrazovaných/předávaných údajů)
  • jakým způsobem budou údaje ověřujícímu subjektu poskytnuty (zobrazit/ použití údajů pro další zpracování případně pořízení kopie údajů)
  • kdo o údaje žádá – tj. identita ověřujícího subjektu (PČR MěÚ restaurace) – konkrétní subjekt (např. MěÚ Kolín).

Ověřující subjekt bude subjekt údajů informovat za jakým účelem budou údaje ověřujícímu subjektu poskytnuty (založení účtu v bance kontrola PČR půjčení lyží).

Subjekt údajů tedy prostřednictvím aplikace udílí správci údajů souhlas s předáním svých osobních údajů v daném rozsahu a formátu dalšímu správci údajů (ověřujícímu subjektu). Rozsah předávaných osobních údajů primárně definuje ověřující subjekt a následně aktivně potvrzuje subjekt údajů – prokazující. Ověřující subjekt je samostatným správcem osobních údajů a jako takový sám odpovídá za zákonnost dalšího jím prováděného zpracování získaných osobních údajů.

Předání osobních údajů subjektu údajů ověřujícímu subjektu může mít 2 podoby:

a) Zobrazení pro účely náhledu na údaje – ve čtečce ověřujícího subjektu se zobrazí předané údaje (např. věková hranice 18+ nebo konkrétní údaje dle výběru) ověřovatel s nimi nemůže dále nakládat (žádné kopírování / ukládání / screeny obrazovky apod.) – jedná se čistě o zobrazení údajů k náhledu.

b) Předání případně pořízení kopie předaných údajů které byly ze strany subjektu údajů odsouhlaseny k dalšímu zpracování - tzn. dojde k možnému uložení dat pro účely vložení údajů do informačního systému ověřujícího; vztahuje se na využití funkce zkopírovat clipboardem a lokálně uložit případně k uložení kopie předaných dat (formát PDF nebo .cbor). Tento souhlas není udílen Digitální a informační agentuře ale přímo ověřujícímu subjektu jako správci osobních údajů který je také odpovědný za zákonnost formulace souhlasu a dalších náležitostí zpracování.

K poskytnutí osobních údajů ověřujícímu subjektu dojde jednorázově případné uložení údajů u ověřujícího subjektu je v jeho gesci neboť je samostatným správcem osobních údajů (viz výše).

Přehled funkčních požadavků na operace zpracování:

  • Předání dat ověřující straně

Popis účelů

  • Prokázání identity občana
  • Prokázání věku občana
  • Prokázání jiné skutečnosti

Seznam zpracovávaných osobních údajů

Občan (fyzická osoba a držitel dokladu):

  • číslo dokladu
  • příjmení
  • jméno (příp. jména)
  • titul
  • rodné číslo
  • datum narození
  • místo narození
  • pohlaví
  • rodinný stav nebo registrované partnerství
  • státní občanství
  • adresa místa trvalého pobytu
  • datum vydání
  • platnost do
  • vydal
  • úřední záznamy – nezkrácená podoba jména nebo složeného příjmení držitele občanského průkazu jsou-li v rámci údajů o držiteli občanského průkazu uvedeny ve zkrácené podobě

Ověřovatel (samostatná fyzická osoba nebo zaměstnanec ověřujícího subjektu):

  • organizace (nebo jméno fyzické či podnikající fyzické osoby)

Doba uchování OÚ: Dle právního předpisu a vykonávané agendy ověřovatelem.

Popis subjektů údajů: Občan prokazující se digitální identitou a fyzickou osobu či zaměstnanec organizace který provádí ověření identity.

Popis příjemců OÚ způsob užití: Orgány veřejné moci, vybrané soukromé subjekty. Není předáváno mimo EU.

Logování aktivit v ekosystému aplikace eDoklady

Rozsah údajů které budou předmětem logování o uživateli aplikace eDoklady je následující:

  • SDK (Software development kit) Informace (jméno SDK verze SDK balíčky integrace)
  • časové údaje (čas odeslání časové údaje o aktivitě nebo události)
  • Informace pro sledování události (identifikátor transakce veřejný klíč verze aplikace prostředí transakce typ události status)
  • Identifikátor události
  • Kontext aplikace (verze sestavení identifikátor čas spuštění paměť aplikace hash aplikace název aplikace)
  • Kontext zařízení (čas spuštění počet procesorů velikost úložiště volná paměť Model ID rodina zařízení výška a šířka obrazovky jazyková lokalizace úroveň baterie model architektura nabíjení aj.)
  • Kulturní kontext (jazyk časové pásmo kalendář formát času)
  • Zdroj transakce ID uživatele (pouze v rámci sledování událostí nebo problémů které se v aplikaci vyskytují)
  • Stacktrace (sekvence nebo metod až do bodu kdy došlo k chybě)
  • Breadcrumbs (záznamy o událostech než došlo k chybě – časová známka kategorie úroveň typy událostí data pro událostí např. URL http požadavky)
  • Provozní a bezpečnostní události (síťová identifikace zařízení identifikace aktiv přihlašování odhlašování činnosti administrátorů kritická a chybová hlášení přístupy k záznamům aj.)

Rozsah údajů které budou předmětem logování o ověřujícím subjektu je následující:

  • provozní a bezpečnostní data odpovídající minimálnímu požadavku dle § 22 odst. 2 vyhlášky č. 82/2018 Sb. o kybernetické bezpečnosti v aktuálním znění

Data o chybách jsou zpracovávány vždy když dojde k zachycení chyby v aplikaci. Chyby jsou obvykle odesílány okamžitě jakmile jsou zaznamenány.

Odesílání událostí výkonu provozních a bezpečnostních událostí jsou obvykle odesílány v pravidelných intervalech.

Přehled funkčních požadavků na operace zpracování:

  • Sběr
  • Uložení
  • Korelace
  • Kombinování
  • Vyhodnocení
  • Archivace

Popis účelů

  • Zajištění naplnění požadavků zákona o kybernetické bezpečnosti
  • Zajištění provozu a dohledu informačního systému

Seznam zpracovávaných osobních údajů:

  • Proces loginu
  • Pseudonym
  • IP adresa
  • MAC adresa
  • Datum a čas
  • Služba se kterou proběhla iterace uživatele
  • ID uživatele

Doba uchování OÚ: 12 měsíců

Popis subjektů údajů: Uživatel systému

Popis příjemců OÚ způsob užití: Správce Zpracovatel. Není předáváno mimo EU.

Uložení historie na mobilním zařízení subjektu údajů

Pokud má uživatel zájem o ukládání historie může si tuto funkci sám inicializovat ve své mobilní aplikaci eDoklady. Po zapnutí ukládání historie se po každém prokázání do paměti telefonu uloží záznam který mapuje základní údaje ohledně prokázání (čas ověřující subjekt požadované položky k ověření a případně k uchování). Daná data může uživatel kdykoliv smazat z telefonu či uchování historie vypnout. Údaje o historii nemají žádnou expirační dobu. Tato data jsou v šifrované podobě uložena v telefonu a neopustí dané zařízení.

Přehled funkčních požadavků na operace zpracování:

  • Uložení historie
  • Náhled na historii

Popis účelů

  • Uchování historie
  • Prokázání identity občana

Seznam zpracovávaných osobních údajů:

  • Prokázání: čas ověřující subjekt požadované položky k ověření a případně k uchování

Doba uchování OÚ: Do provedení výmazu subjektem údajů

Popis subjektů údajů: Občan prokazující se digitální identitou

Popis příjemců OÚ způsob užití: Uživatel aplikace pro zobrazení historie použití. Není předáváno mimo EU.

5. Příjemci vašich osobních údajů

Ověřujícími subjekty budou jednak subjekty veřejnoprávní ale i soukromoprávní subjekty na které se vztahuje povinnost ověřovat totožnost fyzických osob nebo jiné skutečnosti předložením průkazu (např. AML povinné subjekty) a na dobrovolné bázi pak také další soukromoprávní subjekty (např. půjčovny sportovního vybavení prodejci alkoholu atd.). Speciální důraz při designu aplikace eDoklady je přitom kladen na zajištění souladu s pravidly eGovernmentu kybernetické bezpečnosti a ochrany osobních údajů. V rámci bezpečnostních opatření je zajištěno že přístup k uloženým údajům bude mít jen aplikace eDoklady. Poskytování těchto údajů bude pouze oprávněné (ověřující) osobě která je zapsána v seznamu ověřujících osob a to zabezpečeným způsobem a to včetně zajištění možnosti logování poskytovaných dat na straně subjektu údajů aj.

6. Automatizované rozhodování

DIA jako správce vašich osobních údajů neprovádí automatizované rozhodování a profilování.

7. Jaká jsou vaše práva

Jako subjekt údajů máte právo od DIA jako správci osobních údajů požadovat:

  • vědět jaké všechny osobní údaje o vás shromažďujeme
  • požadovat přenositelnost osobních údajů
  • požadovat omezení zpracování osobních údajů
  • být informován o závažném incidentu který se dotýká vašich osobních údajů.

Informace vám budou poskytovány výhradně na základě prokazatelného ověření totožnosti. Informace jsou poskytovány bezplatně. Lhůta na vyřízení vaší žádosti je 30 dnů. V případě požadavku na plnění vašich práv se prosím obracejte na Pověřence pro ochranu osobních údajů kterým je Bc. Eva Lipovská, e-mail: gdpr@dia.gov.cz.

Máte právo podat stížnost u Úřadu pro ochranu osobních údajů jako dozorového orgánu

IČ: 70837627

Adresa: Pplk. Sochora 27 170 00 Praha 7

E-mail: posta@uoou.cz.

8. Použití cookieless Matomo pro analýzu návštěvnosti

Aby se vám naše webové stránky co nejlépe používaly, potřebujeme shromažďovat a zpracovávat určité informace. V souvislosti s vaším používáním služeb na stránkách Portál veřejné správy, Chcidatovku, Design System, Průvodce životními událostmi, Digitální transformace, PMA3, Landing page Portálu občana a eDoklady to může zahrnovat údaje o jejich používání.

V případě že jeden z těchto webů navštívíte, uložíme si:

  • web ze kterého jste nás navštívili
  • části našeho webu které navštívíte
  • datum a dobu trvání vaší návštěvy
  • vaši anonymizovanou IP adresu
  • informace ze zařízení (typ zařízení operační systém rozlišení obrazovky jazyk země ve které se nacházíte a typ webového prohlížeče) použitého při návštěvě
  • další analytická data.

Tyto údaje o používání zpracováváme v Matomo Analytics pro statistické účely abychom zlepšili naše stránky a abychom znemožnili jakékoli zneužití.

9. Odmítnutí analyzování webových stránek

Můžete se rozhodnout zabránit tomuto webu ve shromažďování a analýze akcí které zde provedete. Pokud tak učiníte, ochráníte své soukromí ale také zabráníte vlastníkovi poučit se z vašich akcí a vytvořit lepší prostředí pro vás i ostatní uživatele.

V případě že se analýzu stránek níže zamítnete bude vám uložena do prohlížeče cookie mtm_consent_removed abychom si vaši volbu zapamatovali.

Analýzu stránek můžete zamítnout nebo zpětně akceptovat kliknutím na políčko níže.

Načítá se tlačítko pro vyloučení.