Podmínky používání
Informace o zpracování osobních údajů v rámci mobilní aplikace čTečka (EU Digital COVID Certificate Verifier app)
V tomto dokumentu naleznete informace o zpracování osobních údajů v rámci mobilní aplikace čTečka, ověřovací aplikace Digitálních COVID certifikátů EU vydané Ministerstvem zdravotnictví České republiky. Dozvíte se zde, jaké osobní údaje zpracováváme na základě právních předpisů.
Co je Digitální COVID certifikát a jak ho získat?
Digitální COVID certifikát je potvrzení, kterým lze prokázat, že daná osoba byla očkována, prodělala nemoc COVID-19 nebo má negativní výsledek AG nebo PCR testu. Účelem certifikátu je zjednodušení práva volného pohybu během pandemie COVID-19 v rámci zemí EU a při národních protiepidemických opatřeních, kdy je vyžadováno potvrzení o jedné z výše uvedených situací (například při návštěvě provozoven služeb a společenských akcí).
Digitální COVID certifikát je založen na standardu EU a umožňuje mezinárodní použití certifikátů. Základem Digitálního COVID certifikátu je QR kód, který obsahuje elektronicky čitelné informace. QR kód zároveň obsahuje elektronický podpis vydávající země, který umožňuje ověřit pravost certifikátu.
Certifikát vystavují jednotlivé členské státy EU, nebo jimi pověřené organizace. V České republice lze certifikát získat na Očkovacím portále https://ocko.uzis.cz, na očkovacích místech, odběrových místech AG testů, laboratořích zpracovávajících PCR testy nebo u praktických lékařů.
K čemu slouží aplikace čTečka?
Aplikace čTečka je provozována v souladu s právem EU a ČR a usnadňuje volný pohyb osob a přístup ke službám a akcím během pandemie COVID-19.
Aplikace slouží osobám oprávněným na základě nařízení EU, mimořádných opatření MZ ČR nebo na dobrovolné bázi ke kontrole a ověření platnosti certifikátu ostatních osob.
Aplikace umožňuje kontrolu EU Digitálních certifikátů vydaných všemi členskými státy EU a podporuje zobrazení informací z původních očkovacích certifikátů České republiky.
Jaké údaje Digitální COVID certifikát obsahuje?
Digitální COVID certifikát obsahuje pouze základní identifikační informace držitele – jméno, příjmení, datum narození – neobsahuje čísla dokladů, čísla pojištění ani rodná čísla.
Certifikát obsahuje detailní informace o provedeném očkování nebo testu – datum, místo očkování nebo testu, typ a výrobce vakcíny nebo testu, počet a data aplikace dávek vakcíny, výsledek testu. Certifikát o prodělaném onemocnění COVID obsahuje datum prvního pozitivního PCR testu.
Certifikát dále obsahuje název vydávající organizace a státu, datum vydání a jedinečný identifikátor.
EU Digitální certifikát je koncipován jako sada faktických informací, které si ověřující strana může vyhodnotit na základě pravidel příslušné země. Nejde tedy o certifikát anonymní, ani o “jednoduchou ANO/NE informaci”.
Kdo a jak používá Digitální COVID certifikát?
Hlavními aktéry procesů vytváření a použití Digitálního COVID certifikátu jsou
- Vydavatel certifikátu, Ministerstvo zdravotnictví České republiky. Spravuje informační systémy testování a očkování proti COVID-19, ve kterých jsou shromažďovány zdrojové informace pro certifikáty. Certifikát předává příslušnému držiteli důvěryhodnou cestou.
- Držitel certifikátu, osoba, o které certifikát vypovídá a jejíž osobní a zdravotní informace obsahuje. Po získání certifikátu je další využií certifikátu a osobních údajů v něm obsažených, včetně poskytnutí certifikátu ověřujícím osobám ke kontrole plně v rukách držitele certifikátu.
- Ověřovatel certifikátu je osoba, která je osobám oprávněná na základě nařízení EU, mimořádných opatření MZ ČR nebo na dobrovolné bázi ke kontrole a ověření platnosti certifikátu ostatních osob.
Vydavatelem Digitálního COVID certifikátu může být také jiný členský stát EU a držitelem certifikátu osoba testovaná nebo očkovaná v jiném členském státě EU.
Aplikace čTečka je veřejně poskytována Ministerstvem zdravotnictví jako pomocný nástroj pro ověřovatele certifikátu.
Vztah mezi držitelem certifikátu a ověřovatelem certifikátu je určen nařízením EU, mimořádnými opatřeními MZ ČR nebo je na bázi dobrovolné spolupráce. Držitel certifikátu typicky chce využít některých služeb, navštívit akci nebo překročit hranice a využít přitom výjimku, stanovenou v nařízení EU nebo mimořádných opatřeních MZ ČR. Na základě svého rozhodnutí prezentuje držitel ověřovateli svůj certifikát včetně osobních a zdravotních údajů v něm obsažených. Ověřovatel vyhodnotí, zda držitel certifikátu vyhovuje podmínkám příslušných opatření.
Vydávání Digitálních COVID certifikátů
Zdrojem osobních údajů v Digitálních COVID certifikátech jsou informační systémy Ministerstva zdravotnictví a ÚZIS, určené pro řízení testování proti COVID-19 (eŽádanka) a očkování proti COVID-19 (ISIN modul OČKO). Testované nebo očkované osoby poskytují osobní data pro zpracování v těchto systémech.
Správcem osobních údajů v Digitálních COVID certifkátech je Ministerstvo zdravotnictví České republiky, Palackého náměstí 4, P. O. BOX 81, 128 01 Praha 2, IČO: 00024341, který tak činí při plnění úkolů stanovených mu zákony, nebo v případech, kdy tak stanoví právní předpis, nebo pokud je to třeba k uplatnění práv a plnění povinností vyplývajících pro ministerstvo ze zákonů.
Osobní údaje jsou zpracovávány v rámci infrastruktury Ministerstva zdravotnictví ČR, kterou pro nás provozuje zpracovatel Ústav zdravotnických informací a statistiky ČR (dále jen ÚZIS). Kromě ÚZIS je integrátorem vybraných systémů Národní agentura pro komunikační a informační technologie, s.p. (dále jen NAKIT).
ÚZIS je provozovatelem Integrovaného infomačního systému hygienické služby IISHS, jehož součástí je ISIN. Tyto infomační systémy jsou provozovány v unikátním prostředí resortních zdravotnických registrů, jehož základní komponenta Jednotná technologická platforma je součástí kritické infrastruktury státu dle zákona č.181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZoKB“). Prostředí resortních zdravotnických registrů umožňuje standardizovaný a snadný vývoj nových komponent registrů v souladu s požadavky ZoKB a ochrany osobních údajů. Vakcinační modul OČKO byl navržen jako logické rozšíření modulu Informačního systému infekčních nemocí (ISIN) a centrálního úložiště dat, modul byl vytvořen zejména pro zpřístupnění výsledků očkování praktickým lékařům, hygienickým stanicím a pro statistické zpracování dat pak Ministerstvu zdravotnictví.
K údajům má přístup vždy jen několik k tomu pověřených a oprávněných osob, které jsou zavázány povinností mlčenlivosti, veškeré přístupy a operace s těmito daty jsou zabezpečeny a zaznamenávány. Dalším osobám je zpřístupňujeme pouze, pokud jsme tak povinni učinit na základě právního předpisu. Za účelem dodržení všech našich výše uvedených právních povinností, jsou Vaše údaje zpracovávány rovněž externími dodavateli IT služeb (internetové připojení, servis výpočetní a komunikační techniky apod.), kteří jsou zavázaní povinností mlčenlivosti a musí poskytovat maximální záruky o technickém a organizačním zabezpečení ochrany osobních údajů.
Osobní údaje v certifikátech zpracováváme transparentně, korektně a v souladu s právními předpisy, kterými jsou zejména:
- Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů),
- Nařízení Evropského parlamentu a Rady (EU) č. 2021/0068 o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, testování a uzdravení za účelem usnadnění volného pohybu během pandemie COVID-19 (EU Digital COVID Certificate),
- zákon č. 110/2019Sb., o zpracování osobních údajů a
- zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů a souvisejících právních předpisů – sněmovní tisk 1225/0.
Komu a jak Ministerstvo zdravotnictví Digitálních COVID certifikátech předává?
Ministerstvo zdravotnictví předává Digitální COVID certifikáty pouze osobám, o kterých jsou v certifikátech obsaženy informace, a to jedním z následujících způsobů
- očkovací portál https://ocko.uzis.cz po autentizaci prostřednictvím NIA nebo jednorázovou SMS
- stažení do mobilní aplikace Tečka po autentizaci prostřednictvím NIA nebo jednorázovou SMS (budoucí možnost)
- e-mailem
- na místě na očkovacím místě, odbrovém místě AG testů nebo v laboratoři PCR testů
- na místě u praktického lékaře
Tím se osoba stává držitelem certifikátu a další nakládání s certifikátem je plně v jejích rukách.
Jak aplikace čTečka pracuje s údaji z Digitálniho COVID certifikátu?
Aplikace načte QR kód certifikátu kamerou mobilního telefonu.
Aplikace zobrazuje ověřující osobě rychlý náhled na základní informace o certifikátu – základní identifikační údaje držitele certifikátu a stav platný/neplatný – a dále na vyžádání kompletní sadu informací uvedených v certifikátu.
Aplikace neuchovává ani nikam neodesílá osobní ani zdravotní údaje kontrolovaných osob, pouze je dočasně zobrazuje na obrazovce mobilního telefonu.
Jaké další údaje aplikace čTečka zpracovává?
Kromě údajů obsažených v Digitálních COVID certifikátech aplikace čTečka dále pracuje s veřejnými informacemi – seznamem podpisových klíčů členských států EU a definicei validačních pravidel jednotlivých členských států EU.
Abychom zajistili funkčnost aplikace, pracuje i s údaji o jejím fungování (např. záznamy o pádech aplikace a používání aplikace) a používá k tomu standardní nástroje (Firebase Crashlytics, Firebase RemoteConfig a Google Analytics) od společnosti Google. Data odesílaná aplikací do těchto služeb neobsahují identifikátory vlastníka mobilního telefonu ani mobilního telefonu (jako je například tel. číslo, IMEI, AdvertisingID) a zpracováváme je pouze za účelem vyhledávání a odstraňování kritických chyb, evidenci aktualizací aplikace a statistického zmapování používání aplikace uživateli. Aplikace nezná osobní údaje uživatele a tato telemetrická data tak nelze žádným způsobem navázat na jeho osobu. S takto získanými údaji pracujeme maximálně po dobu 180 dní.
Jaká má ověřující osoba práva při zpracování osobních údajů v aplikaci čTečka?
Aplikace čTečka nezpracovává osobní údaje uživatele aplikace čTečka, pouze osobní údaje kontrolovaných osob z Digitálních COVID certifikátů.
Právo na odvolání souhlasu, Právo na přístup, Právo na opravu, Právo na výmaz, Právo na omezení zpracování jsou edy v tomto kontextu irelevantní.
Právo podat stížnost. Toto právo můžete uplatnit zejména v případě, že se domníváte, že Vaše osobní údaje zpracováváme neoprávněně nebo v rozporu s platnými právními předpisy.
Jak můžete uplatnit jednotlivá práva, kdo zpracování Vašich osobních údajů bude dozorovat a na koho se můžete v případě nejasností ohledně zpracování osobních údajů obrátit?
Ve všech záležitostech souvisejících se zpracováním Vašich osobních údajů, ať již jde o dotaz, uplatnění práva, podání stížnosti či cokoliv jiného, se můžete obracet na našeho pověřence pro ochranu osobních údajů Ministerstva zdravotnictví ČR prostřednictvím emailové adresy oia@mzcr.cz, nebo písemně na adresu Pověřenec pro ochranu osobních údajů, Ministerstvo zdravotnictví ČR, Palackého nám. 4, P. O. BOX 81, 128 01 Praha 2.
Stížnost proti námi prováděnému zpracování osobních údajů můžete podat u Úřadu pro ochranu osobních údajů, který sídlí na adrese Pplk. Sochora 27, 170 00 Praha 7.