Podmínky používání
Informace o zpracování osobních údajů
v rámci mobilní aplikace Tečka
(EU Digital COVID Certificate Wallet app)
V tomto dokumentu naleznete informace o zpracování osobních údajů v rámci mobilní aplikace Tečka, prezentační aplikace Digitálních COVID certifikátů EU vydané Ministerstvem zdravotnictví České republiky. Dozvíte se zde, jaké osobní údaje zpracováváme na základě právních předpisů.
Co je Digitální COVID certifikát a jak ho získat?
Digitální COVID certifikát je potvrzení, kterým lze prokázat, že daná osoba byla očkována, prodělala nemoc COVID-19 nebo má negativní výsledek AG nebo PCR testu. Účelem certifikátu je zjednodušení práva volného pohybu během pandemie COVID-19 v rámci zemí EU a při národních protiepidemických opatřeních, kdy je vyžadováno potvrzení o jedné z výše uvedených situací (například při návštěvě provozoven služeb a společenských akcí).
Digitální COVID certifikát je založen na standardu EU a umožňuje mezinárodní použití certifikátů. Základem Digitálního COVID certifikátu je QR kód, který obsahuje elektronicky čitelné informace. QR kód zároveň obsahuje elektronický podpis vydávající země, který umožňuje ověřit pravost certifikátu.
Certifikát vystavují jednotlivé členské státy EU, nebo jimi pověřené organizace. V České republice lze certifikát získat na Očkovacím portále https://ocko.uzis.cz, na očkovacích místech, odběrových místech AG testů, laboratořích zpracovávajících PCR testy nebo u praktických lékařů.
K čemu slouží aplikace Tečka?
Aplikace Tečka je provozována v souladu s právem EU a ČR a usnadňuje volný pohyb osob a přístup ke službám a akcím během pandemie COVID-19.
Aplikace umožňuje nahrát a uložit certifikáty z ocko.uzis.cz a prezentovat je pro umožnění přechodu hranic, přístupu ke službám nebo na akce.
- Přihlášení prostřednictvím NIA – poprvé, posléze pouze prostřednictvím otisku prstu, obličeje nebo PIN
- Alternativní přihlášení jednorázovou SMS (stejně jako na ocko.uzis.cz) – poprvé, posléze pouze prostřednictvím prstu, obličeje nebo PIN
- Podpora zobrazení certifikátů více osob
- Načtení aktuálních certifikátů z ocko.uzis.cz
- Načtení certifikátů z papírového nebo zobrazeného QR kódu, vlastních nebo dalších osob
- Konverze původního očkovacího certifikátu do EU formátu
- Zobrazení certifikátů s vyhodnocením platnosti podle validačních pravidel. Probíhá offline.
- Zobrazení shrnutí a detailu informací z certifikátu
- Stahování konfigurace – podpisových klíčů (země EU) a validačních pravidel (pouze ČR) ze serveru ÚZIS. Probíhá online jednou za 24 hodin.
Osobní údaje držitelů Digitálních COVID Certifikátů jsou zpracovávány za účelem jejich kontroly osobami oprávněným na základě nařízení EU, mimořádných opatření MZ ČR nebo na dobrovolné bázi.
Jaké údaje Digitální COVID certifikát obsahuje?
Digitální COVID certifikát obsahuje pouze základní identifikační informace držitele – jméno, příjmení, datum narození – neobsahuje čísla dokladů, čísla pojištění ani rodná čísla.
Certifikát obsahuje detailní informace o provedeném očkování nebo testu – datum, místo očkování nebo testu, typ a výrobce vakcíny nebo testu, počet a data aplikace dávek vakcíny, výsledek testu. Certifikát o prodělaném onemocnění COVID obsahuje datum prvního pozitivního PCR testu.
Certifikát dále obsahuje název vydávající organizace a státu, datum vydání a jedinečný identifikátor.
EU Digitální certifikát je koncipován jako sada faktických informací, které si ověřující strana může vyhodnotit na základě pravidel příslušné země. Nejde tedy o certifikát anonymní, ani o “jednoduchou ANO/NE informaci”.
Kdo a jak používá Digitální COVID certifikát?
Hlavními aktéry procesů vytváření a použití Digitálního COVID certifikátu jsou
- Vydavatel certifikátu, Ministerstvo zdravotnictví České republiky. Spravuje informační systémy testování a očkování proti COVID-19, ve kterých jsou shromažďovány zdrojové informace pro certifikáty. Certifikát předává příslušnému držiteli důvěryhodnou cestou.
- Držitel certifikátu, osoba, o které certifikát vypovídá a jejíž osobní a zdravotní informace obsahuje. Po získání certifikátu je další využií certifikátu a osobních údajů v něm obsažených, včetně poskytnutí certifikátu ověřujícím osobám ke kontrole plně v rukách držitele certifikátu.
- Ověřovatel certifikátu je osoba, která je osobám oprávněná na základě nařízení EU, mimořádných opatření MZ ČR nebo na dobrovolné bázi ke kontrole a ověření platnosti certifikátu ostatních osob.
Vydavatelem Digitálního COVID certifikátu může být také jiný členský stát EU a držitelem certifikátu osoba testovaná nebo očkovaná v jiném členském státě EU.
Aplikace Tečka je veřejně poskytována Ministerstvem zdravotnictví jako pomocný nástroj pro držitele certifikátu.
Vztah mezi držitelem certifikátu a ověřovatelem certifikátu je určen nařízením EU, mimořádnými opatřeními MZ ČR nebo je na bázi dobrovolné spolupráce. Držitel certifikátu typicky chce využít některých služeb, navštívit akci nebo překročit hranice a využít přitom výjimku, stanovenou v nařízení EU nebo mimořádných opatřeních MZ ČR. Na základě svého rozhodnutí prezentuje držitel ověřovateli svůj certifikát včetně osobních a zdravotních údajů v něm obsažených. Ověřovatel vyhodnotí, zda držitel certifikátu vyhovuje podmínkám příslušných opatření.
Vydávání Digitálních COVID certifikátů
Zdrojem osobních údajů v Digitálních COVID certifikátech jsou informační systémy Ministerstva zdravotnictví a ÚZIS, určené pro řízení testování proti COVID-19 (eŽádanka) a očkování proti COVID-19 (ISIN modul OČKO). Testované nebo očkované osoby poskytují osobní data pro zpracování v těchto systémech.
Správcem osobních údajů v Digitálních COVID certifkátech je Ministerstvo zdravotnictví České republiky, Palackého náměstí 4, P. O. BOX 81, 128 01 Praha 2, IČO: 00024341, který tak činí při plnění úkolů stanovených mu zákony, nebo v případech, kdy tak stanoví právní předpis, nebo pokud je to třeba k uplatnění práv a plnění povinností vyplývajících pro ministerstvo ze zákonů.
Osobní údaje jsou zpracovávány v rámci infrastruktury Ministerstva zdravotnictví ČR, kterou pro nás provozuje zpracovatel Ústav zdravotnických informací a statistiky ČR (dále jen ÚZIS). Kromě ÚZIS je integrátorem vybraných systémů Národní agentura pro komunikační a informační technologie, s.p. (dále jen NAKIT).
ÚZIS je provozovatelem Integrovaného infomačního systému hygienické služby IISHS, jehož součástí je ISIN. Tyto infomační systémy jsou provozovány v unikátním prostředí resortních zdravotnických registrů, jehož základní komponenta Jednotná technologická platforma je součástí kritické infrastruktury státu dle zákona č.181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZoKB“). Prostředí resortních zdravotnických registrů umožňuje standardizovaný a snadný vývoj nových komponent registrů v souladu s požadavky ZoKB a ochrany osobních údajů. Vakcinační modul OČKO byl navržen jako logické rozšíření modulu Informačního systému infekčních nemocí (ISIN) a centrálního úložiště dat, modul byl vytvořen zejména pro zpřístupnění výsledků očkování praktickým lékařům, hygienickým stanicím a pro statistické zpracování dat pak Ministerstvu zdravotnictví.
K údajům má přístup vždy jen několik k tomu pověřených a oprávněných osob, které jsou zavázány povinností mlčenlivosti, veškeré přístupy a operace s těmito daty jsou zabezpečeny a zaznamenávány. Dalším osobám je zpřístupňujeme pouze, pokud jsme tak povinni učinit na základě právního předpisu. Za účelem dodržení všech našich výše uvedených právních povinností, jsou Vaše údaje zpracovávány rovněž externími dodavateli IT služeb (internetové připojení, servis výpočetní a komunikační techniky apod.), kteří jsou zavázaní povinností mlčenlivosti a musí poskytovat maximální záruky o technickém a organizačním zabezpečení ochrany osobních údajů.
Osobní údaje v certifikátech zpracováváme transparentně, korektně a v souladu s právními předpisy, kterými jsou zejména:
- Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů),
- Nařízení Evropského parlamentu a Rady (EU) č. 2021/0068 o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, testování a uzdravení za účelem usnadnění volného pohybu během pandemie COVID-19 (EU Digital COVID Certificate),
- zákon č. 110/2019Sb., o zpracování osobních údajů a
- zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů a souvisejících právních předpisů – sněmovní tisk 1225/0.
Komu a jak Ministerstvo zdravotnictví Digitální COVID certifikáty předává?
Ministerstvo zdravotnictví předává Digitální COVID certifikáty pouze osobám, o kterých jsou v certifikátech obsaženy informace, a to jedním z následujících způsobů
- očkovací portál https://ocko.uzis.cz po autentizaci prostřednictvím NIA nebo jednorázovou SMS
- stažení do mobilní aplikace Tečka po autentizaci prostřednictvím NIA nebo jednorázovou SMS
- e-mailem
- na místě na očkovacím místě, odbrovém místě AG testů nebo v laboratoři PCR testů
- na místě u praktického lékaře
Tím se osoba stává držitelem certifikátu a další nakládání s certifikátem je plně v jejích rukách.
Jak aplikace Tečka pracuje s údaji z Digitálniho COVID certifikátu?
Aplikace načítá QR kódy buď z ocko.uzis.cz po autentizaci uživatele (možno na jednom mobilu zalogovat i více uživatelů) nebo kamerou mobilního telefonu a ukládá do paměti mobilu.
Aplikace zobrazuje seznam držitelů uložených certifikátů, pro každého z nich nejnovější verze pro každý typ certifikátu – očkování, prodělaná nemoc, test AG, test PCR. Jednotlivé uložené certifikáty umožňuje zobrazit (pro účely ověření) ve formě QR kódu, základních identifikačních údajů držitele certifikátu a stav platný/neplatný – a dále na vyžádání kompletní sadu informací uvedených v certifikátu.
Aplikace udržuje pouze nejnovější verzi každého typu certifikátu, ukládá je v šifrovaném úložišti a přístup k nim chrání rozpoznáváním obličeje, otiskem prstu nebo PINem.
Manipulace s osobními a zdravotními údaji držitelů certifikátu v aplikaci Tečka probíhá výlučně na pokyn a se souhlasem uživatele aplikace, po autentizaci PINem, rozpoznáním obličeje nebo otiskem prstu.
- dočasné zobrazení na obrazovce mobilního telefonu pro účely kontroly
- předání certifikátu externí službě na webu (např. ticketové a registrační weby) prostřednictvím HTTPS protokolu, přičemž uživateli je zobrazena doména externí služby a tato doména je ověřena proti TLS certifikátu
- předání certifikátu jiné aplikaci na mobilním telefonu ve formě PDF certifikátu, QR kódu nebo dat
V obou případech předání certifikátu je uživateli zobrazeno varování, jsou zobrazena odesílaná data a je vyžadováno explicitní potvrzení uživatele.Při odinstalaci aplikace jsou všechna její data vymazána.
Jaké další údaje aplikace Tečka zpracovává?
Kromě údajů obsažených v Digitálních COVID certifikátech aplikace Tečka dále pracuje s veřejnými informacemi – seznamem podpisových klíčů členských států EU a definicei validačních pravidel jednotlivých členských států EU.
Abychom zajistili funkčnost aplikace, pracuje i s údaji o jejím fungování (např. záznamy o pádech aplikace a používání aplikace) a používá k tomu standardní nástroje (Firebase Crashlytics, Firebase RemoteConfig a Google Analytics) od společnosti Google. Data odesílaná aplikací do těchto služeb neobsahují identifikátory vlastníka mobilního telefonu ani mobilního telefonu (jako je například tel. číslo, IMEI, AdvertisingID) a zpracováváme je pouze za účelem vyhledávání a odstraňování kritických chyb, evidenci aktualizací aplikace a statistického zmapování používání aplikace uživateli. Aplikace nezná osobní údaje uživatele a tato telemetrická data tak nelze žádným způsobem navázat na jeho osobu. S takto získanými údaji pracujeme maximálně po dobu 180 dní.
Jaká práva požaduje aplikace Tečka od operačního systému vašeho mobilu?
Přístup ke kameře – pouze za účelem skenování QR kódů na základě požadavku uživatele.
Jaké má držitel certifikátů práva při zpracování osobních údajů v aplikaci Tečka?
Aplikace Tečka zpracovává osobní údaje držitelů certifikátů, kteří byli autentizováni na daném mobilním zařízení, nebo kteří poskytli QR kód svého certifikátu uživateli aplikace na daném mobilním zařízení. Vztahy a předání QR kódů nebo autentizačních informací držitelů těchto certifikátů uživateli daného mobilního zařízení jsou mimo kontrolu Ministerstva zdravotnictví a předpokládá se, že jsou na plně dobrovolné bázi (např. členové rodiny).
Právo na odvolání souhlasu, Právo na přístup, Právo na opravu, Právo na výmaz, Právo na omezení zpracování jsou realizovány možností odinstalování aplikace. Při odinstalaci aplikace jsou všechna její data vymazána.
Právo podat stížnost. Toto právo můžete uplatnit zejména v případě, že se domníváte, že Vaše osobní údaje zpracováváme neoprávněně nebo v rozporu s platnými právními předpisy.
Jak můžete uplatnit jednotlivá práva, kdo zpracování Vašich osobních údajů bude dozorovat a na koho se můžete v případě nejasností ohledně zpracování osobních údajů obrátit?
Ve všech záležitostech souvisejících se zpracováním Vašich osobních údajů, ať již jde o dotaz, uplatnění práva, podání stížnosti či cokoliv jiného, se můžete obracet na našeho pověřence pro ochranu osobních údajů Ministerstva zdravotnictví ČR prostřednictvím emailové adresy oia@mzcr.cz, nebo písemně na adresu Pověřenec pro ochranu osobních údajů, Ministerstvo zdravotnictví ČR, Palackého nám. 4, P. O. BOX 81, 128 01 Praha 2.
Stížnost proti námi prováděnému zpracování osobních údajů můžete podat u Úřadu pro ochranu osobních údajů, který sídlí na adrese Pplk. Sochora 27, 170 00 Praha 7.