Informace o zpracování osobních údajů v aplikaci eRouška 2.0 (verze 20210320)

Kdo jsme

Jsme Ministerstvo zdravotnictví ČR (dále jen “ministerstvo”) a provozujeme mobilní aplikaci eRouška (dále jen “aplikace”), která pomáhá ministerstvu a dalším orgánům ochrany veřejného zdraví při zvládání epidemie nemoci COVID-19 způsobené koronavirem SARS-CoV-2 (dále jen “COVID-19”). Tato aplikace pomocí technologie Bluetooth Low Energy (dále jen „BLE“) zaznamenává setkání s ostatními telefony s nainstalovanou aplikací eRouška.

Správcem osobních údajů je ministerstvo. Na zajištění provozu aplikace eRouška se spolu s námi podílí technický dodavatel, Národní agentura pro komunikační a informační technologie, s.p. (dále jen „NAKIT“) v roli zpracovatele osobních údajů, který postupuje pod naší kontrolou, v rámci uzavřené smlouvy a podle našich pokynů.

Aplikace eRouška je důležitou součástí systému Chytrá karanténa. Bližší informace o fungování celého systému Chytrá karanténa naleznete zde.

V rámci přeshraniční výměny informací spolupracujeme se správci obdobných aplikací jednotlivých států EU (tzv. "národních aplikací") na základě Prováděcího rozhodnutí komise (EU) 2020/1023 ze dne 15. července 2020, včetně Annexu II tohoto rozhodnutí. Společně se správci národních aplikací jednotlivých zúčastněných států, resp. jejich příslušnými orgány, jejichž seznam naleznete zde, jsme společnými správci Evropské federační brány (dále jen „EFGS“), jejímž prostřednictvím si národní aplikace vyměňují informace.

S vašimi osobními údaji pracujeme v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (dále jen “GDPR”) a v souladu se zákonem č. 110/2019 Sb., zákon o zpracování osobních údajů.

Jak to celé funguje

Včasné upozornění osob, které byly vystaveny riziku nákazy COVID-19, může významně snížit šíření této nemoci v populaci. Varování potenciálně nakažených osob může významně snížit riziko zdravotních komplikací a šíření nemoci. Většina států přistoupila k zavedení aplikací podobných aplikaci eRouška jako k jednomu z mechanismů omezení rizika šíření nákazy v širší populaci.

Celý systém funguje tak, že eRouška přes technologii BLE detekuje a ukládá do paměti identifikátory dalších telefonů s eRouškou v okolí. Když někdo onemocní, může prostřednictvím aplikace snadno varovat ostatní před možným rizikem nákazy.

Výměna informací s národními aplikacemi jiných států je rozšířením tohoto konceptu, prostřednictvím EFGS umožňuje vzájemně varovat i uživatele různých národních aplikací. Uživatelé eRoušky mohou tedy být varováni o setkání s nakaženými cizinci (uživateli ostatních národních aplikací), které potkali v cizině nebo v České republice. Zároveň umožňuje nakaženým uživatelům eRoušky varovat uživatele ostatních národních aplikací.

Proč zpracování provádíme a co nás k němu opravňuje

Účel aplikace

Mobilní aplikace eRouška pomáhá snadněji, efektivněji a rychleji upozorňovat uživatele, kteří v poslední době přišli do styku s osobami pozitivně testovanými na COVID-19 a byli přitom vystaveni vysokému riziku nákazy. Aplikaci eRouška, ani údaje z ní získané, nebudeme využívat pro jiné účely, než je samotný provoz a další rozvoj této aplikace.

Výměna informací s dalšími národními aplikacemi prostřednictvím EFGS umožňuje vzájemně varovat před rizikem nákazy uživatele národních aplikací spolupracujících států – a  to jak v případě uživatele eRoušky cestujícího do zahraničí, tak v případě uživatelů národních aplikací jiných států cestujících do ČR.

Jak jste v rámci aplikace identifikováni?

Aplikace eRouška je vyvinuta tak, aby neprováděla přímo vaši identifikaci a aby minimalizovala zpracování osobních údajů fyzických osob (dále jen „subjektů údajů“) na nejnižší možnou úroveň.

Aplikace samotná neobsahuje Vaše osobní údaje. Ministerstvo v tomto technickém řešení v rámci aplikace nemůže ztotožnit konkrétního uživatele aplikace, tedy ani Vás.

Aplikace Vám zprostředkuje informaci, že jste se v některý konkrétně určený den setkali s osobou, která byla pozitivně testována na COVID-19. Tzn., že budete za určitých okolností schopní, např. pokud jste se v daný den setkali pouze s jedinou osobou, odhadnout, kdo je tímto nakaženým. Stejné platí samozřejmě i opačně – jiný uživatel této aplikace by takto mohl ve výjimečných případech vyvodit, že tím nakaženým jste byli Vy. To je ale vlastnost aplikace, kterou nelze vyloučit, protože bez toho by aplikace nefungovala řádně a nemohla by přispět k vaší větší ochraně před COVID-19.

Ministerstvo Vás v rámci aplikace není schopno ztotožnit a ani není schopno zjistit, s kým jste se setkali. Celý systém je záměrně navržen tak, aby se naprosto minimalizovalo riziko zneužití údajů a aby všichni ti, kdo se na provozu aplikace podílejí, včetně společností Apple a Google, získali jen nezbytné množství údajů.

Z pohledu principů GDPR k identifikaci konkrétní osoby může dojít pouze nepřímo a ve velmi omezených případech – např. pomocí tzv. výběru vyčleněním z pohledu správce (recitál 26 GDPR) nebo formou zpětné reidentifikace subjektů údajů ze strany adresáta notifikace (jde o teoretickou možnost reidentifikace subjektů údajů s využitím přiměřených prostředků pro identifikaci, zejména informací o tom s kým se v inkriminované době setkal); tyto situace mohou nastat pouze v případě kombinace pseudonymizovaných údajů v aplikaci eRouška, vzájemné kombinace znalostí o procesu sdílení informací a kontextu z pohledu uživatele aplikace (správce by měl vždy uvažovat náklady a čas potřebný k takovéto identifikaci, dále dostupnou technologii v době zpracování a pravděpodobný technologický vývoj).

Právní základ zpracování

Osobní údaje zpracováváme na základě čl. 6 odst. 1 písm. e) a čl. 9 odst. 2 písm. i) GDPR jako nezbytné pro splnění úkolu prováděného ve veřejném zájmu, kterým je pověřen správce v oblasti veřejného zdraví, při ochraně před vážnými přeshraničními zdravotními hrozbami. Postupujeme při tom jako ústřední orgán státní správy, a stejně jako krajské hygienické stanice a další orgány ochrany veřejného zdraví plníme své úkoly dle zákona č. 258/2000 Sb., o ochraně veřejného zdraví a dle zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách).

Mezinárodní spolupráce v rámci EU je založena na Prováděcím rozhodnutí komise (EU) 2020/1023 ze dne 15. července 2020 a v případě odesílání klíčů nakaženého do EFGS i na základě Vašeho souhlasu podle čl. 6 odst. 1 písm. a) a podle čl. 9 odst. 2 písm. a) GDPR.

Samotná aplikace je však vždy instalována s vaším svolením, tzn. jen Vy rozhodujete, zda aplikace bude do Vašeho telefonu či jiného zařízení instalována, nebo ne. Odinstalací aplikace zajistíte, že se nadále nebudete na fungování tohoto systému podílet.

K instalaci aplikace by Vás neměl nikdo nutit, ani Váš zaměstnavatel ani např. vlastníci prostor, do nichž vstupujete.

Všechny důležité kroky použití a funkcionality aplikace – instalace/aktivace, odeslání anonymních informací o nákaze, reakce na varování o rizikovém kontatu, odeslání anonymních informací o nákaze do ostatních států EU a přijímání informací o nakažených z EU – jsou dobrovolné a probíhají výhradně na základě konkrétní akce uživatele.

Samozřejmě stále platí, že čím více osob si aplikaci nainstaluje a bude využívat, tím účinnější bude ochrana, kterou poskytuje.

Souhlas s odesláním klíčů nakaženého prostřednictvím EFGS

V případě, že máte pozitivní výsledek testu na COVID-19, je odeslání Vašich klíčů nakaženého, tj. Vašich informace o Vašem pozitivním testování na COVID-19 uživatelům ostatních národních aplikací prostřednictvím EFGS založena na samostatném souhlasu podle podle čl. 6 odst. 1 písm. a) a podle čl. 9 odst. 2 písm. a) GDPR.

Po odeslání dat o Vašem pozitivním testování již není možné souhlas odvolat, protože již bylo zahájeno jednorázové zpracování dat s tímto souhlasem související. Váš souhlas je ovšem jednorázový, tzn. v případě opakovaného pozitivního testu budete požádáni o nový souhlas s předáním, čímž je opakovaně zajištěna Vaše dobrovolnost v rámci udělování souhlasu.

S jakými údaji pracujeme a co s nimi děláme

Aplikace eRouška využívá Apple/Google Exposure Notification API (viz webové stránky společností AppleGoogle) a dodržuje všechna pravidla publikovaná společnostmi Apple a Google pro použití tohoto API. Dále uvádíme informace o rozsahu zpracovávaných údajů v jednotlivých fázích užívání aplikace eRouška.

Instalace, aktivace a deaktivace aplikace eRouška

Instalace aplikace probíhá standardním způsobem z Apple App Store nebo Google Play Store.

Při prvním spuštění po instalaci dojde k aktivaci aplikace. Při aktivaci je každé aplikaci přidělen a na serveru eRouška zaevidován náhodný unikátní identifikátor (instance aplikace) eHRID, který slouží k administrativním účelům správy nainstalovaných aplikací – např. k počítání aktivních aplikací a ochraně proti spamu při sbírání statistik o provozu. eHRID je pseudonymní identifikátor, který slouží pouze těmto účelům a není na straně serveru eRouška propojen s žádnými dalšími identifikátory Vašeho mobilu, ani s žádnými osobními identifikátory, a v případě předávání klíčů nakaženého (viz dále) ani s těmito klíči.

Pro běžný provoz (viz níže) aplikace vyžaduje souhlas se zapnutím Bluetooth a souhlas se zapnutím Oznámení o možném kontaktu, resp. Oznámení o kontaktech s nákazou (česká jména Google, resp. Apple pro Exposure Notification API). Jde o funkce operačního systému telefonu, bez jejichž aktivace není možné aplikaci eRouška používat. Na některých verzích Androidu navíc aktivace vyžaduje zapnutí Polohových služeb – eRouška je nevyužívá, ale vzhledem ke sdružení nastavení nelze zapnout Bluetooth samoztatně bez Polohových služeb.

Při odinstalování aplikace, při návratu telefonu do továrního nastavení nebo při obnově stavu telefonu z doby před instalací aplikace je zrušena vazba mezi zařízením a identifikátorem eHRID přiděleném při aktivaci. Pokud je aplikace následně znovu instalována a aktivována, je jí přidělen nový identifikátor eHRID. Veškeré typy možných údajů jsou tedy uloženy jen uvnitř tohoto zařízení, resp. aplikace eRouška.

Běžný provoz aplikace eRouška

Aplikace eRouška generuje v rámci svého běžného provozu každých 10-20 minut náhodná pseudonymizovaná ID (tzv. klíče), která si ukládá a následně vyměňuje prostřednictvím BLE technologie s dalšími aktivními aplikacemi eRouška v dosahu Bluetooth signálu (řádově ve vzdálenosti jednotek metrů). Aplikace eRouška nezná a nezaznamenává vaši polohu, pouze na Vašem mobilu zaznamenává klíče ostatních aplikací eRouška, které „potkala“ spolu s informací o čase, době trvání kontaktu a síle Bluetooth signálu. Klíče ostatních aplikací, se kterými se eRouška setkala, eviduje po dobu 14 dnů, poté jsou tyto klíče smazány.

Klíče ostatních aplikací eRouška, zaznamenané při setkání, jsou vždy náhodné a mění se v čase, a proto nelze z aplikace zpětně konkrétně zjistit, koho jste potkal(a). Klíče cizích aplikací navíc zůstávají uložené pouze ve Vašem zařízení, server eRouška nemá žádné záznamy (ani anonymizované), která zařízení byla v kontaktu. Ke klíčům cizích aplikací uloženým na Vašem zařízení nemáte jako uživatel aplikace přístup ani Vy.

Jako uživatel aplikace máte možnost výše uvedený provoz aplikace eRouška pozastavit. Poté, co na hlavní obrazovce aplikace stisknete tlačítko „Pozastavit eRoušku“, aplikace přestane vysílat svoje klíče a přestane zaznamenávat a ukládat klíče ostatních aplikací. Téhož efektu uživatel aplikace dosáhne, pokud v nastavení svého telefonu vypne Bluetooth nebo Oznámení o možném kontaktu/Oznámení o kontaktech s nákazou (tzv. Exposure Notification API).

Co se děje, když jsem nakažený

Informace o tom, že jste onemocněli nemocí COVID-19, Vám může poskytnout výhradně orgán ochrany veřejného zdraví (např. hygienická služba) nebo poskytovtel zdravotních služeb (Váš ošetřující lékař nebo labratoř) na základě laboratorních výsledků provedeného testu. Aplikace eRouška neslouží ke zjištění nákazy, ani není určena k informování o pozitivním výsledku laboratorních testů. Cílem aplikace je pouze identifikovat osoby, které byly v rizikovém kontatku s nakaženou osobou a těmto osobám poskytnout informace, jak v takové situaci postupovat.

Pokud jste podstoupili vyšetření na onemocnění COVID-19 a Váš test byl pozitivní, nastane jeden nebo oba z následujících scénářů:

  • Centrální systém hygienické služby automaticky po obdržení výsledku z laboratoře pošle SMS s jednorázovým náhodným ověřovacím kódem. Vzhledem k omezené časové platnosti jednorázového kódu jsou SMS odesílány pouze v denních hodinách.
  • Bude Vás kontaktovat pracovník hygienické služby a v rámci epidemiologického šetření s Vámi zjistí upřesňující údaje pro vyhodnocení rizikových setkání, jako je infekční období (na základě termínu objevení příznaků) a rizikovost (na základě intenzity příznaků a prostředí, ve kterém se pohybujete). V průběhu epidemiologického rozhovoru může pracovník hygienické služby odeslat jednorázový náhodný ověřovací kód prostřednictvím SMS.

Smyslem tohoto kroku je autorizace vaší aplikace eRouška k odeslání klíčů nakaženého ostatním uživatelům aplikace eRouška, aby mohli vyhodnotit, zda s Vámi byli v rizikovém kontaktu.

Ověřovací kód je vygenerován serverem eRouška, předán informačnímu systému hygienické služby, který zajistí jeho odeslání prostřednictvím SMS. Celý proces vytvoření a zpracování ověřovacího kódu je navržen tak, aby server eRouška získal pouze jednorázový náhodný ověřovací kód, ale žádné identifikátory, které by mohly identifikovat nakaženého. Server eRouška tedy nezná identitu nakaženého.

Platnost jednorázového ověřovacího kódu je 12 hodin. V informačním systému hygienické služby se jednorázový ověřovací kód neukládá.

Po obdržení ověřovacího kódu použijte v aplikaci eRouška funkci „Odeslat data“, resp. "Anonymně upozornit ostatní", která vyžaduje vložení ověřovacího kódu a po jeho zadání odešle data na server eRoušky. Odeslání vašich dat (klíčů), tj. odeslání informace, že je uživatel dané aplikace eRouška nakažený, je z vaší strany dobrovolné a současně je podmíněné autorizací ze strany hygienické služby, tak aby nebylo možné tuto informaci zaslat omylem a také nebylo možné aplikaci eRouška zneužít.

Při odeslání klíčů posílá aplikace eRouška pouze vlastní klíče, tj. klíče, které při setkání s jinými aplikacemi „vysílala“. Proto jsou odeslané klíče nazývány klíči nakažené osoby. Nedochází k odeslání klíčů ostatních aplikací, se kterými se Vaše aplikace setkala.

Vyhodnocení rizikového kontaktu

Server eRouška vystavuje všechny přijaté klíče nakažených osob pro stažení. Klíče jsou na serveru eRoušky uchovávány 14 dní, poté jsou smazány.

Všechny aktivní aplikace eRouška pravidelně stahují nové klíče nakažených osob a vyhodnocují, jestli odpovídají cizím klíčům zaznamenaným při setkání a jestli délka kontaktu a síla signálu odpovídají kritériím pro rizikový kontakt. V případě, že Vaše aplikace eRouška na základě takto zpracovaných dat vyhodnotí, že došlo k rizikovému kontaktu, vytvoří lokální upozornění (např. zobrazí na Vašem telefonu informační okno, podle nastavení notifikací ve Vašem telefonu), která Vás upozorní na rizikový kontakt a zobrazí Vám pokyny, jak postupovat. Vše probíhá v rámci instalace aplikace uložené ve Vašem telefonu tzn., že nikdo jiný se o tomto kroku nedozví.

Upozornění obsahuje pouze informaci, že jste byli pravděpodobně vystaveni rizikovému kontaktu s nakaženou osobou a den kontaktu (další podrobnosti ani přesnější informace o čase, či místu kontaktu s nakaženým aplikace eRouška nemá a nelze je zjistit). Aplikace eRouška nemá informaci, kdo je nakažená osoba, dokonce ani nedokáže identifikovat její anonymní klíče (proces anonymizace údajů nevylučuje použití konvenčních pseudonymizačních technik, pokud jsou zavedeny kontrolní mechanismy na straně správce, které zabraňují jakkoliv získat či poskytovat identifikovatelné údaje o fyzických osobách třetím stranám či jiným subjektům údajů), neboť ty jsou v Exposure Notification API zpracovávány v dávkách a není jasné, který konkrétní klíč z dávky byl vyhodnocen jako rizikový kontakt.

Upozornění o rizikovém kontaktu obdržíte pouze Vy jako uživatel aplikace, ve které k vyhodnocení došlo, nemá ji ani server eRouška, ani nakažená osoba, se kterou jste se setkali, ani hygienická služba.

Upozorňujeme: Na základě notifikace v aplikaci eRouška Vás nebude nikdo kontaktovat, protože nikdo nezná Vaše kontaktní údaje ani neví, že k vyhodnocení rizikového kontaktu došlo právě u Vás.

Za účelem sběru agregovaných statistických informací o účinnosti systému eRouška odesílá aplikace na server eRouška anonymní statistickou informaci, že došlo k upozornění na rizikový kontakt. Tato informace není vázána na žádný identifikátor uživatele ani jeho mobilu a slouží pouze k výpočtu agregovaných statistik kolik bylo vygenerováno notifikací, jaký je poměr počtu notifikací k počtu nakažených osob apod. K potvrzení autenticity zprávy využívá aplikace přidělený eHRID, ten potvrzuje, že zpráva přichází z aktivní aplikace eRouška, ale nemůže sloužit k vaší identifikaci.

Mezinárodní spolupráce

Mezinárodní splupráce je rozšířením konceptu fungování eRoušky. Stejně, jako se anonymní klíče nakaženého vystavují pro všechny uživatele eRoušky k vyhodnocení, posílá je server eRoušky prostřednictvím EFGS ostatním národním aplikacím, aby je mohly vystavit svým uživatelům. Prostřednictvím EFGS je předáván stejný rozsah dat o nakažených jako prostřednictvím serveru eRouška – klíče nakaženého a datum prvních příznaků (pokud je známé) – doplněné o identifikátory země původu (Country of Origin) a cílových zemí (Coutry of Interest).

EFGS umožňuje uživatelům národních aplikací v nastavení aplikace přesně určovat sadu zemí, ze kterých konkrétní uživatel dostává informace o nakažených a do kterých odesílá svoje údaje. eRouška implementuje zjednodušený model, nazvaný "EU Traveler", ve kterém si uživatel eRoušky volí pouze "Spolupráce s EU" ANO/NE. Parametr "Spolupráce s EU" uživatel eRoušky nastavuje jednak pro stahování informací z ostatních národních aplikací, a to na speciální stránce, která je dostupná z domácí stránky a zároveň je zobrazena při aktualizaci eRoušky na verzi podporující EU spolupráci. Pro odesílání vlastních klíčů nakaženého uživatel eRoušky nastavuje parametr "Spolupráce s EU" ještě na dodatečné stránce při odesílání dat ("Anonymním upozornění ostatních").

Mezinárodní spolupráce národních aplikací funguje pouze pro národní aplikace využívající protokol Apple/Google Exposure Notification API a zapojené do spolupráce prostřednictvím EFGS. Jejich seznam a další související dokumenty lze najít na stránkách Evropské komise. V souladu s podmínkami použití Exposure Notification API může být v každém státě pouze jedna národní aplikace. EFGS je provozována EU a má svou vlastní GDPR dokumentaci (Informace o zpracování osobních údajů EFGS v příloze tohoto dokumentu).

Ve všech scénářích dochází k výměně náhodných klíčů při setkávání uživatelů různých národních aplikací automaticky, na základě faktu, že jejich telefony používají stejný protokol Exposure Notification API. Rozdíly jsou v tom, jestli a jak si jejich aplikace následně vymění klíče nakažených osob a mají možnost vyhodnotit rizikovost setkání.

Scénáře použití mezinárodní spolupráce z pohledu uživatele eRoušky:

1) Byl jsem nebo jsem v zahraničí a zajímá mě, jestli jsem tam nepotkal nakaženého

Uživatel eRoušky, který je nebo byl v zahraničí, si zapne volbu "Spolupráce s EU" na speciální stránce, která je dostupná z domácí stránky. Jeho eRouška začne kromě souboru s klíči nakažených uživatelů eRouška stahovat i soubory klíčů nakažených uživatelů ostatních národních aplikací v EU, které server eRouška pravidelně získává prostřednictvím EFGS, a vyhodnocovat potenciální setkání s nimi.

2) Byl jsem nebo jsem v zahraničí, jsem nakažený, chtěl bych varovat i zahraniční uživatele aplikací

Uživatel, který je nebo byl v zahraničí, si při odeslání dat ("Anonymní upozornění ostatních") zapne volbu "Spolupráce s EU" na dodatečné stránce v rámci procesu odeslání dat. Tím dává souhlas k odeslání jeho klíčů prostřednictvím EFGS na servery národních aplikací ostatních států EU, které jeho klíče zpřístupní uživatelům svých národních aplikací.

3) Potkávám v Čechách zahraniční turisty a zajímá mě, jestli nebyli nakažení

Jde o symetrický případ k 2) z pohledu uživatele národní aplikace jiného státu EU.

Zahraniční turista s národní aplikací svého státu EU, u kterého je potvrzená nákaza, zvolí (způsobem specifickým pro jeho národní aplikaci) odesílání klíčů do všech států EU nebo specificky do České republiky. Jeho národní aplikace odešle prostřednictvím EFGS jeho klíče i do serveru eRouška, který je zařadí do souboru "českých" nakažených. Soubor si automaticky stahují všechny eRoušky v ČR, nezávisle na nastavení volby "Spolupráce s EU", a vyhodnocují rizikovost setkání.

4) Zahraniční turista je nebo byl v Čechách a zajímá se, jestli tady nepotkal nakaženého

Jde o symetrický případ k 1) z pohledu uživatele národní aplikace jiného státu EU.

Zahraniční turista s národní aplikací svého státu EU, u kterého je potvrzená nákaza, zvolí (způsobem specifickým pro jeho národní aplikaci) stahování souborů nakažených uživatelů eRouška, kteří svolí s odesláním dat do EU. Server jeho národní aplikace pravidelně získává tento soubor klíčů prostřednictvím EFGS.

Poznámka: Při odesílání klíčů nakaženého uživatel eRoušky kromě souhlasu s odesláním informace do EU také specfikuje, jestli byl v posledních 14 dnech v zahraničí (tzv. Traveller příznak) Národní aplikace ostatních zemí pak mohou klíče nakaženého předkládat pouze svým uživatelům, kteří sami sebe označili za cestovatele (případ zahraničního turisty v České republice) nebo všem svým uživatelům (případ českého turisty v zhraničí).

Další zpracování

Abychom zajistili funkčnost aplikace, budeme pracovat i s údaji o jejím fungování (např. záznamy o pádech aplikace a používání aplikace) na Vašem telefonu a budeme k tomu používat standardní nástroje (Firebase Crashlytics a Google Analytics) od společnosti Google. Data odesílaná aplikací do těchto služeb neobsahují identifikátory Vaší osoby nebo Vašeho telefonu (jako je například tel. číslo, IMEI, AdvertisingID) a zpracováváme je za účelem vyhledávání a odstraňování kritických chyb, evidenci aktualizací aplikace a statistického zmapování používání aplikace uživateli. Aplikace nezná Vaše osobní údaje, a tato telemetrická data tak nelze žádným způsobem navázat na vaši osobu. S takto získanými údaji pracujeme maximálně po dobu 180 dní.

Kde s Vašimi údaji pracujeme

S Vašimi osobními údaji budeme pracovat jen na území EU a v důvěryhodných třetích zemích, kde jsou umístěny servery společnosti Google, která jako subzpracovatel poskytuje prostřednictvím zpracovatele část serverových služeb pro fungování aplikace. Předání do zahraničí se řídí podle standardních smluvních doložek, což jsou nástroje, které podle GDPR zajišťují dostatečnou ochranu vašich práv. Vaše údaje budou tedy zpracovávány u ověřených a dostatečně důvěryhodných zpracovatelů a subzpracovatelů.

Kdo má k Vašim údajům přístup

Údaje uvedené v tomto dokumentu jsou primárně uložené ve Vašem telefonu a přístup k nim máte pouze Vy. Ministerstvo, EU, ostatní uživatelé aplikace eRouška a uživatelé národních aplikací států EU mají přístup pouze k anonymním klíčům nakažených osob, které jsou odesíláním prostřednictvím serveru eRouška všem ostatním užiatelům. Ministerstvo má dále přístup k identifikátorům instalovaných aplikací eRouška eHRID, využívaným pro statistické účely a v případě technických problémů k anonymním crash logům vaší aplikace pro účely odstraňování kritických chyb.

Vaše práva

Právní předpisy na ochranu osobních údajů, zejména GDPR, Vám zaručují různá práva v oblasti ochrany osobních údajů: V rozsahu, v jakém Vám to garantují předpisy na ochranu osobních údajů a kontextu daného zpracování osobních údajů můžete od ministerstva jakožto od správce požadovat výmaz dle čl. 17 GDPR (a to vždy, pokud jsou pro to splněny zákonné podmínky). Výmaz je možné technicky uskutečnit pomocí odinstalace aplikace eRouška ze svého telefonu. Vaše náhodná ID (tzv. klíče) jsou automaticky smazána po 14 dnech, tak jak je již uvedeno v úvodu.

Vaše práva související s odesláním klíčů nakaženého uživatelům ostatních národních aplikací prostřednictvím EFGS založena na samostatném souhlasu podle podle čl. 6 odst. 1 písm. a) a podle čl. 9 odst. 2 písm. a) GDPR jsou

  • práva vycházející z článků č. 15 (přístup k osobním údajům),
  • práva vycházející z článků č. 16 (právo na opravu),
  • práva vycházející z článků č. 17 (právo na výmaz),
  • práva vycházející z článků č. 18 (právo na omezení zpracování),
  • práva vycházející z článků č. 20 (právo na přenositelnost),
  • práva vycházející z článků č. 21 (právo vznést námitku).

Výše uvedená práva lze naplnit pouze v případě, pokud údaje, ke kterým práva nárokujete, lze jasně přiřadit právě k Vám. To by bylo možné pouze v případě, že by byla aplikace způsobilá shromažďovat další osobní údaje, které by umožňovaly přenášená data do serveru jednoznačně přiřadit Vám nebo Vašemu telefonu. Protože to není nutné pro účely fungování aplikace, není ministerstvo povinno tyto další údaje shromažďovat viz článek 11, odst. 2 GDPR. Možnost uplatnění výše uvedených práv je ovšem vázána na možnost Vás identifikovat. Protože naše aplikace je navržena decentralizovaně, tak abychom nebyli schopni Vás přímo identifikovat a v maximální možné míře využívá tzv. pseudonymizované údaje, upozorňujeme, že Vás nebudeme často schopní identifikovat. V této souvislosti tedy nebude možné ani naplňovat jedntlivá práva, s výjimkou práva na výmaz, které bude vždy automatizovaně uplatněno, pokud fungování aplikace přerušíte, či přímo aplikaci ze svého telefonu odinstalujete.

Ve věci zpracování Vašich osobních údajů také můžete kontaktovat našeho pověřence pro ochranu osobních údajů: oia@mzcr.cz.

Pro uplatnění jakéhokoliv z těchto práv prosím kontaktujte pověřence pro ochranu osobních údajů:

Ministerstvo zdravotnictví ČR
Pověřenec pro ochranu osobních údajů

Palackého nám. 4
128 01  Praha 2

IČO: 00024341

tel.: +420 224 972 457
e-mail: oia@mzcr.cz
web: www.mzcr.cz

Pokud byste se domnívali, že zpracování Vašich osobních údajů porušuje právní předpisy, můžete podat stížnost u národního dozorového úřadu, kterým je Úřad pro ochranu osobních údajů.

Rizika s používáním aplikace spojená

Aplikace eRouška je navržena tak, aby naprosto minimalizovala okruh zpracovávaných údajů a riziko jejich zneužití. Za tím účelem je v ní zapracována celá řada ochranných a bezpečnostních prvků, počínaje tím, že ministerstvo není nijak schopno konkrétně ztotožnit uživatele aplikace.

Nicméně použití technologie Bluetooth – která je ovšem pro fungování aplikace nezbytná – s sebou nese určitá rizika a související podmínky provozování, které jsou popsány níže.

Jak využíváme cookies

Informace o využívání cookies na webu erouska.cz naleznete na stránce Informace o cookies.

Technické podmínky

Na jakých zařízeních eRouška 2.0 funguje?

Původní eRouška 1.0 vyžadovala pro své fungování operační systém iOS verze 11 (a vyšší) nebo operační systém Android verze 5 a vyšší.

eRouška 2.0 využívá pro své fungování Apple/Google protokol. Z tohoto důvodu eRouška funguje pouze na zařízeních, která jsou tímto protokolem podporována. Mezi tato patří zařízení typu iPhone s operačním systémem iOS verze 13.5 a vyšším a zařízení s operačním systémem Android verze 6.0 a vyšším, která obsahují aplikaci Google Play Services. Mezi zařízení, která podporována nejsou, patří např. zařízení iPad nebo některé nové modely značky Huawei bez aplikace Google Play Services.

Využití připojení k internetu

eRouška 2.0 bude pro své fungování vyžadovat občasné připojení k internetu (ideálně 2x denně). eRouška 2.0 se jednou denně připojí k internetu proto, aby si ze serveru stáhla poslední seznam identifikátorů zařízení nakažených osob, a mohla tak vyhodnotit, jestli s některým z těchto zařízení nedošlo k rizikovému setkání. eRouška se k internetu připojí jednou denně rovněž za účelem stažení aktuálních informací o vývoji epidemie v ČR, které jsou poté dostupné na stránce Aktuálně. Objem denně stahovaných dat závisí na počtu nakažených uživatelů aplikace. V případě, že by za den přibylo např. 500 nakažených uživatelů eRoušky, denní objem stažených dat by činil cca 300 kB. Pro porovnání, načtení průměrné webové stránky vyžaduje cca 5 MB dat.

Spotřeba baterie

Fungování eRoušky 2.0, které vyžaduje zapnutí Bluetooth, má za následek spotřebu baterie zařízení, na kterém aplikace běží. Tato spotřeba by nicméně měla být řádově nižší než v případě eRoušky 1.0 a měla by dosahovat jednotek procent kapacity baterie za den.