Kdo jsme

Jsme Ministerstvo zdravotnictví ČR (dále jen “ministerstvo”) a provozujeme mobilní aplikaci eRouška (dále jen “aplikace”), která pomáhá ministerstvu a jemu podřízeným hygienickým stanicím při likvidaci epidemie nemoci Covid-19 způsobené koronavirem SARS-CoV-2 (dále jen “koronavirus”). Tato aplikace pomocí Bluetooth technologie zaznamenává ostatní telefony s nainstalovanou aplikací, které se pohybují ve vašem okolí.

Správcem osobních údajů je ministerstvo. Na provozu aplikace se dále podílejí společnosti Keboola Czech s.r.o. a Google Ireland Limited v roli zpracovatelů nebo dalších zpracovatelů osobních údajů. S těmito společnostmi je uzavřena smlouva o zpracování. Vedle ministerstva mohou být příjemci zpracovávaných osobních údajů i další osoby či orgány, které provádějí takzvané epidemiologické šetření.

S vašimi osobními údaji pracujeme v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (dále jen “GDPR”) a na základě zákona č. 110/2019 Sb., zákon o zpracování osobních údajů.

S jakými údaji pracujeme a co s nimi děláme

Údaje zpracované s vaším souhlasem

Do aplikace zadáte své telefonní číslo, které ověříme a které můžeme použít k tomu, abychom vás kontaktovali, pokud pomocí aplikace zjistíme, že se ve vašem okolí vyskytl člověk nakažený koronavirem a mohl vás případně nakazit.

Dále pracujeme s informací o tom, jaké další telefony s nainstalovanou aplikací se vyskytovaly ve vašem okolí, kdy k setkání došlo a jaká byla síla Bluetooth signálu mezi vaším a každým dalším telefonem s aplikací. Pro určení síly signálu pracujeme i s informací o modelu vašeho telefonu a jeho operačním systému. Každá aplikace ukládá historii setkávání v posledních 30 dnech a uživatel může ze svého telefonu historii kdykoliv vymazat.

S touto informací pracujeme dvěma způsoby:

1) Pokud nám nakažená osoba s nainstalovanou aplikací sama odešle informace o tom, jaké telefony byly v její blízkosti, a bude mezi nimi i váš přístroj s nainstalovanou aplikací, můžeme u vás vyhodnotit riziko nakažení a ozvat se vám na telefonní číslo, které jste zadali. Telefonní číslo není nikdy uložené v aplikaci v telefonech, které potkáváte. Tam je váš telefon identifikován jen náhodným identifikačním číslem. Ale díky tomu, že jste nám telefonní číslo poskytli při registraci, se nám přes identifikační číslo propojí s informacemi od nakažené osoby a můžeme vás kontaktovat a varovat. Přitom pracujeme i s informací o riziku nakažení koronavirem, což je osobní údaj zvláštní kategorie.

2) Pokud budete sami pozitivně testováni na koronavirus, můžeme vás požádat o odeslání historie setkávání s dalšími telefony s nainstalovanou aplikací. Pokud nám tuto informaci dobrovolně předáte pomocí aplikace (konkrétně pomocí funkce “odeslat data”), pak tuto informaci využijeme k varování ohrožených osob a zjišťování dalších epidemiologických souvislostí. To znamená, že se snažíme zjistit, od koho jste se mohli nakazit a koho jste případně mohli nakazit. O odeslání vás požádáme v souvislosti s informací o vašem nakažení koronavirem, což je osobní údaj zvláštní kategorie.

Jak dlouho s výše uvedenými údaji pracujeme? Když nám odešlete informace o setkávání, vyhodnotíme je a smažeme do 12 hodin od jejich odeslání z vašeho telefonu. Vaše telefonní číslo, které jste zadali při registraci, smažeme nejpozději do šesti měsíců od dokončení instalace aplikace, případně dříve, pokud jej již nebudeme potřebovat nebo pokud odvoláte svůj souhlas s jeho zpracováním. Pokud bude pandemie pokračovat i po této době, požádáme Vás znovu o souhlas.

S výše uvedenými údaji pracujeme na základě vašeho souhlasu, jde tedy o zpracování podle čl. 6 bod 1 písm. a) a čl. 9 bod 2 písm. a) GDPR – příslušnou volbou v aplikaci souhlasíte se zpracováním osobních údajů výše uvedeným způsobem za účelem ochrany veřejného zdraví, konkrétně za účelem epidemiologického šetření. Váš souhlas je dobrovolný. Bez něj ale nemůžeme vaše údaje použít k výše uvedeným účelům a aplikace bez vašeho souhlasu tedy nemůže fungovat. Souhlas můžete kdykoliv odvolat v aplikaci volbou “zrušit registraci” (tím se vymaže z databáze vaše telefonní číslo) a odinstalováním aplikace (pak už nebudou ostatní telefony s aplikací zjišťovat, že vás jejich uživatelé potkali). Pokud už jsme data použili pro epidemiologické šetření, nelze tato zjištění technicky vzít zpět.

Dokončením aktivace potvrzujete, že telefonní číslo, které zadáváte, a telefon, na který aplikaci instalujete, používáte výhradně vy anebo osoba, za kterou jste oprávněni souhlas se zpracováním osobních údajů udělit.

Údaje zpracované v souvislosti s vaším užíváním aplikace

Pokud nás kontaktujete s dotazem nebo požadavkem, pracujeme s vašimi kontaktními údaji a informacemi, které jste nám poslali, abychom vypořádali váš dotaz nebo požadavek. Jedná se o zpracování v rámci vztahu mezi vámi jakožto uživatelem aplikace a ministerstvem jakožto provozovatelem aplikace. Jde tedy o zpracování podle čl. 6 bod 1 písm. b) GDPR. S těmito osobními údaji pracujeme, dokud je to nutné s ohledem na povahu vašeho dotazu nebo požadavku, poté jsou údaje vymazány.

Abychom zajistili funkčnost aplikace, budeme pracovat i s údaji o jejím fungování na vašem telefonu. V případě kritické chyby (selhání) odesílá aplikace telemetrická data o selhání (crash stack traces) do služby Firebase Crashlytics od společnosti Google. Telemetrická data nikdy nespojujeme s ostatními údaji, které o vás známe, a slouží pouze k vyhledávání a odstraňování kritických chyb, které vedou k selhání celé aplikace. Účelem zpracování je zajištění funkční aplikace na základě vztahu mezi vámi jako uživatelem aplikace a ministerstvem jako provozovatelem aplikace. Jde tedy o zpracování podle čl. 6 bod 1 písm. b) GDPR. S údaji pracujeme maximálně po dobu 180 dní.

Kde s vašimi údaji pracujeme

S vašimi osobními údaji budeme pracovat jen na území EU a v USA, kde jsou umístěny servery společnosti Google, který poskytuje část služeb pro fungování aplikace. Předání do USA probíhá v režimu Privacy Shield a podle standardních smluvních doložek, což jsou nástroje, které podle GDPR zajišťují dostatečnou ochranu vašich práv.

Vaše práva

Právní předpisy na ochranu osobních údajů, zejména GDPR, vám zaručují různá práva v oblasti ochrany osobních údajů: V rozsahu, v jakém vám to garantují předpisy na ochranu osobních údajů, můžete od ministerstva jakožto od správce požadovat přístup k vašim osobním údajům dle čl. 15 GDPR (tedy informace o tom s jakými vašimi konkrétními údaji pracujeme a jak s nimi pracujeme), omezení zpracování vašich údajů dle čl. 18 GDPR (to znamená, že osobní údaje sice zatím nevymažeme, ale nebudeme s nimi pracovat) a jejich výmaz dle čl. 17 GDPR (vždy pokud jsou pro to splněny zákonné podmínky) a máte právo na přenositelnost osobních údajů dle čl. 20 GDPR.

Pro uplatnění jakéhokoliv z těchto práv prosím kontaktujte pověřence pro ochranu osobních údajů:

Ministerstvo zdravotnictví ČR, Palackého nám. 4, 128 01 Praha 2, IČO: 00024341, tel.: +420 224 972 457, e-mail: oia@mzcr.cz, web: www.mzcr.cz.

Pokud byste se domnívali, že zpracování Vašich osobních údajů porušuje právní předpisy, můžete podat stížnost u národního dozorového úřadu, kterým je Úřad pro ochranu osobních údajů (www.uoou.cz).

Jak využíváme cookies

Informace o využívání cookies naleznete na stránce Informace o cookies.