Ochrana osobních údajů – Informační web systému Krizkom

Zpracování osobních údajů

Správa státních hmotných rezerv (SSHR) je ve smyslu Nařízení
Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016
o ochraně fyzických osob v souvislosti se zpracováním osobních
údajů a o volném pohybu těchto údajů (dále jen „Nařízení“)
správcem osobních údajů (dále také „OÚ“) fyzických osob.

IS Krizkom zpracovává OÚ uživatelů systému – pracovníků správních
úřadů ve smyslu § 1 odst. 2 písm. b) zákona č. 241/2000 Sb.,
o hospodářských opatřeních pro krizové stavy a o změně některých
zákonů (dále jen „zákon č. 241/2000 Sb.“), s působností v oblasti
hospodářských opatření pro krizové stavy (HOPKS), pracovníků
rezortů a organizačních složek rezortů (ÚSÚ a JSÚ – Krajská
ředitelství HZS, Krajská ředitelství Policie ČR) a pracovníků
Ochraňovatelů pohotovostních zásob a zásob pro humanitární pomoc.
Osobní údaje (titul, jméno, příjmení, telefon do zaměstnání,
služební mobilní telefon, služební e-mail, popř. fax) jsou
zpracovávány za účelem správy uživatelských účtů a ke koordinaci
činnosti při přípravě a přijetí opatření podle zákona č.241/2000 Sb.
Údaje jsou získávány se souhlasem subjektů OÚ a zpracovávány
jsou po dobu působení subjektu OÚ jako uživatele IS Krizkom.

Koordinátorem pro ochranu osobních údajů u SSHR byl jmenován:

Ing. Josef Chodora
bezpečnostní ředitel a ředitel odboru bezpečnosti a krizového řízení
tel.: 222 806 204
e-mail: jchodora@sshr.cz

Povinnosti uživatelů

Administrátor

Přístup uživatelů do systému povoluje a jejich role v systému stanovuje Administrátor krajského úřadu (KÚ), Administrátor ÚSÚ nebo Administrátor SSHR. Lokální Administrátoři na úrovni KÚ a ÚSÚ spravují účty uživatelů svých úřadů. Rozsah přístupu jednotlivých uživatelů stanovují na základě jejich pracovní nebo služební pozice. Centrální Administrátor SSHR spravuje účty uživatelů SSHR a účty správců účtů KÚ a ÚSÚ a vede celkový přehled účtů všech uživatelů systému.

Povinností lokálních Administrátorů je průběžně, minimálně jedenkrát za rok, kontrolovat aktuálnost uživatelských účtů uživatelů svého úřadu a spolupracovat s centrálním Administrátorem SSHR ve věci celkové správy účtů. Ve smyslu této povinnosti Administrátoři přidělují účty novým uživatelům, stanovují jim přístupová práva, upravují rozsah přístupu stávajících uživatelů a nepotřebné uživatelské účty ruší s cílem zabránit přístupu neoprávněných osob k údajům uloženým v systému.

Dále je povinností Administrátorů umožnit účastníkům zpracování přístup do systému až po písemném potvrzení svolení subjektu údajů se zpracováním osobních údajů. Udělené souhlasy Administrátoři archivují po dobu trvání důvodu zpracovávání OÚ.

Účastník zpracování

(zaměstnanec, který v rámci své činnosti zpracovává osobní údaje)

Účastník zpracování (Uživatel) v roli „Reader“ může prohlížet vložené OÚ za účelem získání kontaktních údajů potřebných ke komunikaci se správními úřady, dodavateli ND, k přípravě kontrolní činnosti a metodické pomoci, k provedení analýz nezbytných ke koordinaci činností v oblasti HOPKS, k vyhledání ND a jejího dodavatele. Uživatel v roli „Editor“ nebo „Supervisor“ kromě toho může vkládat nové údaje, editovat stávající údaje a nepotřebné údaje odstranit. Uživatel nesmí pořizovat kopie obrazovek (Print Screen) obsahujících OÚ. Tiskové a výstupní sestavy obsahující OÚ mohou být generovány a použity pouze pro účel, ke kterému byly do systému vloženy. Po vygenerování a použití musí být sestavy Uživatelem, který je vygeneroval, ze systému odstraněny. Pokud jsou pro další využití Uživatelem uloženy v jeho PC, musí být zabezpečeny proti neoprávněnému použití.

Zpracování OÚ se provádí elektronicky na PC Uživatelů systému. Přístup je zajištěn uživatelským jménem a heslem. Při opuštění pracoviště Uživatel uzavře aplikaci obsahující OÚ, osobní počítač zajistí uzamčením nebo odhlášením se, popř. uzamčením kanceláře. V případě, že ke své potřebě používá OÚ v listinné podobě, je povinen po ukončení zpracování tyto uložit v uzamčených zásuvkách psacího stolu, skříně nebo bezpečnostního uzávěru.

Při zpracování údajů prostřednictvím mobilního zařízení musí Uživatel dodržovat všechna výše stanovená pravidla. Uživatel musí navíc zajistit, že v případě zpracování OÚ mimo stálé pracoviště prostřednictvím mobilního zařízení nebude umožněn přístup do mobilního zařízení jinému Uživateli, který nemá oprávnění k přístupu k OÚ. Dále musí zajistit, že použije pouze prověřené a bezpečné připojení k internetu.

K podpoře tisku jsou používány aplikace MS Office (MS Word, MS Excel). Uživatelé musí používat verze těchto aplikací pouze z oficiální distribuce Microsoft.

Správa uživatelských účtů

V rámci uživatelského účtu mohou být zpracovávány OÚ v rozsahu titul, jméno a příjmení uživatele účtu, služební telefon (mobilní i pevná linka) a služební e-mail. Tyto OÚ jsou vedeny za účelem identifikace účtu, kontroly platnosti účtu a umožnění kontaktu správce účtů s uživatelem účtu. Údaje o Uživateli účtu se mohou vést pouze po dobu platnosti uživatelského účtu. Přístup uživatele účtu k OÚ vedeným v rámci jeho účtu je zabezpečen volbou „Uživatelé IS“ v levém sloupci menu obrazovky po přihlášení do systému.

Vedení OÚ uživatelů účtů je zákonným požadavkem vycházejícím z povinnosti správních úřadů zpracovat plán ND podle příslušných ustanovení zákona č. 241/2000 Sb. a z povinnosti využívat při přípravě a přijetí HOPKS informační systémy pro podporu HOPKS podle § 27b zákona č. 241/2000 Sb.

Zpracování OÚ a jejich rozsah v rámci správy uživatelských účtů není stanoven právním předpisem, proto musí správci účtů KÚ a ÚSÚ vyžádat a mít souhlas uživatelů účtů, které spravují, se zpracováním jejich OÚ ve výše uvedeném rozsahu a k výše uvedeným účelům. K tomu musí vést evidenci souhlasů uživatelů účtů se zpracováním jejich OÚ, včetně své osoby jako správce účtů, a být schopni získání souhlasu jednotlivých uživatelů účtů doložit při kontrole ze strany Úřadu pro ochranu osobních údajů. Prokazatelnost souhlasu uživatelů se zpracováním jejich OÚ při správě uživatelských účtů bude i předmětem kontrol přípravy HOPKS prováděných SSHR. Vzor evidence souhlasů uživatelů účtů je uveden zde.

V případě, že Uživatel stávajícího účtu neudělí správci účtů souhlas se zpracováním svých OÚ ke správě účtu, popř. svůj předchozí souhlas odvolá, bude ze strany správce účtů použita výjimka z práva výmazu OÚ podle čl. 17 odst. 3, písm. b) Nařízení a výmaz OÚ nebude proveden. Záznam o tom správce účtů provede ve své evidenci souhlasů a tuto skutečnost oznámí uživateli účtu.

Podmínkou založení nového uživatelského účtu je udělení souhlasu nového Uživatele účtu se zpracováním jeho OÚ ve výše uvedeném rozsahu a k výše uvedenému účelu. Vzor souhlasu nového Uživatele účtu se zpracováním jeho osobních údajů ke správě uživatelského účtu je uveden zde.