Zpracování osobních údajů

Správa státních hmotných rezerv (SSHR) je ve smyslu Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení“) správcem osobních údajů (dále také „OÚ“) fyzických osob.

IS Argis/modul Nouzové hospodářství zpracovává  OÚ uživatelů systému – pracovníků správních úřadů ve smyslu § 1 odst. 2 písm. b) zákona č. 241/2000 Sb., o hospodářských opatřeních pro krizové stavy a o změně některých zákonů (dále jen „zákon č. 241/2000 Sb.“), s působností v oblasti hospodářských opatření pro krizové stavy (HOPKS), příslušníků Hasičského záchranného sboru (HZS) krajů a právnických a podnikajících fyzických osob – dodavatelů nezbytných dodávek (ND).

Osobní údaje pracovníků správních úřadů a příslušníků HZS krajů (jméno, příjmení, telefon do zaměstnání, služební mobilní telefon, služební e-mail, popř. fax) jsou zpracovávány za účelem správy uživatelských účtů a ke koordinaci činnosti při přípravě a přijetí opatření podle zákona č. 241/2000 Sb. Údaje jsou získávány se souhlasem subjektů OÚ a zpracovávány jsou po dobu působení subjektu OÚ jako uživatele IS Argis.

Osobní údaje fyzických osob zastupujících právnické osoby a OÚ podnikajících fyzických osob – dodavatelů ND jsou zpracovávány v souladu s § 2 odst. 3, vyhlášky č. 498/2000 Sb., o plánování a provádění HOPKS. Získávány jsou v souladu s § 15 odst. 3 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (dále jen „zákon č. 240/2000 Sb.“). Údaje o dodavatelích ND jsou zpracovávány po dobu působení subjektu OÚ jako dodavatele ND v IS Argis.

IS Argis/modul Majetek státu zpracovává OÚ (jméno, příjmení, telefon do zaměstnání, služební mobilní telefon, služební e-mail, popř. fax) určených pracovníků rezortů – ústředních správních úřadů (ÚSÚ), které mají identifikované věcné zdroje použitelné k překonání krizových stavů, a OÚ pracovníků organizačních složek těchto rezortů, u kterých se identifikované věcné zdroje nacházejí, tj. osob oprávněných za organizační složku rezortu jednat ve věci ND. Pracovníci rezortů a organizačních složek rezortů v systému vystupují jako dodavatelé ND a jejich OÚ jsou zpracovávány podle § 2 odst. 3, vyhlášky č. 498/2000 Sb., o plánování a provádění HOPKS po dobu působení subjektu OÚ jako dodavatele ND v IS Argis.

Koordinátorem pro ochranu osobních údajů u SSHR byl jmenován:

Ing. Josef Chodora

bezpečnostní ředitel a ředitel odboru bezpečnosti a krizového řízení

tel.: 222 806 204

e-mail: jchodora@sshr.cz

Povinnosti uživatelů

Správce účtů Přístup uživatelů do systému povoluje a jejich role v systému stanovuje správce účtů krajského úřadu (KÚ), správce účtů HZS kraje, správce účtů ÚSÚ nebo správce účtů SSHR. Správci účtů na úrovni KÚ, HZS kraje a ÚSÚ spravují účty uživatelů svých úřadů. Rozsah přístupu jednotlivých uživatelů stanovují na základě jejich pracovní nebo služební pozice. Správce účtů SSHR spravuje účty uživatelů SSHR a účty správců účtů KÚ, HZS krajů a ÚSÚ a vede celkový přehled účtů všech uživatelů systému.

Povinností správců účtů je průběžně, minimálně jedenkrát za rok, kontrolovat aktuálnost uživatelských účtů uživatelů svého úřadu a spolupracovat se správcem účtů SSHR ve věci celkové správy účtů. Ve smyslu této povinnosti správci účtů přidělují účty novým uživatelům, stanovují jim přístupová práva, upravují rozsah přístupu stávajících uživatelů a nepotřebné uživatelské účty ruší s cílem zabránit přístupu neoprávněných osob k údajům uloženým v systému.

Dále je povinností správců účtů umožnit účastníkům zpracování přístup do systému až po písemném potvrzením svolení jako subjektu údajů ke zpracování svých osobních údajů. Kopie těchto souhlasů zakládat po dobu trvání důvodu zpracovávání OÚ.

Účastník zpracování

(zaměstnanec, který v rámci své činnosti zpracovává osobní údaje)

Účastník zpracování v roli „Recenzenta“ může prohlížet vložené OÚ za účelem získání kontaktních údajů potřebných ke komunikaci se správními úřady, dodavateli ND, k přípravě kontrolní činnosti a metodické pomoci, k provedení analýz nezbytných ke koordinaci činností v oblasti HOPKS, k vyhledání ND a jejího dodavatele. Účastník zpracování v roli „Redaktora“ kromě toho může vkládat nové údaje, editovat stávající údaje a nepotřebné údaje odstranit.Účastník zpracování nesmí pořizovat kopie obrazovek (Print Screen) obsahujících OÚ. Tiskové a výstupní sestavy obsahující OÚ mohou být generovány a použity pouze pro účel, ke kterému byly do systému vloženy. Po vygenerování a použití musí být sestavy uživatelem, který je vygeneroval, ze systému odstraněny. Pokud jsou pro další využití účastníkem zpracování uloženy v jeho PC, musí být zabezpečeny proti neoprávněnému použití.

Zpracování OÚ se provádí elektronicky na PC uživatelů systému. Přístup je zajištěn uživatelským jménem a heslem. Při opuštění pracoviště účastník zpracování uzavře aplikaci obsahující OÚ, osobní počítač zajistí uzamčením nebo odhlášením se, popř. uzamčením kanceláře. V případě, že ke své potřebě používá OÚ v listinné podobě, je povinen po ukončení zpracování tyto uložit v uzamčených zásuvkách psacího stolu, skříně nebo bezpečnostního uzávěru.

Při zpracování údajů prostřednictvím mobilního zařízení musí účastník dodržovat všechna výše stanovená pravidla. Navíc musí účastník zajistit, že v případě zpracování OÚ mimo stálé pracoviště prostřednictvím mobilního zařízení nebude umožněn přístup do mobilního zařízení jinému účastníkovi, který nemá oprávnění k přístupu k OÚ. Dále musí zajistit, že připojení k internetu použije pouze prověřené a bezpečné.

K podpoře tisku jsou používány aplikace MS Office (MS Word, MS Excel). Uživatelé musí používat verze těchto aplikací pouze z oficiální distribuce Microsoft.

Správa uživatelských účtů V rámci uživatelského účtu mohou být zpracovávány OÚ v rozsahu jméno a příjmení uživatele účtu, služební telefon a služební e-mail. Tyto OÚ jsou vedeny za účelem identifikace účtu, kontroly platnosti účtu a umožnění kontaktu správce účtů s uživatelem účtu. Údaje o uživateli účtu se mohou vést pouze po dobu platnosti uživatelského účtu. Při zrušení uživatelského účtu musí být OÚ uživatele účtu společně s celým účtem z databáze uživatelských účtů příslušným správcem účtů odstraněny. Přístup uživatele účtu k OÚ vedeným v rámci jeho účtu je zabezpečen volbou „Karta uživatele“ v levém sloupci menu obrazovky po přihlášení do systému. Uživateli se zobrazí detail jeho uživatelského účtu se záznamem o něm vedených OÚ.

Uživatelské účty právnických a podnikajících fyzických osob – dodavatelů ND spravované HZS kraje neobsahují OÚ podléhající ustanovení Nařízení, proto se na ně zpracování OÚ při správě uživatelských účtů nevztahuje.

Vedení OÚ uživatelů účtů je zákonným požadavkem vycházejícím z povinnosti správních úřadů zpracovat plán ND podle příslušných ustanovení zákona č. 241/2000 Sb. a z povinnosti využívat při přípravě a přijetí HOPKS informační systémy pro podporu HOPKS podle § 27b zákona č. 241/2000 Sb. Zpracování OÚ ke správě uživatelských účtů u HZS kraje vychází z jeho funkce zpracovatele údajů o dodavatelích ND podle § 15 odst. 3 zákona č. 240/2000 Sb. a § 2 vyhlášky č. 498/2000 Sb., o plánování a provádění HOPKS.

Zpracování OÚ a jejich rozsah v rámci správy uživatelských účtů není stanoven právním předpisem, proto musí správci účtů správních úřadů a HZS kraje vyžádat a mít souhlas uživatelů účtů, které spravují, se zpracováním jejich OÚ ve výše uvedeném rozsahu a k výše uvedeným účelům. K tomu musí vést evidenci souhlasů uživatelů účtů se zpracováním jejich OÚ, včetně své osoby jako správce účtů, a být schopni získání souhlasu jednotlivých uživatelů účtů doložit při kontrole ze strany Úřadu pro ochranu osobních údajů. Prokazatelnost souhlasu uživatelů se zpracováním jejich OÚ při správě uživatelských účtů bude i předmětem kontrol přípravy HOPKS prováděných SSHR. Vzor evidence souhlasů uživatelů účtů je uveden zde.

V případě, že uživatel stávajícího účtu neudělí správci účtů souhlas se zpracováním svých OÚ ke správě účtu, popř. svůj předchozí souhlas odvolá, bude ze strany správce účtů použita výjimka z práva výmazu OÚ podle čl. 17 odst. 3, písm. b) Nařízení a výmaz OÚ nebude proveden. Záznam o tom správce účtů provede ve své evidenci souhlasů a tuto skutečnost oznámí uživateli účtu.

Podmínkou založení nového uživatelského účtu je udělení souhlasu nového uživatele účtu se zpracováním jeho OÚ ve výše uvedeném rozsahu a k výše uvedenému účelu. Vzor souhlasu nového uživatele účtu se zpracováním jeho osobních údajů ke správě uživatelského účtu je uveden zde.