Zpracování osobních údajů pro oznamovatele kybernetického incidentu

Informační memorandum o zpracování osobních údajů oznamovatelů kybernetického bezpečnostního incidentu

Státní pokladna Centrum sdílených služeb, s. p. IČO: 036 30 919, se sídlem Na vápence 915/14, Žižkov, 130 00 Praha 3, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, pod sp. zn. A 76922, (dále jen „SPCSS“ nebo „my“) považuje ochranu osobních údajů za nedílnou součást svých závazků nejen vůči klientům a zaměstnancům, ale také vůči Vám, návštěvníkům našich webových stránek. Ochraně osobních údajů proto věnujeme náležitou pozornost a při zajištění ochrany osobních údajů jednáme v souladu s právními předpisy.

Na této stránce naleznete informace o tom, jaké osobní údaje zpracováváme v případě, že jste oznamovatelem kybernetického bezpečnostního incidentu na našich webových stánkách. Naleznete zde informace, zda a jaké osobní údaje zpracováváme na základě různých právních základů (důvodů), k jakým účelům údaje zpracováváme, komu je můžeme předávat a jaká máte v souvislosti se zpracováním Vašich osobních údajů práva. Považujte tedy prosím tento dokument za důležitý zdroj informací o tom, jak zpracováváme Vaše osobní údaje.

A. Jaké osobní údaje zpracováváme?

Zpracováváme následující osobní údaje:

  1. Identifikační údaje, kterými se rozumí zejména jméno, příjmení, titul, rodné číslo, bylo-li přiděleno, jinak datum narození, místo a stát narození, adresa trvalého pobytu apod.,
  2. Kontaktní údaje, kterými se rozumí osobní údaje, které nám umožňují kontakt s Vámi, zejména kontaktní adresa, telefonní číslo, e-mailová adresa apod.,

 

B. Proč osobní údaje zpracováváme a co nás k tomu opravňuje?

Zpracování bez Vašeho souhlasu – na základě splnění úkolu ve veřejném zájmu ve smyslu čl. 6 odst. 1 písm. e) GDPR.

Na základě splnění úkolu ve veřejném zájmu zpracováváme Vaše identifikační a kontaktní údaje, a to za účelem zvládání kybernetických bezpečnostních incidentů dle § 4 odst. 3 ZKB.

Pro tyto účely osobní údaje v nezbytném rozsahu zpracováváme po dobu trvání řízení ke zvládnutí kybernetického bezpečnostního incidentu.

 

C. Kdo vaše osobní údaje zpracovává a komu je předáváme?

Všechny zmíněné osobní údaje zpracováváme my jako správce. To znamená, že my stanovujeme shora vymezené účely, pro které Vaše osobní údaje shromažďujeme, určujeme prostředky zpracování a odpovídáme za jeho řádné provedení.

Dále jsme povinni zpracovávané osobní údaje předávat orgánům státní správy, soudům, orgánům činným v trestním řízení, orgánům dohledu v případě, že nás o to požádají.

Z jakých zdrojů osobní údaje zpracováváme? Zpracováváme osobní údaje, které nám byly poskytnuty přímo od Vás v rámci formuláře k nahlášení kybernetického bezpečnostního incidentu

 

D. Jaká máte práva při zpracování osobních údajů?

Stejně jako my máme svá práva a povinnosti při zpracování Vašich osobních údajů, máte také Vy při zpracování Vašich osobních údajů řadu práv. Mezi tato práva patří:

Právo na přístup

Zjednodušeně řečeno máte právo vědět, jaké údaje o Vás zpracováváme, za jakým účelem, po jakou dobu, kde Vaše osobní údaje získáváme, komu je předáváme, kdo je mimo nás zpracovává a jaká máte další práva související se zpracováním Vašich osobních údajů. To vše jste se dozvěděl v těchto Informacích o zpracování osobních údajů. Pokud si však nejste jistý, které osobní údaje o Vás zpracováváme, můžete nás požádat o potvrzení, zda osobní údaje, které se Vás týkají, jsou či nejsou z naší strany zpracovávány, a pokud tomu tak je, máte právo získat přístup k těmto osobním údajům. V rámci práva na přístup nás můžete požádat o kopii zpracovávaných osobních údajů, přičemž první kopii Vám poskytneme bezplatně a další kopie s poplatkem.

Právo na opravu

Chybovat je lidské. Pokud zjistíte, že osobní údaje, které o Vás zpracováváme, jsou nepřesné nebo neúplné, máte právo na to, abychom je bez zbytečného odkladu opravili, popřípadě doplnili.

Právo na výmaz

V některých případech máte právo, abychom Vaše osobní údaje vymazali. Vaše osobní údaje bez zbytečného odkladu vymažeme, pokud je splněn některý z následujících důvodů:

  • Vaše osobní údaje již nepotřebujeme pro účely, pro které jsme je zpracovávali,
  • odvoláte souhlas se zpracováním osobních údajů, přičemž se jedná o údaje, k jejichž zpracování je Váš souhlas nezbytný, a zároveň nemáme jiný důvod, proč tyto údaje potřebujeme nadále zpracovávat (například pro obhajobu našich právních nároků),
  • využijete svého práva vznést námitku proti zpracování u osobních údajů, které zpracováváme na základě našich oprávněných zájmů, a my shledáme, že již žádné takové oprávněné zájmy, které by toto zpracování opravňovaly, nemáme, nebo
  • ukáže se, že námi prováděné zpracování osobních údajů přestalo být v souladu s obecně závaznými předpisy.

Ale mějte prosím na paměti, že i když půjde o jeden z těchto důvodů, neznamená to, že ihned smažeme všechny Vaše osobní údaje. Toto právo se totiž neuplatní v případě, že zpracování Vašich osobních údajů je i nadále nezbytné pro:

  • splnění naší právní povinnosti (viz výše kapitola „Zpracování bez Vašeho souhlasu“),
  • účely archivace, vědeckého či historického výzkumu či pro statistické účely, nebo
  • určení, výkon nebo obhajobu našich právních nároků (viz výše kapitola „Zpracování bez Vašeho souhlasu“).

Právo na omezení zpracování

V některých případech můžete kromě práva na výmaz využít právo na omezení zpracování osobních údajů. Toto právo Vám umožňuje v určitých případech požadovat, aby došlo k označení Vašich osobních údajů a tyto údaje nebyly předmětem žádných dalších operací zpracování – v tomto případě však nikoliv navždy (jako v případě práva na výmaz), ale po omezenou dobu. Zpracování osobních údajů musíme omezit když:

  • popíráte přesnost osobních údajů, než se dohodneme, jaké údaje jsou správné,
  • Vaše osobní údaje zpracováváme bez dostatečného právního základu (např. nad rámec toho, co zpracovávat musíme), ale Vy budete před výmazem takových údajů upřednostňovat pouze jejich omezení (např. pokud očekáváte, že byste nám v budoucnu takové údaje stejně poskytl),
  • Vaše osobní údaje již nepotřebujeme pro shora uvedené účely zpracování, ale Vy je požadujete pro určení, výkon nebo obhajobu svých právních nároků.

Právo podat stížnost

Uplatněním práv výše uvedeným způsobem není nijak dotčeno Vaše právo podat stížnost u Úřadu pro ochranu osobních údajů, a to způsobem uvedeným níže v kapitole „Jak lze uplatnit jednotlivá práva?“. Toto právo můžete uplatnit zejména v případě, že se domníváte, že Vaše osobní údaje zpracováváme neoprávněně nebo v rozporu s obecně závaznými právními předpisy.

Stížnost proti námi prováděnému zpracování osobních údajů můžete podat u Úřadu pro ochranu osobních údajů, který sídlí na adrese Pplk. Sochora 27, 170 00 Praha 7.

 

E. Jak můžete uplatnit jednotlivá práva?

Ve všech záležitostech souvisejících se zpracováním Vašich osobních údajů, ať již jde o dotaz, uplatnění práva, podání stížnosti či cokoliv jiného, se můžete obracet na našeho pověřence pro ochranu osobních údajů.

Pověřence lze kontaktovat kterýmkoliv z následujících prostředků:

Emailem na: poverenec@spcss.cz

Písemně na adrese: Státní pokladna Centrum sdílených služeb, s. p., Na vápence 915/14, 130 00 Praha 3.

Vaši žádost vyřídíme bez zbytečného odkladu, maximálně však do jednoho měsíce. Ve výjimečných případech, zejména z důvodu složitosti Vašeho požadavku, jsme oprávněni tuto lhůtu prodloužit o další dva měsíce. O takovém případném prodloužení a jeho zdůvodnění Vás samozřejmě budeme informovat.