Portál iMunis a GDPR

[ GDPR ]

Portál iMunis je hostovaná služba

Portál iMunis, který v sobě sdružuje služby eDeska, SMiS, Evidence oznámení a Rozklikávací rozpočet, je typickým příkladem tzv. hostované služby. Zákazník si objednává její provoz u poskytovatele v datovém centru a předává mu data, která mohou obsahovat i osobní údaje. Z pohledu GDPR je zákazník v roli správce (rozhoduje o účelu zpracování osobních údajů) a poskytovatel je v roli zpracovatele (provádí operace s osobními údaji na základě pokynů správce). Tyto pokyny se zpravidla vydávají prostřednictvím obslužné aplikace.

Přehled služeb portálu iMunis a jejich vztah ke GDPR

Pro zákazníky jsme připravili stručný seznam kroků, které je třeba udělat v souvislosti s GDPR.

eDeska (Úřední deska)

Ve službě eDeska jsou zpracovávány osobní údaje poskytnuté správcem za účelem zveřejnění dokumentů na základě zvláštního právního předpisu (zákon č. 500/2004 Sb. Správní řád, § 26), včetně osobních údajů v nich nebo v jejich metadatech obsažených a dále vedení evidence zveřejněných dokumentů pro účely prokázání skutečnosti zveřejnění.

Některé dokumenty (typicky doručení veřejnou vyhláškou nebo dražební vyhlášky) obsahují osobní údaje osob, kterých se týkají. Plné (neanonymizované) zveřejnění takových dokumentů je zcela v souladu se zákonem, avšak pouze po dobu, která je zákonem vyžadována. Problematické je však ponechání takových dokumentů veřejně dostupných i po svěšení, například prostřednictvím vyhledání v tzv. archivu úřední desky zachycujícímu stav úřední desky k určitému datu. ÚOOÚ k této problematice vydal stanovisko č. 1/2011 (Zveřejňování listin s osobními údaji prostřednictvím internetu), ze kterého vyplývá, že se jedná o porušení zásad ochrany osobních údajů.

Z tohoto důvodu jsme k datu účinnosti GDPR provedli vypnutí funkce archivu úřední desky u všech zákazníků. Samozřejmě je nám jasné, že zákazník potřebuje i zpětně doložit, že některé dokumenty byly vyvěšeny na úřední desce v řádných termínech. Proto jsme připravili funkci neveřejného archivu dostupného pro zákazníka na adrese https://www.imunis.cz/edeska-archiv. Podoba archivu odpovídá tomu, jak byla úřední deska ke zvolenému datu dostupná veřejnosti.

SMiS (hromadné rozesílání SMS zpráv)

Ve službě SMiS jsou zpracovávány osobní údaje poskytnuté buď správcem, nebo přímo osobou, která projeví zájem o příjem informačních SMS zpráv. Pokud telefonní číslo poskytne přímo zájemce o příjem informačních SMS zpráv prostřednictvím stanoveného postupu, provede zpracovatel automaticky zpracování. Pro fungování služby je nezbytně nutné poskytnout telefonní číslo pro zasílání zpráv, další identifikační údaje může poskytnout správce. Zpracovatel poskytuje funkce pro udělení a odvolání souhlasu se zpracováním.

Současné názory na hromadné rozesílání SMS zpráv občanům předpokládají rozdělení informačních kanálů na dvě kategorie – pro rozesílání informací o dění na území obce na základě veřejného zájmu a pro rozesílání zpráv mající charakter obchodních sdělení na základě uděleného souhlasu.

Je tedy nutné, abyste jako správce po přihlášení do služby SMiS provedli správné označení jednotlivých kanálů. Pro kanály, které budou vyžadovat souhlas, je možné postupovat dvěma způsoby – evidovat souhlasy v listinné podobě, nebo si od občanů vyžádat udělení souhlasu opětovným přihlášením do kanálu pomocí SMS.

Evidence oznámení (zákon o střetu zájmů)

Ve službě Evidence oznámení jsou zpracovávány osobní údaje poskytnuté správcem a jsou zpřístupněny konkrétním žadatelům o poskytnutí přístupu. Dále jsou zpracovávány osobní údaje žadatelů o poskytnutí přístupu.

Tato služba umožňuje dálkový přístup k nyní již historickým Oznámením o jiných vykonávaných činnostech, oznámení o majetku nabytém v průběhu výkonu funkce a oznámení o příjmech, darech a závazcích. Tento přístup je možný pouze po sdělení individuálních přístupových údajů a nedochází zde k neomezenému zveřejnění.

Rozklikávací rozpočet

Tato služba není určena pro veřejné zpřístupňování osobních údajů a nedochází u ní k žádným změnám.

Bezpečnost

Provoz portálu iMunis je zajištěn na vlastním hardware poskytovatele v datovém centru na území ČR. V datovém centru je zajištěna odpovídající úroveň fyzické i kybernetické bezpečnosti.

Informace pro veřejnost

Připravili jsme informace o zpracování osobních údajů pro veřejnost (dle čl. 13 a 14 GDPR), které jsou rozděleny pro jednotlivé služby portálu. Konkrétní odkazy, které může zákazník uvést na svých webových stránkách, jsou k dispozici v menu Nápověda v jednotlivých aplikacích a zmíněny jsou rovněž v dokumentu Několik kroků, které musíte provést v souvislosti s GDPR.

Smluvní vztahy mezi zákazníkem a poskytovatelem (Triadou)

Všichni zákazníci obdrželi k podpisu smlouvy o zpracování osobních údajů, které obsahují náležitosti vyžadované GDPR.

imud2 imweb2 imeo2 imsmis2 imhelp imrr2