Portál iMunis a GDPR
[ GDPR ]
Portál iMunis je hostovaná služba
Portál iMunis, který v sobě sdružuje služby eDeska, SMiSa Rozklikávací rozpočet, je typickým příkladem tzv. hostované služby. Zákazník si objednává její provoz u poskytovatele v datovém centru a předává mu data, která mohou obsahovat i osobní údaje. Z pohledu GDPR je zákazník v roli správce (rozhoduje o účelu zpracování osobních údajů) a poskytovatel je v roli zpracovatele (provádí operace s osobními údaji na základě pokynů správce). Tyto pokyny se zpravidla vydávají prostřednictvím obslužné aplikace.
Přehled služeb portálu iMunis a jejich vztah ke GDPR
Pro zákazníky jsme připravili stručný seznam kroků, které je třeba udělat v souvislosti s GDPR.
eDeska (Úřední deska)
Ve službě eDeska jsou zpracovávány osobní údaje poskytnuté správcem za účelem zveřejnění dokumentů na základě zvláštního právního předpisu (zákon č. 500/2004 Sb. Správní řád, § 26), včetně osobních údajů v nich nebo v jejich metadatech obsažených a dále vedení evidence zveřejněných dokumentů pro účely prokázání skutečnosti zveřejnění.
Některé dokumenty (typicky doručení veřejnou vyhláškou nebo dražební vyhlášky) obsahují osobní údaje osob, kterých se týkají. Plné (neanonymizované) zveřejnění takových dokumentů je zcela v souladu se zákonem, avšak pouze po dobu, která je zákonem vyžadována. Problematické je však ponechání takových dokumentů veřejně dostupných i po svěšení, například prostřednictvím vyhledání v tzv. archivu úřední desky zachycujícímu stav úřední desky k určitému datu. ÚOOÚ k této problematice vydal stanovisko č. 1/2011 (Zveřejňování listin s osobními údaji prostřednictvím internetu), ze kterého vyplývá, že se jedná o porušení zásad ochrany osobních údajů.
Z tohoto důvodu jsme k datu účinnosti GDPR provedli vypnutí funkce archivu úřední desky u všech zákazníků. Samozřejmě je nám jasné, že zákazník potřebuje i zpětně doložit, že některé dokumenty byly vyvěšeny na úřední desce v řádných termínech. Proto jsme připravili funkci neveřejného archivu dostupného pro zákazníka na adrese https://www.imunis.cz/edeska-archiv. Podoba archivu odpovídá tomu, jak byla úřední deska ke zvolenému datu dostupná veřejnosti.
SMiS (hromadné rozesílání SMS zpráv)
Ve službě SMiS jsou zpracovávány osobní údaje poskytnuté buď správcem, nebo přímo osobou, která projeví zájem o příjem informačních SMS zpráv. Pokud telefonní číslo poskytne přímo zájemce o příjem informačních SMS zpráv prostřednictvím stanoveného postupu, provede zpracovatel automaticky zpracování. Pro fungování služby je nezbytně nutné poskytnout telefonní číslo pro zasílání zpráv, další identifikační údaje může poskytnout správce. Zpracovatel poskytuje funkce pro udělení a odvolání souhlasu se zpracováním.
Současné názory na hromadné rozesílání SMS zpráv občanům předpokládají rozdělení informačních kanálů na dvě kategorie – pro rozesílání informací o dění na území obce na základě veřejného zájmu a pro rozesílání zpráv mající charakter obchodních sdělení na základě uděleného souhlasu.
Je tedy nutné, abyste jako správce po přihlášení do služby SMiS provedli správné označení jednotlivých kanálů. Pro kanály, které budou vyžadovat souhlas, je možné postupovat dvěma způsoby – evidovat souhlasy v listinné podobě, nebo si od občanů vyžádat udělení souhlasu opětovným přihlášením do kanálu pomocí SMS.
Rozklikávací rozpočet
Tato služba není určena pro veřejné zpřístupňování osobních údajů a nedochází u ní k žádným změnám.
Bezpečnost
Provoz portálu iMunis je zajištěn na vlastním hardware poskytovatele v datovém centru na území ČR. V datovém centru je zajištěna odpovídající úroveň fyzické i kybernetické bezpečnosti.
Informace pro veřejnost
Připravili jsme informace o zpracování osobních údajů pro veřejnost (dle čl. 13 a 14 GDPR), které jsou rozděleny pro jednotlivé služby portálu. Konkrétní odkazy, které může zákazník uvést na svých webových stránkách, jsou k dispozici v menu Nápověda v jednotlivých aplikacích a zmíněny jsou rovněž v dokumentu Několik kroků, které musíte provést v souvislosti s GDPR.
Smluvní vztahy mezi zákazníkem a poskytovatelem (Triadou)
Všichni zákazníci obdrželi k podpisu smlouvy o zpracování osobních údajů, které obsahují náležitosti vyžadované GDPR.