Zásady nakládání s daty v aplikaci I.CA RemoteSign
Společnost První certifikační autorita, a.s., IČO: 26439395, se sídlem Podvinný mlýn 2178/6, Libeň, 190 00 Praha 9, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, spis. zn. B 7136 (dále jen „Společnost“), je poskytovatelem služby I.CA RemoteSign.
I.CA RemoteSign je služba, která umožňuje vytváření elektronického podpisu na mobilních zařízeních (mobilní telefony a tablety). Uživatel má na základě aplikace I.CA RemoteSign vždy k dispozici mobilní aplikaci, kterou využívá pro přijímání požadavků na vytváření elektronického podpisu na dokumentech zaslaných uživateli (dále jen „podepisovaný dokument“).
Společnost tímto informuje uživatele aplikace I.CA RemoteSign, že veškerá komunikace mezi mobilním zařízením uživatele a službou I.CA RemoteSign je šifrována speciálně vytvořeným protokolem a data předávaná do systému I.CA RemoteSign neobsahují podepisované dokumenty a Společnost k obsahu těchto dokumentů nemá jakýkoliv přístup a není ani zasilatelem podepisovaných dokumentů.
V případě využívání aplikace I.CA RemoteSign je správcem osobních údajů uživatelů aplikace I.CA RemoteSign zasilatel podepisovaného dokumentu. V případě jakýchkoliv dotazů ohledně zpracování osobních údajů tak doporučujeme uživatelům obrátit se na příslušené správce osobních údajů.
Společnost dále prohlašuje, že v některých případech může vystupovat jakožto správce osobních údajů ve smyslu Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen „GDPR“), shromažďovat a zpracovávat osobní údaje svých klientů, přičemž k uvedenému zpracování zpravidla dochází při poskytování služby certifikační autority (tj. při zajištění příslušného certifikátu). Společnost prohlašuje, že s osobními údaji svých klientů nakládá v souladu s GDPR a českými právními předpisy na ochranu osobních údajů. Tuto ochranu považuje Společnost za zcela zásadní, a proto v rámci svých činností dbá na striktní dodržování příslušné legislativy. Za tímto účelem odkazuje Společnost klienty na příslušené zásady o zpracování osobních údajů klientů.
1. Kategorie dat
Aplikace I.CA RemoteSign může mít v některých případech přístup k následují kategorii dat:
- jméno, příjmení, titul,
- rodné číslo nebo datum narození,
- číselný identifikátor dodávaný MPSV,
- adresa trvalého bydliště (ulice, číslo popisné, číslo orientační, město a PSČ, stát),
- e-mailová adresa,
- primární doklad totožnosti
2. Právní základy (tituly) přístupu k datům
V případě, že by Společnost přistupovala k datům uživatelů aplikace I.CA RemoteSign je právním základem přístup k těmto datům plnění smlouvy či dohody mezi Společností a uživatelem, případně v některých případech souhlas uživatele.
Právním základem zpracování identifikačních osobních údajů klientů je oprávněný zájem Společnosti na zajištění ochrany jeho práv a právem chráněných zájmů (např. při uplatnění nároků u soudů, pojišťoven apod.).
Právním základem zpracování některých osobních údajů klientů Společností je plnění právních povinností Společnosti vyplývající z právních předpisů, včetně účetních a daňových.
3. Účely zpracování osobních údajů
Účelem zpracování osobních údajů klientů je poskytování služeb vytvářejících důvěru a kvalifikovaných služeb vytvářejících důvěru. Zpracovávány jsou identifikační a kontaktní údaje klientů a údaje pro ověření jejich totožnosti.
Osobní údaje Společnost zpracovává zejména pro následující účely:
- správa klientů, a to včetně evidence poskytovaných služeb
- zpracování plnění, které pro Společnost klientům poskytuje
- zpracování dat pro výzkumné účely včetně interakce s klienty
- správa odměny za provedené plnění
- zpracování údajů za účelem plnění právních povinností
- provádění vnitřních šetření pro účely zajištění, zda jsou dodržovány právní a jiné předpisy
- zodpovídání otázek nebo žádostí o informace klientů
- zpracovávání reklamací a informací týkajících se poskytnutých služeb
4. Doba uchování osobních údajů
Společnost uchovává osobní údaje klientů ve formátu umožňujícím identifikaci konkrétního klienta pouze po dobu nezbytnou pro naplnění účelu jejich zpracování, přičemž v některých případech je zákonem vyžadována doba úschovy dokumentů až 10 let.
Společnost dále uvádí, že lhůta výmazu identifikačních a kontaktních údajů vztahujících se ke službám vytvářejícím důvěru je v souladu s příslušnou legislativou deset let, u údajů pro ověření totožnosti je lhůta dalších patnáct let.
Ostatní osobní údaje, jež jsou zpracovávány z důvodu plnění smlouvy, jsou zpracovávány po dobu trvání smluvního vztahu a tři roky po jeho skončení, za účelem případného uplatnění nároků plynoucích z tohoto vztahu.
Osobní údaje zpracovávané z důvodu plnění právních povinností jsou zpracovávány po dobu, kterou stanoví příslušné obecně závazné právní předpisy.
Osobní údaje zpracovávané na základě oprávněných zájmů Společnosti jsou zpracovávány pouze po dobu trvání daného účelu, nejdéle však po dobu 3 let.
Osobní údaje mohou být poskytnuty pro soudní nebo správní účely, vždy v souladu s platnou legislativou pro ochranu osobních údajů.
5. Příjemci osobních údajů
Příjemcem osobních údajů jsou pouze subjekty oprávněné dle příslušné legislativy a při ukončení činnosti Společnosti náhradní poskytovatelé služeb vytvářejících důvěru, popř. orgán dohledu.
Osobní údaje mohou být poskytnuty pro soudní nebo správní účely, vždy v souladu s platnou legislativou pro ochranu osobních údajů.
Osobní údaje obsažené ve vydávaných certifikátech jsou zveřejňovány na adrese http://www.ica.cz/Verejne-certifikaty. Vydané certifikáty jsou vystavovány s výjimkou situace, kdy si držitel certifikátu vymínil, že certifikát zveřejněn nebude. Tuto možnost mají všichni žadatelé o certifikát a je popsána v certifikačních politikách (kapitola 4.4.2). Osobní údaje klientů služby vydávání kvalifikovaných elektronických časových razítek a kvalifikované služby ověřování kvalifikovaného elektronického podpisu nebo pečetě nejsou běžně zpřístupňovány.
6. Předávání osobních údajů
Společnost nepředává osobní údaje do třetích zemí, ani mezinárodním organizacím.
7. Práva klienta ve vztahu k ochraně osobních údajů
Společnost tímto informuje klienty o následujících právech, která mohou jako subjekty údajů uplatnit dle GDPR:
a. Právo na přístup
Klient má právo získat od Společnosti potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům, jakož i k informacím o podmínkách zpracování (např. účely zpracování, kategorie osobních údajů, příjemci, předpokládaná doba uchování údajů atd.).
b. Právo na opravu
Klient má právo na to, aby Společnosti bez zbytečného odkladu opravila nepřesné nebo doplnila neúplné osobní údaje, které se týkají jeho osoby, a to bez ohledu na důvod vzniku nepřesnosti či neúplnosti.
c. Právo na výmaz
Klient má právo požadovat, aby Společnost bez zbytečného odkladu ukončila zpracování a vymazala některé osobní údaje, které se daného klienta týkají, a Společnost má povinnost některé osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z důvodů stanovených v GDPR.
d. Právo na omezení zpracování
Klient má právo žádat omezení zpracování osobních údajů za podmínek stanovených v GDPR, zejména v případě pochybností o správnosti zpracování.
e. Právo na přenositelnost údajů
Klient má právo získat osobní údaje, které se ho týkají, jež poskytl Společnosti, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci anebo pro vlastní účely, aniž by tomu Společnost bránila. Toto právo se týká osobních údajů, jejichž právním základem zpracování je plnění smlouvy a jež jsou zpracovávány automatizovaně.
f. Právo vznést námitku
Klient má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, pokud jsou osobní údaje zpracovávány na právním základě oprávněného zájmu Společnost nebo plnění úkolů ve veřejném zájmu.
g. Právo podat stížnost dozorovému orgánu
Klient má právo podat stížnost k dozorovému orgánu, pokud se domnívá, že Společnost zpracovává jeho osobní údaje v rozporu s GDPR či jinými právními předpisy.
S dotazem, podnětem či stížností se také můžete obrátit na Úřad pro ochranu osobních údajů, Pplk. Sochora 27, Holešovice, 170 00 Praha 7, telefon +420 234 665 111, neelektronická pošta posta@uoou.cz.
V případě dotazů nebo pro uplatnění svých práv můžete kontaktovat společnost následujícími způsoby:
- poštou na adrese sídla Společnosti:
První certifikační autorita, a.s.
Podvinný mlýn 2178/6
190 00 Praha 9
Česká republika
- prostřednictvím telefonu, emailu a datové schránky Společnosti
telefonem na čísla +420 284 081 940, nebo +420 284 081 965,
elektronickou poštou na adrese info@ica.cz
datovou schránkou ID DS: a69fvfb
- osobně na pracovišti registrační autority v sídle Společnosti
(pracovní doba v pondělí až čtvrtek od 8:00 do 15:30, v pátek od 8:00 do 12:00.)