dle čl. 13 a 14  nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) - (dále jen „GDPR“)

1. Obecné informace o správci
Správcem osobních údajů je Národní úřad pro kybernetickou a informační bezpečnost, Mučednická 1125/31, 616 00 Brno, IČO: 05800226, e-mail: posta@nukib.cz, ID datové schránky: zzfnkp3, jako ústřední orgán státní správy. Jako správce osobních údajů určuje účel, prostředky a způsob zpracování osobních údajů, provádí zpracování a odpovídá za něj. Pověřencem pro ochranu osobních údajů správce je:
Mgr. Pavel Král, tel. číslo 541 110 697, e-mail: DPO@nukib.cz
Zpracování osobních údajů probíhá v souladu s GDPR a dále v souladu s relevantními vnitrostátními právními předpisy v oblasti ochrany osobních údajů. Jako správce osobních údajů na základě povinnosti dané zvláštními zákony při zpracování osobních údajů správce dbá práva na ochranu soukromého a osobního života subjektu údajů.

2. Působnost správce a z něj vyplývající oblasti účelů zpracování osobních údajů.
Správce zpracovává na základě zvláštních právních předpisů osobní údaje nutné k identifikaci subjektu údajů a k  plnění právních povinností stanovených právními předpisy v rámci oblastí spadajících do působnosti správce.
Národní úřad pro kybernetickou a informační bezpečnost osobní údaje zpracovává:

  1. pro splnění svých právních povinností (např. kontrola dodržování povinností stanovených tímto zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) a zákonem č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, administrace zadávání veřejných zakázek podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, výkon spisové služby podle zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů);
  2. pro úkoly ve veřejném zájmu nebo při výkonu veřejné moci (např. vyřizování žádostí, stížností a jiných podání veřejnosti);
  3. pro uzavírání a plnění smluvních vztahů;
  4. pro účely svých oprávněných zájmů (př. ochrana majetku, atd.);
  5. na základě souhlasu se zpracováním osobních údajů.

 

3. Subjekty osobních údajů
Národní úřad pro kybernetickou a informační bezpečnost zpracovává osobní údaje zejména:

  1. účastníků řízení, stěžovatelů, žadatelů o informace a jiných osob, které se na něj obrátí nebo se kterými jedná;
  2. svých zaměstnanců (včetně bývalých), příp. jejich rodinných příslušníků, uchazečů o zaměstnání a členů poradních orgánů;
  3. subjektů údajů, se kterými uzavírá smluvní vztahy, a kontaktních osob smluvních stran;
  4. návštěvníků v prostorách úřadu.

 

4. Kategorie osobních údajů

  1. identifikační a kontaktní údaje – jméno, příjmení, akademický titul, datum a místo narození, číslo průkazu totožnosti, rodinný stav, rodné číslo, státní příslušnost, adresa trvalého bydliště, adresa pro doručování, telefonní číslo, e-mailová adresa, osobní číslo, IP adresa, datová schránka, atd.
  2. popisné údaje – kamerové záznamy, fotografie, atd.
  3. další údaje nezbytné pro plnění povinností ze smlouvy,
  4. údaje poskytnuté nad rámec příslušných zákonů zpracovávané v rámci uděleného souhlasu ze strany subjektu údajů

 

5. Způsob a doba zpracování osobních údajůZpracování osobních údajů provádí správce. Ke zpracování dochází prostřednictvím výpočetní techniky nebo manuálním způsobem u osobních údajů v listinné podobě, při dodržení všech bezpečnostních zásad pro správu a zpracování osobních údajů.Doba zpracování osobních údajů je odvozena od lhůt uvedených v příslušných smlouvách, ve spisovém řádu, či v příslušných právních předpisech. Jde o dobu nezbytně nutnou k zajištění práv a povinností plynoucích jak ze závazkového vztahu, tak i z příslušných právních předpisů.

6. Komu jsou osobní údaje poskytoványV některých případech je Národní úřad pro kybernetickou a informační bezpečnost povinen v souladu s právními předpisy poskytovat osobní údaje jiným správcům osobních údajů. Jde zejména o tyto případy:

  1. poskytování osobních údajů orgánům činným v trestním řízení;
  2. poskytování osobních údajů jiným orgánům státní správy při plnění zákonných povinností;
  3. poskytování osobních údajů jiným členským státům Evropské unie nebo mezinárodním organizacím, pokud to vyplývá z přímo použitelných předpisů Evropské unie, mezinárodní smlouvy, kterou je Česká republika vázána, nebo jiných mezinárodních závazků.

Národní úřad pro kybernetickou a informační bezpečnost může pro některá zpracování využít zpracovatele; v takovém případě jsou příjemci osobních údajů též tito zpracovatelé.

7. Informace o základních právech subjektů údajů
Subjekt údajů je oprávněn uplatnit svá práva vyplývající z GDPR vůči správci osobních údajů, a to zasláním žádosti na adresu správce nebo na e-mailovou adresu pověřence.

Subjekt údajů má právo na přístup k osobním údajům, které se jej týkají,  jejich opravu nebo výmaz, případně omezení zpracování, vznést námitku proti zpracování a uplatnit právo na přenositelnost údajů.

Jestliže je zpracování založeno na souhlasu, je subjekt údajů oprávněn kdykoliv souhlas odvolat, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním.

Subjekt údajů má právo podat stížnost na zpracování osobních údajů dozorovému úřadu, kterým je v České republice Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7, e-mail: posta@uoou.cz, ID datové schránky: qkbaa2n.

Vzhledem k tomu, že GDPR se nevztahuje na zpracování osobních údajů prováděné při výkonu činností, které nespadají do oblasti působnosti práva Evropské unie, tedy například zajišťování bezpečnosti České republiky, nevztahuje se GDPR na zpracování osobních údajů pro výkon kompetencí Národního úřadu pro kybernetickou a informační bezpečnostního podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) a zákonem č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti. Práva subjektu údajů podle čl. 12 až 22 GDPR nelze tedy v těchto případech vyžadovat.