GDPR
GDPR
POSKYTNUTÍ INFORMACÍ A POUČENÍ O PRÁVECH SUBJEKTU ÚDAJŮ
1. ÚVODNÍ INFORMACE
Liberecký kraj, U Jezu 642/2a, 461 80 Liberec 2, IČO: 70891508, je garantem a provozovatelem systému OPUSCARD, který umožňuje prostřednictvím multifunkčních čipových karet Opuscard přístup ke službám, jež mohou být poskytovány třetími osobami. Systém OPUSCARD se sestává z Kartového centra Libereckého kraje (dále jen „KCLK“) a z jednotlivých Kartových aplikací.
Liberecký kraj je zároveň Vydavatelem karet Opuscard (dále jen „Vydavatel“). KCLK představuje soubor technických, personálních a dalších hmotných a nehmotných prostředků, jež slouží k vydávání, správě, provozu a údržbě karet Opuscard vydaných pro jednotlivé držitele, a dále k interakci s jednotlivými Kartovými aplikacemi. Kartovou aplikací se rozumí soubor softwarových, hardwarových, personálních a dalších hmotných a nehmotných prostředků umožňující prostřednictvím karet Opuscard přístup k příslušným službám (dále jen „Kartová aplikace“). Jednotliví provozovatelé příslušných Kartových aplikací jsou dále označováni jako „Provozovatelé“. Seznam Kartových aplikací existujících v daném čase v rámci systému OPUSCARD a jejich Provozovatelů je uveden na webové adrese xxx.xxxxxxxx.xx a je rovněž k dispozici na Kontaktních místech Opuscard, přičemž tento seznam se může měnit a je průběžně aktualizován. Určitá Kartová aplikace může být pro určitou kartu Opuscard zpřístupněna, pokud KCLK na základě rozhodnutí žadatele o vydání karty Opuscard nebo držitele karty Opuscard na jeho kartě Opuscard vyhradí pro Kartovou aplikaci datový prostor (vyhrazení datového prostoru je součástí procesu aktivace příslušné Kartové aplikace). Nedílnou součástí karty Opuscard je Kartová aplikace Dopravní odbavovací systém IDOL (dále jen „Kartová aplikace IDOL“), která je využívána v rámci Integrovaného dopravního systému Libereckého kraje (dále jen „systém OPUSCARD/IDOL).
2. INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ A POUČENÍ O PRÁVECH SUBJEKTU ÚDAJŮ
2.1 ROZSAH ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ.
V souvislosti s provozem systému OPUSCARD a jednotlivých Kartových aplikací jsou zpracovávány v souladu se zákonem č. 110/2019 Sb., o zpracování osobních údajů (dále jen „ZZOÚ“), a ode dne 25. 5. 2018 v souladu s Nařízením EP a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), („GDPR“), osobní údaje jednotlivých žadatelů o vydání karty Opuscard, resp. držitelů karet Opuscard, jejich případných zákonných zástupců a případně dalších fyzických osob majících práva k příslušné kartě každý z uvedených subjektů (dále jen jako „subjekt údajů“, přičemž souvislost mezi subjektem údajů a příslušnou kartou Opuscard je dále označována jako vztah ke kartě). Osobní údaje jsou zpracovávány na základě oprávnění, vyplývajících z ZZOÚ nebo GDPR. Osobní údaje každého subjektu údajů jsou zpracovávány v rozsahu údajů, které příslušný subjekt údajů poskytne, včetně průkazové fotografie, a dále v rozsahu údajů, které vzniknou či budou poskytnuty subjektem údajů při využívání systému OPUSCARD, respektive jednotlivých Kartových aplikací. Úplný rozsah osobních údajů zpracovávaných ve vztahu k subjektu údajů v souvislosti s provozem systému OPUSCARD a/nebo Kartových aplikací je uveden na webové adrese xxx.xxxxxxxx.xx a dále je uveden v dokumentu, který je k dispozici na kontaktních místech systému OPUSCARD, přičemž takto je vymezen:
a) rozsah osobních údajů zpracovávaných pravidelně v souvislosti s provozem systému OPUSCARD jako celku ve vztahu ke každému subjektu údajů s tím, že se jedná o identifikační osobní údaje v rozsahu: jméno a příjmení, datum narození, adresa, fotografie, přičemž volitelnými osobními údaji jsou titul, doručovací adresa (je-li odlišná od adresy vpředu), telefon a e-mail,
b) rozsah osobních údajů zpracovávaných v souvislosti s provozem systému OPUSCARD jako celku nad rámec osobních údajů uvedených pod bodem a) pro účely zpřístupnění konkrétní Kartové aplikace ve vztahu k subjektům údajů, jimž je na základě jejich rozhodnutí na kartě Opuscard vyhrazen datový prostor pro takovou Kartovou aplikaci nebo které mají jiný vztah ke kartě Opuscard, na které je datový prostor pro takovou Kartovou aplikaci vyhrazen s tím, že jimi jsou číslo čipu karty (SNR), platnost karty a případně další údaje, a
c) rozsah osobních údajů zpracovávaných v souvislosti s provozem konkrétních Kartových aplikací, přičemž ke zpracování osobních údajů v tomto rozsahu dochází pouze ve vztahu k subjektům údajů, jimž je na základě jejich rozhodnutí na kartě Opuscard vyhrazen datový prostor pro takovou Kartovou aplikaci nebo které mají jiný vztah ke kartě Opuscard, na které je datový prostor pro takovou Kartovou aplikaci vyhrazen. Rozsah zpracovávaných osobních údajů je uveden pro každou Kartovou aplikaci zvlášť. Za obsah, správnost a úplnost informace o rozsahu osobních údajů zpracovávaných v souvislosti s provozem konkrétních Kartových aplikací podle tohoto bodu, jak je uveřejněna na webové adrese xxx.xxxxxxxx.xx a uvedena v dokumentu, který je k dispozici na kontaktních místech systému, odpovídá Provozovatel příslušné Kartové aplikace. Provozovatel systému OPUSCARD není odpovědný za škodu či jakoukoli jinou újmu vzniklou v důsledku neexistence, nepravdivosti či neúplnosti této informace.
2.2 ÚČEL A PRÁVNÍ ZÁKLAD ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ.
Osobní údaje jsou ve vztahu k určitému subjektu údajů zpracovávány
a) v rozsahu vymezeném v odstavci 2.1, bod a) a b) za účelem stanoveným Vydavatelem karty, a to za účelem vydání, správy, provozu a údržby karty Opuscard a správy jejího životního cyklu, využívání karty v rámci systému OPUSCARD, provozu systému OPUSCARD jako celku a využívání služeb zpřístupněných držiteli karty Opuscard prostřednictvím jednotlivých Kartových aplikací, které držitel karty Opuscard využívá nebo pro které byl v rámci systému OPUSCARD na příslušné kartě Opuscard vyhrazen datový prostor, provozu KCLK a interakce mezi KCLK a jednotlivými Kartovými aplikacemi a zajištění bezpečnosti a integrity systému OPUSCARD a v jeho rámci i KCLK a jednotlivých Kartových aplikací, a
b) v rozsahu vymezeném v odstavci 2.1, bod c), pokud je určitá kartová aplikace držitelem karty Opuscard využívána nebo je na příslušné kartě Opuscard vyhrazen datový prostor pro určitou Kartovou aplikaci, za účelem stanoveným Provozovatelem takové Kartové aplikace, a to za účelem provozu Kartové aplikace a využívání karty Opuscard v jejím rámci, zajištění interakce mezi Kartovou aplikací a KCLK a zajištění bezpečnosti a integrity Kartové aplikace, a dále za účelem využívání služeb, získávání zboží či obdržení jiných plnění zpřístupněných držiteli karty Opuscard prostřednictvím Kartové aplikace.
Účelem zpracování osobních údajů subjektu údajů je tudíž jednání se subjektem údajů o uzavření smlouvy, plnění práv a povinností subjektu údajů i správce vyplývajících ze smluvního vztahu, dále začlenění cestujícího do systému přepravy a odbavení v rámci systému OPUSCARD/IDOL dle odstavce 2.9, a dále zasílání nekomerčních sdělení týkajících se systému OPUSCARD/IDOL (za tímto účelem správce zpracovává pouze osobní údaje subjektu údajů: jméno, příjmení, ulice, č. p., obec, PSČ, a případně též mobil či email, pokud je subjekt údajů při uzavření smlouvy správci osobních údajů poskytne a současně během platnosti smlouvy nesdělí, že si takové zpracování nepřeje), jakož i za účelem ochrany práv a právem chráněných zájmů správce a dalších účastníků systému IDOL.
Právním základem uvedeného zpracování osobních údajů je ZZOÚ, resp. GDPR, jmenovitě: zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů; zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje a zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany (např. vymáhání pohledávek, marketingové nabídky apod.).
2.3 SPRÁVCE OSOBNÍCH ÚDAJŮ A SUBJEKTY ZPRACOVÁVAJÍCÍ A PŘIJÍMAJÍCÍ OSOBNÍ ÚDAJE.
Správcem zpracovávaných osobních údajů uvedených v odstavci 2.1, bod (a) a (b) je Vydavatel. Správcem zpracovávaných osobních údajů uvedených v odstavci 2.1, bod (c) je Provozovatel příslušné Kartové aplikace, přičemž informace o konkrétní osobě správce osobních údajů je ve vztahu ke každé Kartové aplikaci uvedena na webové adrese xxx.xxxxxxxx.xx a dále je k dispozici na Kontaktních místech Opuscard. Zpracovatelem osobních údajů jsou subjekty, se kterými příslušný správce osobních údajů uzavře o zpracování osobních údajů písemnou smlouvu. Informace o konkrétních zpracovatelích osobních údajů či jejich kategoriích jsou ve vztahu ke každému správci osobních údajů uvedeny na webové adrese xxx.xxxxxxxx.xx a dále jsou k dispozici na kontaktních místech Opuscard; Vydavatel však neodpovídá za obsah, správnost a úplnost těchto informací, pokud samo není ve vztahu ke konkrétnímu zpracovateli osobních údajů v pozici správce osobních údajů. Vydavatel jako správce osobních údajů a zpracovatel(é), se kterými Vydavatel uzavřel smlouvu o zpracování osobních údajů, mohou zpřístupnit zpracovávané osobní údaje výhradně v souvislosti s provozem systému OPUSCARD příjemcům, kterými jsou Provozovatelé těch Kartových aplikací, pro které byl na základě rozhodnutí držitele karty Opuscard na kartě Opuscard vyhrazen datový prostor, a subjekty podílející se na provozu těchto Kartových aplikací nebo na provozu KCLK. Provozovatelé jako správci osobních údajů a zpracovatel(é), se kterými jednotliví Provozovatelé uzavřeli smlouvu o zpracování osobních údajů, mohou zpřístupnit zpracovávané osobní údaje výhradně v souvislosti s provozem jednotlivých Kartových aplikací příjemcům, kterými jsou Vydavatel a subjekty podílející se na provozu Kartových aplikací nebo na provozu KCLK. Informace o konkrétních příjemcích či kategoriích příjemců osobních údajů a o rozsahu osobních údajů, které jim mohou být zpřístupněny, jsou uvedeny na webové adrese xxx.xxxxxxxx.xx a dále jsou k dispozici na kontaktních místech Opuscard; Vydavatel však neodpovídá za obsah, správnost a úplnost těchto informací, pokud sám není subjektem, který konkrétnímu příjemci či kategorii příjemců zpracovávané osobní údaje zpřístupňuje. Výše uvedeným nejsou dotčeny povinnosti správce, zpracovatelů a popřípadě příjemců poskytovat informace podle zvláštních předpisů.
2.4 ZPŮSOB ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ.
Osobní údaje jednotlivých subjektů osobních údajů jsou v rozsahu podle odstavce 2.1, bod (a) a (b) zpracovávány manuálně v písemné formě a automatizovaně v elektronické formě. Osobní údaje jednotlivých subjektů osobních údajů v rozsahu podle odstavce 2.1, bod c) mohou být zpracovávány manuálně v písemné formě a/nebo automatizovaně v elektronické formě, přičemž informace o konkrétním způsobu zpracování osobních údajů je ve vztahu ke každé Kartové aplikaci uvedena na webové adrese xxx.xxxxxxxx.xx a dále je k dispozici na kontaktních místech Opuscard; za obsah, správnost a úplnost této informace odpovídá Provozovatel příslušné Kartové aplikace, Vydavatel není odpovědný za škodu či jakoukoli jinou újmu vzniklou v důsledku neexistence, nepravdivosti či neúplnosti této informace.
2.5 DOBA ZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ.
Osobní údaje jsou ve vztahu k subjektu údajů zpracovávány a) v rozsahu podle odstavce 2.1, bod a) za účelem stanoveným Vydavatelem karty podle odstavce 2.2 po dobu, v níž bylo subjektem údajů o vydání karty Opuscard zažádáno, dále po dobu platnosti karty Opuscard, po kterou je vydána a KCLK udržována příslušná karta Opuscard, k níž má subjekt údajů vztah, a dále po dobu 30 dní po uplynutí doby platnosti karty (osobní údaje jsou 30 dní zpracovávány v rozsahu podle odstavce 2.1, bod a) za účelem zjednodušeného zažádání o kartu Opuscard subjektem údajů). Osobní údaje zpracovávané v rozsahu podle odstavce 2.1, bod b) výhradně v souvislosti se zpřístupněním určité Kartové aplikace jsou za účelem stanoveným Vydavatelem podle odstavce 2.2 zpracovávány po dobu, po kterou je na příslušné kartě Opuscard, k níž má subjekt údajů vztah, vyhrazen datový prostor pro Kartovou aplikaci nebo je o vyhrazení datového prostoru pro Kartovou aplikaci žádáno; b) v rozsahu podle odstavce 2.1, bod c) za účelem stanoveným Provozovatelem podle odstavce 2.2 po dobu, po kterou je na příslušné kartě Opuscard, k níž má subjekt údajů vztah, vyhrazen datový prostor pro Kartovou aplikaci nebo je o vyhrazení datového prostoru pro Kartovou aplikaci žádáno.
Provozovatel konkrétní Kartové aplikace může stanovit delší dobu zpracování osobních údajů; v takovém případě bude informace o delší době zpracování osobních údajů uvedena na webové adrese xxx.xxxxxxxx.xx a dále bude uvedena v dokumentu, který je k dispozici na kontaktních místech Opuscard. Za obsah, správnost a úplnost informace o delší době zpracování osobních údajů, jak je uveřejněna na webové adrese xxx.xxxxxxxx.xx a uvedena v dokumentu, který je k dispozici na kontaktních místech Opuscard, odpovídá Provozovatel příslušné Kartové aplikace; Vydavatel není odpovědný za škodu či jakoukoli jinou újmu vzniklou v důsledku neexistence, nepravdivosti či neúplnosti této informace.
Pokud pomine účel, pro který jsou osobní údaje subjektu údajů zpracovávány, pak již tyto osobní údaje nejsou nadále zpracovávány.
2.6 PRÁVA SUBJEKTU ÚDAJŮ.
Každý subjekt údajů má právo požádat příslušného zpracovatele, popřípadě přímo správce osobních údajů, o poskytnutí informace o zpracování jeho osobních údajů, která mu bude bez zbytečného odkladu předána. Obsahem informace bude vždy sdělení o
a) účelu zpracování osobních údajů,
b) osobních údajích, případně kategoriích osobních údajů, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji,
c) povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů,
d) příjemci, případně kategoriích příjemců.
Za poskytnutí informace je správce, popřípadě za správce zpracovatel oprávněn požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.
2.7 DOBROVOLNOST POSKYTNUTÍ OSOBNÍCH ÚDAJŮ.
Subjekt údajů není podle žádného obecně závazného právního předpisu povinen poskytnout své osobní údaje za účelem podle odstavce 2.2; poskytnutí osobních údajů je zcela dobrovolné. Pokud se však subjekt údajů rozhodne své osobní údaje neposkytnout, nebude moci být navázán smluvní vztah (smlouva) o vydání Osobní karty Opuscard mezi Vydavatelem a žadatelem o vydání karty Opuscard nebo o využívání konkrétní Kartové aplikace mezi držitelem karty Opuscard a Provozovatelem příslušné Kartové aplikace. Na formulářích, jejichž prostřednictvím subjekt údajů poskytuje své osobní údaje, bude vždy vyznačeno, které osobní údaje subjekt údajů poskytnout nemusí, aniž by nastaly výše uvedené nepříznivé následky.
2.8 POUČENÍ O DALŠÍCH PRÁVECH SUBJEKTU ÚDAJŮ.
Každý subjekt údajů, který zjistí nebo se domnívá, že správce osobních údajů nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může požádat správce nebo zpracovatele o vysvětlení, nebo požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů. Jestliže bude žádost subjektu údajů shledána oprávněnou, správce nebo zpracovatel neprodleně odstraní závadný stav. Pokud správce údajů nebo příslušný zpracovatel žádosti nevyhoví, může se subjekt údajů obrátit na Pověřence pro ochranu osobních údajů (xxx@xxxxx.xx, 488 588 788) nebo na Úřad pro ochranu osobních údajů; právo subjektu údajů obrátit se na uvedený úřad přímo tím není dotčeno.
Subjekt údajů má ode dne 25. 5. 2018 také právo požadovat od správce přístup k osobním údajům, tj. získat od správce potvrzení o tom, zda se zpracovávají osobní údaje, které se ho týkají, a je-li tomu tak, má subjekt údajů právo získat přístup k těmto osobním údajům a na další informace v zákonném rozsahu. Rovněž má právo na opravu svých nesprávných osobních údajů, resp. na doplnění neúplných osobních údajů. Má právo na výmaz svých osobních údajů, pokud byly splněny zákonné podmínky, např. pokud osobní údaje již nejsou potřeba k účelům, pro něž byly získány nebo se jinak zpracovávaly, jakož i na omezení zpracování osobních údajů správcem nebo zpracovatelem, jsou-li splněny zákonné podmínky, na přenositelnost údajů, tj. na získání osobních údajů, které se jej týkají a které správci poskytl, a to v strukturovaném, běžně používaném a strojově čitelném formátu. Subjekt údajů má právo také vznést kdykoli námitku z důvodů jeho konkrétní situace proti zpracování osobních údajů, které se jej týkají a jež je prováděno na základě čl. 6 odst. 1 písm. f) GDPR; v rozsahu, v němž jsou osobní údaje zpracovávané pro účely přímého marketingu, má subjekt údajů právo kdykoliv vznést námitku proti zpracování osobních údajů, které se ho týkají, a také podat stížnost dozorovému úřadu.
2.9 ZVLÁŠTNÍ USTANOVENÍ O KARTOVÉ APLIKACI DOPRAVNÍ ODBAVOVACÍ SYSTÉM IDOL.
2.10 Další informace
Subjekt údajů:
• měl možnost se seznámit se základní charakteristikou fungování systému OPUSCARD/IDOL,
• byl informován, že aktuální znění tohoto dokumentu může kdykoli získat na informační lince 488 588 788 a na webové adrese xxx.xxxxxxxx.xx ,
• byl informován, že další aktuální informace může získat na informační lince nebo webových stránkách xxx.xxxxxxxx.xx nebo prostřednictvím e-mailu xxxx@xxxxxxxx.xx.