Mobile navigation Search icon

Zásady zpracování osobních údajů

Datum účinnosti dokumentu: 25. 5. 2018
 

A. Obecná část

  1. Úvodní ustanovení

    1. CZ.NIC, zájmové sdružení právnických osob, IČ 67985726, se sídlem Milešovská 1136/5, Vinohrady, 130 00 Praha 3, zapsané ve spolkovém rejstříku vedené u Městského soudu v Praze pod spisovou značkou L 58624 (dále jen „CZ.NIC“ nebo „sdružení CZ.NIC“), stanoví tyto zásady zpracování osobních údajů sdružením CZ.NIC.

    2. CZ.NIC vykonává řadu činností a poskytuje řadu služeb, v jejichž rámci dochází ke zpracování osobních údajů, a okruh těchto údajů, jakož i způsob zpracování se v jednotlivých případech liší. Tato Obecná část proto stanoví obecné zásady zpracování osobních údajů sdružením CZ.NIC (dále jen „Obecné zásady“) s tím, že specifická úprava zpracování osobních údajů u jednotlivých činností či služeb je obsažena ve Zvláštní části týkajících se zpracování osobních údajů u jednotlivých činností či služeb (dále jen „Zvláštní zásady“). Společně jsou označovány též jako „Zásady“.

    3. Pojmy, které jsou v Zásadách uvedeny s velkým počátečním písmenem, mají význam definovaný v Zásadách, případně v dalších dokumentech vydávaných sdružením CZ.NIC, zejména v obchodních podmínkách či pravidlech.

    4. Právními předpisy upravujícími ochranu osobních údajů se rozumí právní předpisy, které jsou součástí českého právního řádu, včetně příslušných mezinárodních smluv a právních předpisů Evropské unie, a které se týkají ochrany osobních údajů.

    5. Sdružení CZ.NIC je držitelem certifikace systému managementu bezpečnosti informací (ISMS) podle normy ISO 27001.

  2. Získávání, účel a právní základ zpracování osobních údajů

    1. Není-li v Zásadách stanoveno jinak, osobní údaje získává sdružení CZ.NIC od subjektů těchto údajů.

    2. Nevyplývá-li právní základ, účel či rozsah zpracování osobních údajů z Obecných zásad, je uveden v jednotlivých Zvláštních zásadách.

    3. Subjekt údajů, který poskytuje sdružení CZ.NIC osobní údaje, nese odpovědnost za správnost všech poskytnutých osobních údajů, a prohlašuje, že se nejedná o pseudonymy (s výjimkou činností či služeb, které výslovně počítají s poskytováním pseudonymních údajů).

  3. Zpracování osobních údajů na základě smlouvy

    1. Zpracování osobních údajů je sdružením CZ.NIC prováděno v naprosté většině (výjimky jsou v Zásadách uvedeny) z důvodu nezbytnosti pro plnění smlouvy uzavřené mezi sdružením CZ.NIC a subjektem údajů, a to vždy za účelem plnění takové smlouvy.

    2. Sdružení CZ.NIC oprávněno zpracovávat osobní údaje po celou dobu trvání smlouvy, a dále po dobu 10 let po skončení trvání smlouvy, není-li ve Zvláštních zásadách uvedeno jinak a nebo pokud delší dobu nestanoví právní předpis, a to pro účely archivace a oprávněných zájmů sdružení CZ.NIC či třetích stran v režimu omezeného zpracování tak, aby je bylo možné použít pro určení výkon nebo obhajobu právních nároků.

  4. Zpracování osobních údajů na základě souhlasu subjektu údajů

    1. Jestliže je zpracování osobních údajů prováděno na základě souhlasu, pak je poskytován v rozsahu a pro účely v tomto souhlasu uvedeném, v souladu s těmito Zásadami a jeho případné odmítnutí nemá vliv na poskytnutí služby sdružení CZ.NIC.

    2. Subjekt údajů je oprávněn kdykoliv tento souhlas se zpracováním osobních údajů odvolat, tím však není dotčena zákonnost zpracování založená na souhlasu uděleném před odvoláním souhlasu. Ustanovení čl. 3.2 platí obdobně.

  5. Zpracování osobních údajů poskytnutých třetí osobou

    1. Osoba, která poskytuje sdružení CZ.NIC osobní údaje třetích osob, takové třetí osoby zastupuje a poskytnutím takových osobních údajů potvrzuje, že má pověření takových třetích osob k poskytnutí jejich osobních údajů.

    2. Subjekt údajů či osoba, která poskytuje sdružení CZ.NIC osobní údaje třetích osob, je povinna oznámit sdružení CZ.NIC jakékoliv změny v poskytnutých osobních údajích, v případě osobních údajů třetích osob pak takové třetí osoby zastupuje a poskytnutím takových změn osobních údajů potvrzuje, že má pověření takových třetích osob k jejich poskytnutí.

  6. Některá samostatná zpracování osobních údajů

    1. Údaje uchazečů o zaměstnání jsou zpracovávány v rozsahu, v jakém jsou uvedeny v životopisu, který uchazeč o zaměstnání sdružení CZ.NIC poskytne, a to výhradně pro účely výběrového řízení a dále nejdéle po dobu 1 roku od jeho ukončení, pokud mezi uchazečem a sdružením CZ.NIC nevznikl pracovněprávní vztah. Uchazeč o zaměstnání může v průběhu této doby kdykoliv sdružení CZ.NIC oznámit, že již nemá zájem být v této evidenci a sdružení CZ.NIC zpracování jeho osobních údajů bezodkladně ukončí.

    2. Sdružení CZ.NIC zpracovává osobní údaje svých smluvních partnerů, včetně těch subjektů údajů, kteří použili elektronický obchod provozovaný sdružením CZ.NIC či se účastní jím pořádaných školení, seminářů, přednášek, konferencí či jiných akcí, nezbytné pro plnění smluv s těmito smluvními partnery a v souvislosti s tím též pro účely oprávněných zájmů sdružení CZ.NIC, a to po dobu uvedenou v čl. 3.2; tyto osobní údaje zahrnují:

      • jména, příjmení, adresy, telefonní čísla, emaily, identifikační čísla, daňová identifikační čísla, a další údaje vyžadované právními předpisy a dále údaje kontaktních osob těchto smluvních partnerů nezbytné pro plnění smluv s těmito smluvními partnery a pro účely oprávněných zájmů sdružení CZ.NIC, pokud jsou tyto údaje uvedeny v příslušné smlouvě nebo pokud se tito zaměstnanci podílí na plnění takové smlouvy, a to v obdobném rozsahu.

    3. Sdružení CZ.NIC též zpracovává zvukové záznamy telefonních hovorů, které jsou přijaty zákaznickou podporou sdružení CZ.NIC, a to pro účely plnění povinností dle smluv, oprávněných zájmů sdružení CZ.NIC či ochranu životně důležitých zájmů subjektu údajů či jiné fyzické osoby. Záznamy jsou uchovávány po dobu 6 měsíců od jejich pořízení.

    4. Sdružení CZ.NIC zpracovává obrazové a zvukově-obrazové záznamy z bezpečnostních systémů (zejm. kamerových systémů) určených k ochraně, bezpečnosti, monitorování přístupu do prostor a k technickým zařízením sdružení CZ.NIC, a to po dobu 7 dnů od jejich pořízení za účelem ověření, zda nedošlo k narušení bezpečnosti či jiným bezpečnostním incidentům. Toto zpracování osobních údajů je nezbytné pro účely oprávněných zájmů sdružení CZ.NIC a třetích stran, zejména smluvních partnerů sdružení CZ.NIC, kteří by mohli být dotčeni bezpečnostními incidenty (např. zásah do práv držitelů jmen domén neoprávněným přístupem k Centrálnímu registru apod.)

  7. Způsoby a prostředky zpracování osobních údajů

    1. Sdružení CZ.NIC osobní údaje

      1. zpracovává převážně v elektronické podobě a automatizovaným způsobem;

      2. uchovává ve svých informačních systémech, popřípadě na zálohovacích médiích, a to převážně na území Evropské unie a v omezených případech i mimo toto území. Informační systémy sdružení CZ.NIC, popřípadě zálohovací média, jsou umístěny či uchovávány pod přímou kontrolou CZ.NIC, případně v prostorách či na zařízeních třetích stran, avšak vždy zůstávají pod přímou kontrolou CZ.NIC a nevyplývá-li ze Zásad jinak, nejsou osobní údaje v nich obsažené takovým třetím stranám poskytovány ani zpřístupňovány.

    2. Technicko-organizační opatření k ochraně: Sdružení CZ.NIC přijalo a zdokumentovalo taková opatření, aby přístup k osobním údajům a prostředkům pro jejich zpracování byl omezen pouze na oprávněné osoby a aby tyto oprávněné osoby zpracovávaly a přistupovaly pouze k takovým osobním údajům a prostředkům pro jejich zpracování, které odpovídají úrovni jejich oprávnění. Sdružení CZ.NIC zároveň přijalo a zdokumentovalo taková opatření, aby bylo zabráněno neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a aby bylo možné dohledat, kdo a jakým způsobem osobní údaje zpracovával, případně k prostředkům pro zpracování osobních údajů přistupoval.

    3. Zpracovávání sdružením CZ.NIC a dalšími osobami: Osobní údaje jsou zpracovávány sdružením CZ.NIC; pouze v omezeném rozsahu, případně v rozsahu nezbytném pro plnění smluvních a právních povinností sdružení CZ.NIC, mohou poskytnuty třetím osobám, které pro sdružení CZ.NIC zajišťují jako subdodavatelé některé činnosti, např. pro marketing, rozesílání zásilek, zpracovávání plateb, vedení účetnictví, daňové poradenství, právní služby, validaci kontaktů, případně se jedná o osoby, které poskytnutí údajů vyžadují v rámci výkonu své pravomoci a/nebo na základě smluvního závazku sdružení (např. poskytovatel finančních prostředků z veřejných zdrojů) apod. To se však týká pouze takových osobních údajů, které jsou nezbytné pro zajištění takové činnosti či povinnosti, a příslušné osoby jsou zavázány k ochraně osobních údajů v rozsahu stanoveném právními předpisy a v souladu s nimi.

    4. Předání do zahraničí: sdružení CZ.NIC nepředává s výjimkou některých subdodavatelů dle čl. 7.3 a výjimkou uvedenou ve Zvláštních zásadách (část B.I a B.IV) osobní údaje do zahraničí.

  8. Využití osobních údajů k bezpečnostním a marketingovým účelům

    1. Vzhledem k charakteru činnosti sdružení CZ.NIC, která zahrnuje i oblast počítačové a internetové bezpečnosti a boje proti kyberkriminalitě a skutečnosti, že zajištění bezpečného provozu služeb sdružení CZ.NIC, zejména Centrálního registru, má zásadní význam pro rozvoj a denní fungování veřejné správy, podnikatelů i soukromých aktivit občanů, je sdružení CZ.NIC oprávněno používat osobní údaje subjektů údajů pro účely identifikace rizik, zranitelností či hrozeb týkajících se subjektů údajů či jimi provozovaných informačních systémů či služeb, výzkumu a vývoje v této oblasti a cílené informování o zjištěných skutečnostech.

    2. Sdružení CZ.NIC je oprávněno používat osobní údaje subjektů údajů za účelem:

      1. informování o činnostech a službách sdružení CZ.NIC, které jsou předmětem uzavřené smlouvy, jejíhož plnění se zpracování osobních údajů sdružením CZ.NIC týká, nebo k nimž byl udělen souhlas se zpracováním osobních údajů;

      2. účelem šíření obchodních sdělení týkajících se jiných jeho vlastních činností či služeb;

    3. Subjekt údajů má přitom kdykoliv právo odmítnout zpracování osobních údajů dle čl. 8.2.

    4. Sdružení CZ.NIC je oprávněno používat osobní údaje subjektů údajů za účelem statistického zpracování a tyto statistiky zveřejňovat.

  9. Logování přístupu, cookies a odkazy

    1. Za účelem zajištění funkčnosti a bezpečnosti svých webových stránek, služeb nebo aplikací může sdružení CZ.NIC zpracovávat v nezbytném rozsahu logy přístupu k webovým stránkám, službám či aplikacím včetně adres IP protokolu.

    2. Za účelem zajištění co nejlepší funkčnosti pro uživatele/návštěvníky či pro analýzy svých webových stránek, služeb či aplikací může sdružení CZ.NIC zpracovávat údaje návštěvníka webové stránky či uživatele služby nebo aplikace či může implementovat do prohlížeče návštěvníka tzv. cookies. Pokud návštěvník webové stránky či uživatel služby nebo aplikace nesouhlasí s tímto zpracováním údajů či implementací cookies, může odmítnout toto zpracování v nastavení svého internetového prohlížeče přepnutím do soukromého či anonymního módu. Návštěvník webové stránky či uživatel služby nebo aplikace však bere na vědomí, že webová stránka či služba nebo aplikace nemusí v takovém případě správně fungovat po technické stránce.

    3. S výjimkou údajů nezbytných pro doložení identifikace návštěvníka webové stránky či uživatele služby nebo aplikace při zadávání pokynů k realizacím změn (zejména v souvislosti se změnami údajů v případě jmen domén či služby mojeID), jsou údaje dle článku 9.1 a 9.2 uchovávány pouze po dobu nezbytně nutnou k zajištění funkčnosti webové stránky, služby nebo aplikace.

    4. Webové stránky, služby či aplikace CZ.NIC mohou obsahovat odkazy na třetí strany, jejich webové stránky, služby nebo aplikace. Tyto třetí strany mohou zpracovávat údaje návštěvníka webové stránky či uživatele jejich služby nebo aplikace, nebo mohou implementovat do prohlížeče návštěvníka tzv. cookies. Zpracování osobních údajů návštěvníka webové stránky či uživatele služby nebo aplikace se pak řídí zásadami přijatými těmito třetími stranami a návštěvník webové stránky či uživatel služby nebo aplikace by se s nimi měl před návštěvou webové stránky či užitím služby seznámit. Sdružení CZ.NIC nenese za zpracování osobních údajů těmito třetími stranami odpovědnost.

  10. Práva subjektu údajů a možnost obrátit se na sdružení CZ.NIC

    1. Sdružení CZ.NIC lze ve věcech souvisejících s ochranou osobních údajů kontaktovat některým ze způsobů uvedených na https://www.nic.cz.

    2. Subjekt údajů je oprávněn:

      1. požadovat od CZ.NIC vysvětlení a odstranění vzniklého stavu (zejména formou blokování, provedením opravy, doplněním nebo likvidací osobních údajů), pokud zjistí nebo se domnívá, že sdružení CZ.NIC provádí zpracování jeho osobních údajů, které je v rozporu s právním řádem, zejména jsou-li údaje nepřesné s ohledem na účel jejich zpracování; oprava či doplnění mohou být provedeny prostřednictvím Určeného registrátora,

      2. požadovat od CZ.NIC přístup ke svým osobním údajům, jejich opravu nebo výmaz (prostřednictvím Určeného registrátora), popřípadě omezení zpracování,

      3. vznést námitku proti zpracování osobních údajů v rozsahu a za podmínek stanoveném právními předpisy,

      4. uplatnit právo na přenositelnost údajů v případě automatizovaného zpracování osobních údajů prováděného na základě jeho souhlasu či pro plnění smlouvy mezi ním a sdružením CZ.NIC, a to v rozsahu a za podmínek stanoveném právními předpisy,

      5. podat stížnost proti zpracování osobních údajů sdružením CZ.NIC u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů.

  11. Změny zásad zpracování osobních údajů

    1. Sdružení CZ.NIC je oprávněno Zásady kdykoliv změnit. Změny je sdružení CZ.NIC povinno zveřejnit nejméně 1 měsíc přede dnem účinnosti takové změny na webových stránkách příslušných služeb sdružení CZ.NIC, na stránkách věnovaných jednotlivým činnostem sdružení CZ.NIC, či na hlavní webové stránce sdružení CZ.NIC na adrese https://www.nic.cz. Na těchto webových stránkách je také vždy k dispozici aktuální znění těchto dokumentů.

    2. Jakékoliv dodatky, výhrady, omezení či odchylky k Zásadám jsou vyloučeny.

    3. Právo dle článku 4.2 odvolat souhlas se zpracováním osobních údajů není změnou Zásad dotčeno.

B. Zvláštní část

B.I.

Zpracování osobních údajů v souvislosti s registracemi jmen domén

Účinnost od 25. 5. 2018

  1. Účel a právní základ zpracování osobních údajů

    1. Osobní údaje získává sdružení CZ.NIC od subjektů těchto údajů nebo jejich zástupců.

    2. Účel zpracování: vedení databáze Jmen domén registrovaných v doméně nejvyšší úrovně .cz (ccTLD .cz) nebo v doméně .0.2.4.e164.arpa (ENUM), tzv. Centrálního registru. Centrální registr obsahuje údaje o všech registrovaných jménech domén, jejich držitelích a dalších kontaktních osobách, a to včetně údajů historických. Centrální registr je určen k evidenci práv k jednotlivým jménům domén, a to nejen aktuálně platných, ale pro ověření změn prováděných v minulosti, zejména převodů či přechodů jmen domén či jiných právních jednání, která lze na základě záznamů v Centrálním registru identifikovat, i platných v minulosti.

    3. Právní základ: plnění smlouvy o registraci jména domény, jde-li o údaje poskytnuté dle čl. 2.4 a 2.5. V ostatních případech je právním základem souhlas subjektu údajů, přičemž subjekt osobních údajů je oprávněn tento souhlas kdykoliv odvolat tím, že subjekt osobních údajů tyto údaje odstraní prostřednictvím svého Určeného registrátora či k tomu určenou službou sdružení CZ.NIC (např. služba mojeID, Doménový prohlížeč).

  2. Osobní údaje vedené v souvislosti s registracemi jmen domén

    1. Sdružení CZ.NIC vede a zpracovává osobní údaje subjektů těchto údajů v Centrálním registru.

    2. Subjekt osobních údajů: Držitel Jména domény či jakákoliv kontaktní osoba vedená v souvislosti se Jménem domény, Kontaktem, Sadou nameserverů či Sadou klíčů v Centrálním registru.

    3. Osobní údaje vedené v Centrálním registru: jméno a příjmení, identifikátor, emaily, adresy, telefonní a faxová čísla, identifikační čísla (IČ), daňová identifikační čísla (DIČ), identifikační čísla Ministerstva práce a sociálních věcí či čísla identifikačních průkazů.

    4. Povinné osobní údaje (nezbytné pro plnění smlouvy): název Jména domény, ID kontaktu, jméno a příjmení, email a adresa.

    5. CZ.NIC je oprávněn požadovat, aby subjekt údajů poskytl nad rámec údajů dle článku 2.4 dodatečné osobní údaje nezbytné pro jeho jednoznačnou identifikaci, např. v rámci probíhajícího soudního či jiného řízení, případně řešení sporů dle Pravidel alternativního řešení sporů, zejména datum narození a identifikační číslo (IČ).

  3. Poskytování osobních údajů prostřednictvím sítě Internet

    1. Služba WHOIS (či jiný obdobný způsob): Sdružení CZ.NIC aktuálně platné osobní údaje v Centrálním registru a které v souladu s článkem 3.2 těchto Zvláštních zásad nebyly označeny jako skryté, poskytuje prostřednictvím sítě Internet v rámci informačních služeb sdružení CZ.NIC. Tyto údaje mohou být vzhledem k charakteru sítě Internet přístupné i mimo území Evropské unie.

    2. Skrývání údajů zpřístupňovaných dle čl. 3.1: subjekt údajů může zamezit zpřístupňování údajů jejich skrytím za podmínek stanovených Pravidly registrace (po ověření správnosti údajů a faktu, že údaje patří fyzické osobě). Skrýt není možné název Jména domény, ID kontaktu, jméno a příjmení uvedené u kontaktu.

    3. Účel poskytování: ochrana oprávněných zájmů subjektů údajů, zejména zajištění právní jistoty ve vztahu k výkonu jejich práv k Jménům domén. Toto poskytování osobních údajů je dále realizováno k zajištění ochrany oprávněných zájmů třetích osob týkajících se bezpečnosti sítě Internet, komunikace na této síti, bezpečnosti služeb poskytovaných s využitím Jmen domén, ochrany práv třetích osob proti rušení těchto práv Jmény domén či službami s jejich využitím poskytovanými, a to i z toho důvodu, aby dotčené třetí osoby mohly přímo a bez zbytečného zdržení a výdajů kontaktovat Držitele Jména domény či další osoby, popřípadě se mohly k zajištění ochrany svých práv obrátit s označením konkrétního Držitele na příslušné orgány.

    4. Zpřístupnění Registrátorům a jejich odpovědnost za zpracování osobních údajů:

      1. k osobním údajům obsaženým v Centrálním registru mají přístup Registrátoři, a to i ze zemí mimo území Evropské unie;

      2. registrátoři vystupují vůči osobním údajům svých zákazníků v pozici správce a jsou povinni dodržovat veškeré povinnosti, které jsou jim uloženy Právními předpisy upravujícími ochranu osobních údajů, dalšími právními předpisy a Smlouvou o spolupráci při registracích jmen domén, uzavřenou se sdružením CZ.NIC; registrátor je správcem osobních údajů svých zákazníků, bez ohledu na to, zda mu byly poskytnuty přímo či jinými osobami, které je zastupují;

      3. sdružení CZ.NIC je v pozici správce osobních údajů ve vztahu k osobním údajům, které získalo uzavřením smlouvy o registraci jména domény dle Pravidel registrace;

      4. registrátor a sdružení CZ.NIC se dohodli na vzájemném informování v případě bezpečnostních incidentů týkajících se porušení zabezpečení osobních údajů.

    5. Omezení užití osobních údajů zpřístupňovaných prostřednictvím informačních služeb sdružení CZ.NIC: údaje jsou určeny pouze pro účely související se správou a provozem sítě Internet, nebo pro účely soudního či jiného obdobného řízení vedeného ve věci týkající se zejména držení a užívání konkrétního
      Jména domény. Registr jmen domén podléhá právní ochraně podle příslušných ustanovení o ochraně databází. Data, informace ani jakékoliv jejich části nemohou být bez předchozího písemného souhlasu sdružení CZ.NIC užita žádným jiným způsobem. Užití dat, informací nebo jakékoliv jejich části v rozporu
      se stanoveným účelem anebo opakované vytěžování a zužitkovávání nikoliv kvantitativně či kvalitativně nepodstatné části dat v Centrálním registru může být považováno za porušení práv sdružení CZ.NIC, osob, jejichž data jsou v registru jmen domén obsažena anebo vykonavatelů autorských práv. Za porušení těchto práv je považováno zejména shromažďování anebo poskytnutí dat nebo jakékoliv jejich části pro zasílání nevyžádaných sdělení, poškozování činnosti síťových služeb a soukromí ostatních uživatelů. Užití v rozporu se stanoveným účelem může vést i k trestní odpovědnosti osoby, která se takového užití dopustí.

  4. Další poskytování osobních údajů

    1. Poskytování soudům a dalším obdobným orgánům: osobní údaje subjektu údajů, včetně údajů, které jsou označeny jako skryté, mohou být zpřístupněny a doložen souhlas subjektu údajů s aktuálním zněním Pravidel registrace a Pravidly alternativního řešení sporů soudu, rozhodčímu soudu, jinému státnímu orgánu nebo správci či expertovi dle Pravidel alternativního řešení sporů a to pro účely jejich úřední činnosti nebo v rámci rozhodování sporů v souladu se zákonem nebo řešení sporů dle Pravidel alternativního řešení sporů. Takto lze poskytnout pouze údaje vztahující se ke konkrétním subjektům údajů či konkrétním Jménům domén. Za stejných podmínek je CZ.NIC oprávněn poskytnout i údaje o historických údajích, jestliže jsou k dispozici.

    2. Poskytování třetím osobám: Sdružení CZ.NIC poskytne na základě písemné žádosti informaci o kontaktních údajích (e-mail, poštovní adresa) Držitele jednoho konkrétního Jména domény, a to i v případě, že jsou takové údaje označeny jako skryté. V žádosti musí být jednoznačně identifikována
      osoba žadatele (ověřený podpis, zaslání prostřednictvím ISDS) uveden a doložen účel, pro který je žádáno o sdělení těchto údajů, přičemž CZ.NIC je na základě vlastního uvážení oprávněn odmítnout poskytnutí informace, dojde-li k závěru, že účel žádosti není v souladu s dobrými mravy, či pokud se
      jedná o žadatele, který bez legitimního důvodu opakovaně žádá o poskytnutí informací o údajích různých Držitelů různých Jmen domén. CZ.NIC je oprávněn podání žádosti zpoplatnit. Žadatel je oprávněn použít získané informace pouze k účelu, který uvedl v žádosti o jejich poskytnutí.

    3. Poskytování historických údajů Držiteli Jména domény: Sdružení CZ.NIC poskytne na základě žádosti aktuálního Držitele Jména domény historické údaje z Centrálního registru, které se týkají daného Jména domény, tj. údaje o předchozích Držitelích Jména domény počínaje dnem poslední registrace Jména domény, a to nejdéle za dobu posledních 5 let. Historickými údaji se pro účely tohoto ustanovení rozumí takové údaje o bývalých Držitelích, které nemohou být označeny jako skryté; údaje o aktuálním Držiteli se poskytují bez ohledu na to, zda mohou být označeny jako skryté. Historické údaje lze poskytnout jen, jestliže jsou k dispozici.

    4. Právo na přenositelnost prostřednictvím Doménového prohlížeče: jestliže je Držitel Jména domény uživatelem služby MojeID a jeho účet u služby MojeID je v Centrálním registru u Jména domény veden v roli držitele či administrativního kontaktu, má své osobní údaje k dispozici v tzv. Doménovém prohlížeči provozovaném sdružením CZ.NIC.

B.II.

Zpracování osobních údajů v souvislosti se službou mojeID

Účinnost od 12. 9. 2020

  1. Účel a právní základ zpracování osobních údajů

    1. Osobní údaje získává sdružení CZ.NIC od subjektů těchto údajů nebo jejich zástupců.

    2. Účel zpracování: poskytování služby mojeID jako otevřeného decentralizovaného a svobodného systém pro správu elektronické identity uživatelů umožňující používání jednotných identifikačních údajů pro přístup k různým informačním systémům provozovaným různými poskytovateli (dále jen „Služba“). Nedílnou součástí Služby je ověřování identity subjektu údajů a vytváření bodu důvěry pro poskytovatele, kteří se mohou spolehnout na identifikaci subjektu údajů provedenou sdružením CZ.NIC.

    3. Právní základ: plnění smlouvy mezi sdružením CZ.NIC a subjektem osobních údajů.

  2. Osobní údaje vedené v souvislosti se službou mojeID

    1. Sdružení CZ.NIC vede a zpracovává osobní údaje v Registru identit. Registr identit může být propojen s Centrálním registrem, který sdružení CZ.NIC provozuje jako databázi jmen domén, jejich držitelů a dalších osob, případně může být s Centrálním registrem identický.

    2. Subjektem osobních údajů je osoba užívající Službu.

    3. Rozsah zpracovávaných osobních údajů: v Registru identit jsou vedeny osobní údaje uvedené v příloze č. 1 těchto Zvláštních zásad; v ní jsou uvedeny osobní údaje, jejichž poskytnutí Uživatelem či zpracování sdružením CZ.NIC v rámci poskytování Služby je povinné, protože to je nezbytné pro řádné používání Služby.

    4. Pořizování a uchovávání kopií identifikačních dokladů: pokud se subjekt údajů rozhodne ověřit své údaje vůči sdružení CZ.NIC osobně, s předložením svého identifikačního dokladu, je sdružení CZ.NIC oprávněno pro doložení správnosti ověřovaných údajů a jednoznačného ověření identity Uživatele Služby pořizovat a uchovávat kopie identifikačního dokladu subjektu údajů. Subjekt údajů má možnost umožnit ověření identity i jiným způsobem (např. s využitím informačních systémů veřejné správy, ověřený podpis), kdy sdružení CZ.NIC identifikační doklady nekontroluje a jejich kopie nepořizuje.

    5. Využití třetích osob v souvislosti s poskytnutím Služby: Sdružení CZ.NIC může k validaci osobních údajů poskytnutých za účelem poskytnutí Služby používat služby třetích osob, tzv. validačních agentů. Validační agent je při této činnosti zpracovatelem osobních údajů, který je na základě smlouvy se sdružením CZ.NIC povinen postupovat tak, aby zabránil přístupu k osobním údajům neoprávněným osobám. Záleží vždy na subjektu údajů, zda využije služeb validačního agenta či zda ověří své údaje přímo u sdružení CZ.NIC (např. prostřednictvím ISDS, poskytnutím kopie identifikačního dokladu) anebo ověří své údaje jinak (ověřovací doložka k podpisu subjektu údajů na žádosti o validaci). Poskytnutí údajů v rozsahu nezbytném pro provedení validace validačnímu agentovi je povinné, pokud si tento způsob subjekt údajů zvolí.

    6. CZ.NIC je oprávněn požadovat, aby subjekt údajů dodatečně poskytl údaje nezbytné pro jeho identifikaci, zejména adresu trvalého pobytu, datum narození a identifikační číslo (IČ), a to v případě, že je poskytnutí takového údaje nezbytné k jednoznačné identifikaci subjektu údajů, a to zejména v rámci probíhajícího soudního nebo jiného obdobného řízení.

    7. Sdružení CZ.NIC vede a zpracovává záznamy o použití Služby subjektem údajů, a to po dobu nejvýše 6 měsíců od použití Služby. V případě použití služby jako kvalifikovaného systému elektronické identifikace jsou záznamy o takovém použití Služby vedeny a zpracovávány po dobu nejvýše 10 let od takového použití Služby.

    8. Sdružení CZ.NIC vede a zpracovává osobní údaje použité nebo získané při identifikaci nebo validaci dle Pravidel, a to po dobu trvání identifikace či validace a dále pak nejvýše po dobu 5 let.

  3. Poskytování osobních údajů

    1. Poskytovatelům: při přihlášení pomocí Služby v souladu s Pravidly ověří sdružení CZ.NIC identitu subjektu údajů, jehož údaje mají být poskytnuty, informuje o výsledku ověření poskytovatele a předá poskytovateli osobní údaje subjektu údajů, které subjekt údajů označil jako údaje, které lze poskytovatelům předávat. V závislosti na osobě poskytovatele či charakteru služby provozované poskytovatelem takto mohou být osobní údaje poskytnuty i mimo území Evropské unie. Výběr poskytovatele a určení rozsahu předávaných osobních údajů je výhradně v kompetenci subjektu údajů (Uživatele Služby). Uživateli je doporučeno seznámit se před předáním údajů Poskytovateli prostřednictvím Služby se zásadami nakládání a ochrany osobních údajů příslušného poskytovatele, neboť příslušný poskytovatel se přijetím osobních údajů od Uživatele stává jejich správcem.

    2. Soudům a dalším obdobným orgánům: Sdružení CZ.NIC je oprávněno poskytnout osobní údaje
      z Registru identit, i když jsou označeny jako údaje nepředávané poskytovatelům, včetně dodatečně
      poskytnutých údajů, jakož i záznamy o použití Služby subjektem údajů včetně údajů, které při takovém použití byly předány poskytovateli, a to orgánům státní správy a soudů, včetně rozhodčího soudu, a to v souladu se zákonem a v rámci jejich pravomoci a působnosti nebo v rámci rozhodování sporů. Takto lze poskytnout pouze údaje vztahující se ke konkrétním subjektům údajů. Za stejných podmínek je CZ.NIC oprávněn poskytnout i údaje o historických údajích, jestliže jsou k dispozici.

    3. Sdružení CZ.NIC poskytne subjektu údajů na základě žádosti osobní údaje vedené o subjektu údajů v Registru identit, včetně historických údajů, jakož i záznamy o použití Služby subjektem údajů včetně údajů, které při takovém použití byly předány poskytovateli, a to nejvýše za dobu dle článků 2.7 a 2.8. Osobní údaje jsou subjektu údajů k dispozici v uživatelském účtu Služby, jehož prostřednictvím lze realizovat právo subjektu údajů na přenositelnost údajů v souladu s Právními předpisy.

  4. Zpracování osobních údajů poskytovatelem

    1. Poskytovatel, kterému byly v souladu s Pravidly poskytnuty osobní údaje subjektu údajů, se stává správcem poskytnutých osobních údajů subjektu údajů a je povinen tyto osobní údaje zpracovávat pouze za účelem, za kterým byly subjektem údajů poskytnuty.

    2. Další zpracování předaných osobních údajů je věcí vztahu mezi subjektem údajů a poskytovatelem. Poskytovatel je povinen seznámit subjekt údajů se zásadami nakládání s osobními údaji. Poskytovatel je povinen nakládat s osobními údaji Uživatele v souladu s právními předpisy.

 

Příloha č. 1

Údaj Povinný údaj
Identifikátor Ano
Datum a čas poslední změny Ne
Datum a čas posledního update Ne
Datum a čas vytvoření Ano
Jméno Ano
Organizace Ne
Adresa (může se jednat o adresu trvalého pobytu / sídlo právnické osoby / sídlo FO podnikatele) Ne
Korespondenční adresa Ano
Telefon Ano
Fax Ne
Email Ano
Příznaky zveřejnění v WHOIS Ne
Email pro oznámení Ne
Daňové identifikační číslo Ne
Typ identifikačního řetězce (IČ, DIČ, OP, pas nebo identifikátor MPSV) a identifikační řetězec (IČ, DIČ, číslo OP, číslo pasu nebo identifikátor MPSV) Ne
ID datové schránky Ano (v případě validace prostřednictvím datové schránky s využitím údajů z ISDS)
Heslo Ano
Seznam certifikátů Ne
Řetězec pro OTP Ne
Příznak validace Ne
Datum narození Ne
Příznak „přes 18“ Ne
Student Ne
Přezdívka Ne
Obrázek Ne
Seznam adres Ne
Seznam telefonních čísel Ne
Seznam IM identifikátorů (ICQ, Google talk apod.) Ne
Seznam URL Ne
Seznam emailů Ne

 

 

B.III.

Zpracování osobních údajů v souvislosti s projektem TURRIS

Účinnost od 25. 5. 2018

  1. Účel a právní základ zpracování osobních údajů

    1. Osobní údaje získává sdružení CZ.NIC od subjektů těchto údajů nebo jejich zástupců, případně v souvislosti s poskytováním služeb v rámci projektu TURRIS.

    2. Účel zpracování: poskytování služeb v rámci projektu TURRIS, který zahrnuje monitoring, analýzu a sběr informací o bezpečnostních událostech v oblasti počítačových sítí, zejména sítě Internet, a v jehož rámci sdružení CZ.NIC sbírá a vyhodnocuje údaje z routerů Turris (dále jen „Zařízení“), které subjekty údajů zapojí do projektu (dále jen „Projekt“).

    3. Právní základ: plnění smlouvy, na jejímž základě subjekt údajů zapojí Zařízení do Projektu a zároveň ochrana životně důležitých zájmů subjektů údajů, kterými je ochrana před bezpečnostními incidenty v rámci sítě Internet, které mohou mít výrazný dopad do jejich práv, včetně základních lidských práv.

    4. Po skončení trvání smlouvy, na jejímž základě subjekt údajů zapojí Zařízení do Projektu, k níž se osobní údaje vztahují, je sdružení CZ.NIC oprávněno takové osobní údaje zpracovávat pouze pro účely archivace, plnění právní povinnosti a pro účely oprávněných zájmů sdružení CZ.NIC či třetích stran v režimu omezeného zpracování tak, aby tyto údaje bylo možné použít pro určení, výkon nebo obhajobu právních nároků, a to po dobu nejvýše 10 let po skončení trvání takové smlouvy; data získaná ze Zařízení je sdružení CZ.NIC po uplynutí lhůt dle článku 3.4 povinno zlikvidovat, přičemž další uchovávání a zpracování údajů v souladu s článkem 3.4 tím není dotčeno.

  2. Osobní údaje vedené v souvislosti s projektem TURRIS

    1. Subjektem osobních údajů je osoba účastnící se Projektu, tj. vlastník, nájemce či uživatel Zařízení

    2. Rozsah zpracovávaných osobních údajů: jméno, příjmení, adresy, telefonní čísla, emaily, identifikační čísla, daňová identifikační čísla.

    3. Další údaje zpracovávané sdružením CZ.NIC, které mohou vést k identifikaci subjektu údajů, a které lze považovat za osobní údaje v následujícím rozsahu:

      1. identifikační údaje Zařízení, údaje o jeho teplotě, napětí a proudu z interních senzorů, informace o využití procesoru a paměti a jejím obsazení či poškození, informace o chybách v předinstalovaném softwarovém vybavení nebo softwarovém vybavení, které bylo sdružením CZ.NIC do Zařízení instalováno v průběhu trvání účasti subjektu údajů v projektu TURRIS,

      2. protokol komunikace, jeho zdroj a cíl (technický popis - data na úrovni hlaviček paketů umožňující zejména odlišit IPv4/IPv6 nebo TCP/UDP, typ paketu, identifikovat zdrojovou a cílovou adresu, zdrojový a cílový port, čas komunikace),

      3. data z aplikační vrstvy, která mají povahu metadat (např. obsah DNS paketů, hlavičky HTTP protokolu, certifikáty použité v rámci inicializace TLS spojení apod.), a to výhradně za předpokladu, že jsou pro danou bezpečnostní analýzu nezbytná a při splnění podmínek stanovených v článku 3.2,

      4. statistická data o spojení zahrnující velikost paketů, používaný protokol, množství dat přenesených v rámci jednoho spojení a

      5. data logů nepovolených přístupů z firewallu v rozsahu odpovídajícím článku 2.3.2.

    4. Sdružení CZ.NIC nezpracovává takové údaje, které by představovaly obsah komunikace (vnitřní obsah paketů), včetně osobních údajů, hesel apod., které jsou obsaženy v přenášených paketech, s výjimkou analýzy dat dle článku 2.3.3.

    5. V souvislosti s poskytováním služeb v rámci projektu TURRIS v oblasti prevence před bezpečnostními událostmi v prostředí sítě Internet, ochranou životně důležitých zájmů osob, včetně subjektů údajů, a vědecko-výzkumnými činnostmi, dochází také ke zpracování dalších údajů, které mohou vést k identifikaci některých subjektů údajů odlišných od těch, kteří jsou uvedeni v čl. 2.1, a to IP adres. Tyto IP adresy jsou získávány v rámci sledování kybernetických útoků, ukládání dat o těchto útocích a jejich vyhodnocování a následném zpřístupňování veřejnosti prostřednictvím projektu TURRIS. Subjekty údajů, kterým náleží tyto adresy, mohou uplatnit svá práva v souladu s čl. 10 Obecných zásad.

  3. Zpracování osobních údajů

    1. Místo zpracování: získané osobní údaje zpracovávány v co možná nejvyšší míře, pokud to povaha analýzy umožňuje, přímo na Zařízení a na servery pod přímou kontrolou sdružení CZ.NIC přenáší pouze data získaná analýzou. V ostatních případech jsou na servery pod přímou kontrolou sdružení CZ.NIC přenášena pouze data, která nelze zpracovat přímo na Zařízení. Přenos dat ze Zařízení na servery pod přímou kontrolou sdružení CZ.NIC probíhá přes šifrované spojení s přímou kontrolou certifikátu serveru.
    2. Ukládání dat: data získaná ze Zařízení jsou ukládána na provozně oddělené datové úložiště, které je přístupné pouze omezenému počtu zaměstnanců CZ.NIC pověřených činnostmi dle těchto podmínek.

    3. Data získaná pro účely analýzy jsou uchovávána odděleně od databáze subjektů údajů. V průběhu analýzy nejsou zaměstnancům sdružení CZ.NIC k dispozici informace o subjektech údajů, pouze jednoznačná identifikace Zařízení. Propojení informací, které byly získány prostřednictvím Zařízení, a identity subjektu údajů je možné pouze k zobrazení vybraných informací (zejm. logy a statistiky) subjektu údajů prostřednictvím webového rozhraní Projektu, nebo za účelem informování subjektu údajů o eventuální bezpečnostní události či hrozbě, pokud, např. s ohledem na hrozící riziko, nepostačuje obecné informování o výsledcích provedené analýzy.

    4. Doba zpracování a uchovávání dat získaných ze Zařízení: data jsou zpracovávána pouze po dobu nezbytnou pro jejich analýzu a zpracování, ne však déle než po dobu 10 dnů (pokud subjekt údajů ve webovém rozhraní Projektu neurčí dobu jinou) od jejich získání ze Zařízení. Po uplynutí této doby je sdružení CZ.NIC oprávněno uchovávat a zpracovávat pouze agregovaná data neumožňující jednoznačnou identifikaci zdroje i cíle komunikace zároveň. Tato povinnost se nevztahuje na technická data dle článku 2.3.1, která je sdružení CZ.NIC oprávněno uchovávat a zpracovávat bez omezení.

  4. Poskytování osobních údajů

    1. Poskytování třetím osobám pro účely ochrany před bezpečnostními hrozbami: zejména za účelem informování o potenciálních bezpečnostních hrozbách, vždy však tak, aby taková data neumožňovala těmto třetím osobám jednoznačnou identifikaci dotčeného subjektu údajů dle čl. 2.1, a to zejména v souvislosti s výkonem činností sdružení CZ.NIC jako provozovatele národního CERT dle právních předpisů a v souvislosti s výkonem činností sdružení CZ.NIC-CSIRT.

    2. Poskytování třetím osobám pro účely výzkumu a vývoje: třetím osobám lze poskytnout data získaná analýzou provozu na Zařízení, a to za účelem dalšího výzkumu a vývoje a sdílení informací důležitých pro plnění cílů Projektu (např. výměna dat o malware), vždy však v anonymizované podobě tak, aby nebylo možné identifikovat konkrétní Zařízení, ani subjekt údajů dle čl. 2.1.

    3. Poskytování informací subjektům údajů: přehled informací získaných z dat získaných prostřednictvím Zařízení bude subjektu údajů dle čl. 2.1 dostupný na uživatelské stránce Projektu. Ostatním subjektům údajů (např. údaje získané v rámci zpracovávání informací o zdrojích kybernetických útoků) budou informace o zpracovávaných údajích poskytnuty na žádost dle Obecných zásad.

B.IV.

Zpracování osobních údajů při provozování Národního CERT

Účinnost od 25. 5. 2018

  1. Úvodní ustanovení

    1. Sdružení CZ.NIC provozuje tzv. Národní CERT dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen „Zákon“), na základě Veřejnoprávní smlouvy o zajištění činnosti Národního CERT a o spolupráci v oblasti kybernetické bezpečnosti uzavřené dne 18. 12. 2015 mezi sdružením CZ.NIC a Českou republikou – Národním bezpečnostním úřadem (dále jen „Veřejnoprávní smlouva“).

  2. Účel a právní základ zpracování osobních údajů

    1. Účel zpracování: činností Národního CERT dle Zákona a Veřejnoprávní smlouvy.

    2. Zdroje zpracovávaných osobních údajů: oznámení o kontaktních osobách od subjektů uvedených v Zákoně, hlášení o kybernetických bezpečnostních incidentech, které přijímá dle Zákona a Veřejnoprávní smlouvy a v rámci projektu TURRIS, případně od subjektů těchto údajů.

    3. Právní základ: plnění úkolů prováděných sdružením CZ.NIC ve veřejném zájmu či při výkonu veřejné moci na základě Veřejnoprávní smlouvy a Zákona.

  3. Osobní údaje vedené v souvislosti s Národním CERT

    1. Sdružení CZ.NIC vede a zpracovává, a to převážně ručně, osobní údaje subjektů těchto údajů získané z oznámení kontaktních údajů, které přijímá od orgánů a osob uvedených v Zákoně, když tyto osobní údaje zahrnují zejména jména a příjmení, telefonní čísla, adresy a e-maily kontaktních osob.

    2. Sdružení CZ.NIC dále vede a zpracovává, a to převážně ručně, osobní údaje subjektů údajů, které získá z hlášení o kybernetických bezpečnostních incidentech či událostech, případně ze své vyhledávací činnosti při řešení ohlášených kybernetických bezpečnostních incidentů či událostí.

  4. Poskytování osobních údaj

    1. Osobní údaje dle těchto Zvláštních zásad jsou poskytovány pouze v souladu se Zákonem a Veřejnoprávní smlouvou, případně v rámci povinností, které jsou sdružení CZ.NIC uloženy právními předpisy, případně v rámci spolupráce s jinými bezpečnostními týmy CERT/CSIRT, a to v rámci plnění právních povinností či smluvních závazků sdružení CZ.NIC či ochrany životně důležitých zájmů subjektů údajů, třetích osob či sdružení CZ.NIC, a to i mimo území Evropské unie v případech, kdy je to nezbytné (např. s ohledem na lokalizaci kybernetického bezpečnostního incidentu či události).