Česky
(English version below)
V tomto dokumentu naleznete informace o zpracování osobních údajů v rámci mobilní aplikace EZKarta, prezentační aplikace Digitálních COVID-19 certifikátů EU vydaných Ministerstvem zdravotnictví České republiky (MZ ČR) a záznamů o všech dalších vakcinacích zaznamenaných v centrálních informačních systémech MZ ČR. Dozvíte se zde, jaké osobní údaje zpracováváme na základě právních předpisů.
Aplikace EZKarta byla rozšířena o další služby tak, aby se stala postupně plnohodnotnou e-health aplikací MZ ČR. V aktuální verzi nově obsahuje očkovací průkazku, tedy záznamy i vakcinací mimo COVID-19. Veškeré původní funkcionality určené pro boj s COVID-19 byly ponechány, jsou nadále platné a jsou popsány níže. Nová funkce očkovací průkazky je popsána v jednotlivých sekcích.
K čemu je určena aplikace EZKarta?
Aplikace EZKarta je provozována v souladu s legislativními předpisy ČR. Původně vznikla, aby usnadňovala volný pohyb osob a přístup ke službám a akcím během pandemie COVID-19. Nově v sobě obsahuje funkci očkovací průkazky, která nese veškerá očkování aplikovaná v ČR od 1. 1. 2023.
Aplikace disponuje aktuálně těmito funkcemi:
- přihlášení prostřednictvím funkce Identity občana (NIA) – poprvé, posléze pouze prostřednictvím otisku prstu, obličeje nebo PIN;
- podpora zobrazení COVID-19 certifikátů více osob;
- načtení aktuálních COVID-19 certifikátů z ocko.uzis.cz;
- konverze původního očkovacího certifikátu do EU formátu;
- zobrazení COVID-19 certifikátů s vyhodnocením platnosti podle validačních pravidel (probíhá offline);
- zobrazení shrnutí a detailu informací z COVID-19 certifikátu;
- stahování konfigurace – podpisových klíčů (země EU) a validačních pravidel (pouze ČR) ze serveru ÚZIS (probíhá online jednou za 24 hodin);
- zobrazení všech zapsaných očkování, včetně detailních informací o očkovací látce a poskytovateli zdravotních služeb, který očkování zapsal;
- možnost vygenerování očkovací průkazky ve formátu PDF;
- možnost sdílení očkovací průkazky s lékařem.
Osobní údaje držitelů Digitálních COVID-19 Certifikátů jsou zpracovávány za účelem jejich kontroly osobami oprávněným.
Aplikace v sobě nově zahrnuje rovněž funkci očkovací průkazky, která obsahuje veškeré údaje o vakcinacích provedených od 1. 1. 2023. Očkovací průkazku je možné zobrazit pro přihlášenou osobu, a i pro osoby vázané (děti) a osoby, které k tomuto udělily mandát.
Využití aplikace k tomuto účelu je zcela dobrovolné. Data jsou shromažďována v centrálních informačních systémech MZ ČR na základě nové legislativy. S účinností od 1. prosince 2022 návazně na úpravu § 81fb odst. 1 zákona č. 378/2007 Sb., o léčivech a o změnách některých souvisejících zákonů (zákon o léčivech), ve znění pozdějších předpisů jsou záznamy o očkování vytvářeny prostřednictvím hlášení do Informačního systému infekčních onemocnění vedeném podle zákona č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů.
Co je očkovací průkazka?
Očkovací průkazka je novou hlavní službou, kterou aplikace nabízí všem občanům ČR. Každý občan vidí v aplikaci veškerá svá očkování, která mu byla aplikována od 1. 1. 2023 a to včetně očkování proti onemocnění COVID-19. Automaticky také uvidí rodič očkovací průkazku svých dětí do 18. let. Na základě explicitně uděleného mandátu jinou osobou pak uvidí občan také očkovací průkazku této osoby.
Jaké údaje obsahuje očkovací průkazka?
Očkovací průkazka obsahuje osobní údaje primární osoby, tedy osoby, které je přihlášena přes identitu občana, případně pak dětí do 18 let (vázaných osob) a osob, které udělili primární osobě mandát na náhled na jejich očkování. Jedná se o jméno, příjmení a datum narození.
Samotné očkování vztažené vždy ke konkrétní osobě pak obsahuje informace o konkrétní podané očkovací látce (šarže, název), o názvu onemocnění, proti kterému je očkování provedeno, datumu očkování a číslu dávky, způsobu aplikace očkování a typu očkování, a také o konkrétním poskytovateli zdravotních služeb, který očkování provedl (název, IČ).
Veškeré údaje jsou shromažďovány v centrálních systémech, odkud je aplikace vždy získává.
Kdo a jak používá očkovací průkazku a komu může být předávána? Jak aplikace pracuje s údaji z očkovací průkazky?
Využití funkce očkovací průkazky je dobrovolné a slouží výhradně pro potřeby pacienta. Očkovací průkazku je možné si zobrazit, uložit ve formátu pdf, pacient má možnost své údaje zpřístupnit lékaři, pokud se tak rozhodne. Sdílení je chráněno pomocí PIN a uživatel má možnost nastavit dobu, po kterou bude sdílení očkovací průkazky dostupné.
Skrze aplikaci nedochází k žádnému automatickému předání, veškeré kroky jsou výhradně na vůli a pod kontrolou pacienta, tedy uživatele aplikace.
Zdrojem všech údajů v očkovací průkazce jsou informační systémy Ministerstva zdravotnictví na základě platné legislativy.
Správcem osobních údajů v očkovací průkazce je Ministerstvo zdravotnictví České republiky, Palackého náměstí 4, P. O. BOX 81, 128 01 Praha 2, IČO: 00024341, které tak činí při plnění úkolů stanovených mu zákony, nebo v případech, kdy tak stanoví právní předpis, nebo pokud je to třeba k uplatnění práv a plnění povinností vyplývajících pro ministerstvo ze zákonů.
Osobní údaje jsou zpracovávány v rámci infrastruktury Ministerstva zdravotnictví ČR, kterou provozuje zpracovatel Ústav zdravotnických informací a statistiky ČR (dále jen ÚZIS).
ÚZIS je provozovatelem Integrovaného infomačního systému hygienické služby IISHS, jehož součástí je ISIN. Tyto infomační systémy jsou provozovány v unikátním prostředí resortních zdravotnických registrů, jehož základní komponenta Jednotná technologická platforma je součástí kritické infrastruktury státu dle zákona č.181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZoKB“). Prostředí resortních zdravotnických registrů umožňuje standardizovaný a snadný vývoj nových komponent registrů v souladu s požadavky ZoKB a ochrany osobních údajů. Vakcinační modul OČKO byl navržen jako logické rozšíření modulu Informačního systému infekčních nemocí (ISIN) a centrálního úložiště dat, modul byl vytvořen zejména pro zpřístupnění výsledků očkování pacientům a praktickým lékařům.
Osobní údaje v rámci funkce očkovací průkazky zpracováváme v souladu s právními předpisy, kterými jsou zejména:
- Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů),
- zákon č. 110/2019Sb., o zpracování osobních údajů,
- zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů a souvisejících právních předpisů – sněmovní tisk 1225/0,
- zákon č. 378/2007 Sb., o léčivech a o změnách některých souvisejících zákonů (zákon o léčivech).
Co je Digitální COVID-19 certifikát a jak ho získat?
Digitální COVID-19 certifikát je potvrzení, kterým lze prokázat, že daná osoba byla očkována, prodělala nemoc COVID-19 nebo má negativní výsledek AG nebo PCR testu. Účelem certifikátu je zjednodušení práva volného pohybu během i po pandemii COVID-19 v rámci zemí EU a při národních protiepidemických opatřeních, kdy je vyžadováno potvrzení o jedné z výše uvedených situací (například při návštěvě provozoven služeb a společenských akcí).
Digitální COVID-19 certifikát je založen na standardu EU a umožňuje mezinárodní použití certifikátů. Základem Digitálního COVID-19 certifikátu je QR kód, který obsahuje elektronicky čitelné informace. QR kód zároveň obsahuje elektronický podpis vydávající země, který umožňuje ověřit pravost certifikátu. Tyto certifikáty budou nadále využity také po přechodu na mezinárodní certifikační bránu WHO.
Certifikát vystavují jednotlivé členské státy EU, nebo jimi pověřené organizace. V České republice lze certifikát získat na Očkovacím portále ocko.uzis.cz, na očkovacích místech, odběrových místech AG testů, laboratořích zpracovávajících PCR testy nebo u praktických lékařů.
Jaké údaje Digitální COVID-19 certifikát obsahuje?
Digitální COVID-19 certifikát obsahuje pouze základní identifikační informace držitele – jméno, příjmení, datum narození – neobsahuje čísla dokladů, čísla pojištění ani rodná čísla.
Certifikát obsahuje detailní informace o provedeném očkování nebo testu – datum, místo očkování nebo testu, typ a výrobce vakcíny nebo testu, počet a data aplikace dávek vakcíny, výsledek testu. Certifikát o prodělaném onemocnění COVID-19 obsahuje datum prvního pozitivního PCR testu.
Certifikát dále obsahuje název vydávající organizace a státu, datum vydání a jedinečný identifikátor.
EU Digitální certifikát je koncipován jako sada faktických informací, které si ověřující strana může vyhodnotit na základě pravidel příslušné země. Nejde tedy o certifikát anonymní, ani o „jednoduchou ANO/NE informaci“.
Kdo a jak používá Digitální COVID-19 certifikát?
Hlavními aktéry procesů vytváření a použití Digitálního COVID-19 certifikátu jsou:
- Vydavatel certifikátu, Ministerstvo zdravotnictví České republiky. Spravuje informační systémy testování a očkování proti COVID-19, ve kterých jsou shromažďovány zdrojové informace pro certifikáty. Certifikát předává příslušnému držiteli důvěryhodnou cestou.
- Držitel certifikátu. Osoba, o které certifikát vypovídá a jejíž osobní a zdravotní informace obsahuje. Po získání certifikátu je další využití certifikátu a osobních údajů v něm obsažených, včetně poskytnutí certifikátu ověřujícím osobám ke kontrole plně v rukách držitele certifikátu.
- Ověřovatel certifikátu. Osoba, která je osobám oprávněná na základě nařízení EU, mimořádných opatření MZ ČR nebo na dobrovolné bázi ke kontrole a ověření platnosti certifikátu ostatních osob.
Vydavatelem Digitálního COVID-19 certifikátu může být také jiný členský stát EU a držitelem certifikátu osoba testovaná nebo očkovaná v jiném členském státě EU.
Aplikace EZKarta je veřejně poskytována Ministerstvem zdravotnictví jako pomocný nástroj pro držitele certifikátu.
Vztah mezi držitelem certifikátu a ověřovatelem certifikátu je určen nařízením EU, mimořádnými opatřeními MZ ČR nebo je na bázi dobrovolné spolupráce. Držitel certifikátu typicky chce využít některých služeb, navštívit akci nebo překročit hranice a využít přitom výjimku, stanovenou v nařízení EU nebo mimořádných opatřeních MZ ČR. Na základě svého rozhodnutí prezentuje držitel ověřovateli svůj certifikát včetně osobních a zdravotních údajů v něm obsažených. Ověřovatel vyhodnotí, zda držitel certifikátu vyhovuje podmínkám příslušných opatření.
Vydávání Digitálních COVID-19 certifikátů
Zdrojem osobních údajů v Digitálních COVID-19 certifikátech jsou informační systémy Ministerstva zdravotnictví a ÚZIS, určené pro řízení testování proti COVID-19 a očkování proti COVID-19 (ISIN modul OČKO). Testované nebo očkované osoby poskytují osobní data pro zpracování v těchto systémech.
Správcem osobních údajů v Digitálních COVID-19 certifikátech je Ministerstvo zdravotnictví České republiky, Palackého náměstí 4, P. O. BOX 81, 128 01 Praha 2, IČO: 00024341, který tak činí při plnění úkolů stanovených mu zákony, nebo v případech, kdy tak stanoví právní předpis, nebo pokud je to třeba k uplatnění práv a plnění povinností vyplývajících pro ministerstvo ze zákonů.
Osobní údaje jsou zpracovávány v rámci infrastruktury Ministerstva zdravotnictví ČR, kterou pro nás provozuje zpracovatel Ústav zdravotnických informací a statistiky ČR (dále jen ÚZIS). Kromě ÚZIS je integrátorem vybraných systémů Národní agentura pro komunikační a informační technologie, s.p. (dále jen NAKIT).
ÚZIS je provozovatelem Integrovaného infomačního systému hygienické služby IISHS, jehož součástí je ISIN. Tyto infomační systémy jsou provozovány v unikátním prostředí resortních zdravotnických registrů, jehož základní komponenta Jednotná technologická platforma je součástí kritické infrastruktury státu dle zákona č.181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZoKB“). Prostředí resortních zdravotnických registrů umožňuje standardizovaný a snadný vývoj nových komponent registrů v souladu s požadavky ZoKB a ochrany osobních údajů. Vakcinační modul OČKO byl navržen jako logické rozšíření modulu Informačního systému infekčních nemocí (ISIN) a centrálního úložiště dat, modul byl vytvořen zejména pro zpřístupnění výsledků očkování praktickým lékařům, hygienickým stanicím a pro statistické zpracování dat pak Ministerstvu zdravotnictví.
K údajům má přístup vždy jen několik k tomu pověřených a oprávněných osob, které jsou zavázány povinností mlčenlivosti, veškeré přístupy a operace s těmito daty jsou zabezpečeny a zaznamenávány. Dalším osobám je zpřístupňujeme pouze, pokud jsme tak povinni učinit na základě právního předpisu. Za účelem dodržení všech našich výše uvedených právních povinností, jsou Vaše údaje zpracovávány rovněž externími dodavateli IT služeb (internetové připojení, servis výpočetní a komunikační techniky apod.), kteří jsou zavázaní povinností mlčenlivosti a musí poskytovat maximální záruky o technickém a organizačním zabezpečení ochrany osobních údajů.
Osobní údaje v certifikátech zpracováváme transparentně, korektně a v souladu s právními předpisy, kterými jsou zejména:
- Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů),
- Nařízení Evropského parlamentu a Rady (EU) č. 2021/0068 o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, testování a uzdravení za účelem usnadnění volného pohybu během pandemie COVID-19 (EU Digital COVID-19 Certificate),
- zákon č. 110/2019Sb., o zpracování osobních údajů a
- zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů a souvisejících právních předpisů – sněmovní tisk 1225/0.
Komu a jak Ministerstvo zdravotnictví Digitální COVID-19 certifikáty předává?
Ministerstvo zdravotnictví předává Digitální COVID-19 certifikáty pouze osobám, o kterých jsou v certifikátech obsaženy informace, a to jedním z následujících způsobů:
- očkovací portál ocko.uzis.cz po autentizaci prostřednictvím NIA nebo jednorázovou SMS,
- stažení do mobilní aplikace EZKarta po autentizaci prostřednictvím NIA nebo jednorázovou SMS,
- e-mailem,
- na místě na očkovacím místě, odběrovém místě AG testů nebo v laboratoři PCR testů,
- na místě u praktického lékaře.
Tím se osoba stává držitelem certifikátu a další nakládání s certifikátem je plně v jejích rukách.
Jak aplikace EZKarta pracuje s údaji z Digitálního COVID-19 certifikátu?
Aplikace načítá QR kódy buď z ocko.uzis.cz po autentizaci uživatele (možno na jednom mobilu zalogovat i více uživatelů) nebo kamerou mobilního telefonu a ukládá do paměti mobilu.
Aplikace zobrazuje seznam držitelů uložených certifikátů, pro každého z nich nejnovější verze pro každý typ certifikátu – očkování, prodělaná nemoc, test AG, test PCR. Jednotlivé uložené certifikáty umožňuje zobrazit (pro účely ověření) ve formě QR kódu, základních identifikačních údajů držitele certifikátu a stav platný/neplatný – a dále na vyžádání kompletní sadu informací uvedených v certifikátu.
Aplikace udržuje pouze nejnovější verzi každého typu certifikátu, ukládá je v šifrovaném úložišti a přístup k nim chrání rozpoznáváním obličeje, otiskem prstu nebo PINem.
Manipulace s osobními a zdravotními údaji držitelů certifikátu v aplikaci EZKarta probíhá výlučně na pokyn a se souhlasem uživatele aplikace, po autentizaci PINem, rozpoznáním obličeje nebo otiskem prstu.
- dočasné zobrazení na obrazovce mobilního telefonu pro účely kontroly
- předání certifikátu externí službě na webu (např. ticketové a registrační weby) prostřednictvím HTTPS protokolu, přičemž uživateli je zobrazena doména externí služby a tato doména je ověřena proti TLS certifikátu
- předání certifikátu jiné aplikaci na mobilním telefonu ve formě PDF certifikátu, QR kódu nebo dat
V obou případech předání certifikátu je uživateli zobrazeno varování, jsou zobrazena odesílaná data a je vyžadováno explicitní potvrzení uživatele. Při odinstalaci aplikace jsou všechna její data vymazána.
Jaké další údaje aplikace EZKarta zpracovává?
Kromě údajů obsažených v Digitálních COVID-19 certifikátech a očkovací průkazce aplikace EZKarta dále pracuje s veřejnými informacemi – seznamem podpisových klíčů členských států EU a definicí validačních pravidel jednotlivých členských států EU.
Abychom zajistili funkčnost aplikace, pracuje i s údaji o jejím fungování (např. záznamy o pádech aplikace a používání aplikace) a používá k tomu standardní nástroje (Firebase Crashlytics, Firebase RemoteConfig a Google Analytics) od společnosti Google. Data odesílaná aplikací do těchto služeb neobsahují identifikátory vlastníka mobilního telefonu ani mobilního telefonu (jako je například tel. číslo, IMEI, AdvertisingID) a zpracováváme je pouze za účelem vyhledávání a odstraňování kritických chyb, evidenci aktualizací aplikace a statistického zmapování používání aplikace uživateli. Aplikace nezná osobní údaje uživatele a tato telemetrická data tak nelze žádným způsobem navázat na jeho osobu. S takto získanými údaji pracujeme maximálně po dobu 180 dní.
Jaká práva požaduje aplikace EZKarta od operačního systému vašeho mobilu?
Přístup ke kameře – pouze za účelem skenování QR kódů na základě požadavku uživatele.
Jaká má uživatel práva při zpracování osobních údajů v aplikaci EZKarta?
Jaká má uživatel práva při zpracování osobních údajů v aplikaci EZKarta?
Aplikace EZKarta zpracovává osobní údaje držitelů certifikátů a očkovací průkazky, kteří byli autentizováni na daném mobilním zařízení, nebo kteří poskytli QR kód svého certifikátu uživateli aplikace na daném mobilním zařízení. Vztahy a předání QR kódů nebo autentizačních informací držitelů těchto certifikátů uživateli daného mobilního zařízení jsou mimo kontrolu Ministerstva zdravotnictví a předpokládá se, že jsou na plně dobrovolné bázi (např. členové rodiny).
Právo na odvolání souhlasu, Právo na přístup, Právo na opravu, Právo na výmaz, Právo na omezení zpracování jsou realizovány možností odinstalování aplikace. Při odinstalaci aplikace jsou všechna její data vymazána.
Právo podat stížnost. Toto právo můžete uplatnit zejména v případě, že se domníváte, že Vaše osobní údaje zpracováváme neoprávněně nebo v rozporu s platnými právními předpisy.
Jak můžete uplatnit jednotlivá práva, kdo zpracování Vašich osobních údajů bude dozorovat a na koho se můžete v případě nejasností ohledně zpracování osobních údajů obrátit?
Ve všech záležitostech souvisejících se zpracováním Vašich osobních údajů, ať již jde o dotaz, uplatnění práva, podání stížnosti či cokoliv jiného, se můžete obracet na našeho pověřence pro ochranu osobních údajů Ministerstva zdravotnictví ČR prostřednictvím emailové adresy oia@mzcr.cz, nebo písemně na adresu Pověřenec pro ochranu osobních údajů, Ministerstvo zdravotnictví ČR, Palackého nám. 4, P. O. BOX 81, 128 01 Praha 2.
Stížnost proti námi prováděnému zpracování osobních údajů můžete podat u Úřadu pro ochranu osobních údajů, který sídlí na adrese Pplk. Sochora 27, 170 00 Praha 7.
English
In this document, you will find information about the processing of personal data within the EZKarta mobile application, the presentation application of EU COVID-19 digital certificates issued by the Ministry of Health of the Czech Republic (MoH CR) and records of all other vaccinations recorded in the central information systems of the MoH CR. You will learn what personal data we process based on legal regulations.
The EZKarta application has been extended with additional services to gradually become a fully-fledged e-health application of the MoH. The current version now includes a vaccination card, i.e. records of vaccinations outside COVID-19. All original functionalities designed to combat COVID-19 have been retained, are still valid and are described below. The new vaccination card functionality is described in the individual sections.
What is the purpose of the EZKarta application?
The EZKarta application is operated by the legislative regulations of the Czech Republic. It was initially created to facilitate the free movement of people and access to services and events during the COVID-19 pandemic. It now includes a vaccination card function that carries all vaccinations administered in the Czech Republic since 1 January 2023.
The application currently has the following features:
- Login via Citizen Identity (NIA) - first time, then only via fingerprint, face or PIN
- Support for displaying COVID-19 certificates of multiple persons
- Retrieving current COVID-19 certificates from ocko.uzis.cz
- Conversion of the original vaccination certificate to EU format
- View COVID-19 certificates with validity evaluation according to validation rules. This is offline.
- View the summary and detailed information from the COVID-19 certificate
- Downloading configuration - signature keys (EU countries) and validation rules (Czech Republic only) from the IHIS server. Online once every 24 hours.
- View all registered vaccinations, including detailed information about the vaccine and the healthcare provider who registered the vaccination.
- Possibility to generate a vaccination card in PDF format
- Option to share the vaccination card with the doctor
The personal data of the holders of the Digital COVID-19 Certificates are processed for control by authorised persons.
The application now also includes a vaccination card function, which contains all the vaccination data carried out since 1 January 2023. The vaccination card can be displayed for the registered person, as well as for persons who are bound (children) and persons who have given their permission to do so.
The use of the app for this purpose is entirely voluntary. Data are collected in the central information systems of the Ministry of Health of the Czech Republic based on new legislation. With effect from 1 December 2022, following the amendment to Section 81fb(1) of Act No. 378/2007 Coll., on Medicinal Products and on Amendments to Certain Related Acts (the Medicinal Products Act), as amended, vaccination records are created through reporting to the Infectious Diseases Information System maintained under Act No. 258/2000 Coll., on the Protection of Public Health and Amendments to Certain Related Acts, as amended.
What is a Vaccination Card?
The vaccination card is the new main service the app offers to all citizens of the Czech Republic. Every citizen can see in the app all their vaccinations that have been administered since 1 January 2023, including the vaccination against COVID-19. The parent will also automatically see the vaccination card of their children up to the age of 18. Based on explicit permission from another person, the citizen will also see that person's vaccination card.
What data does the Vaccination Card contain?
The vaccination card contains the personal data of the primary person, i.e., the person registered through the ID card and, where applicable, children under 18 years of age (linked persons) and persons who have authorised the primary person to consult their vaccination records. This includes name, surname and date of birth.
The vaccination itself, which always refers to a specific person, contains data on the particular vaccine administered (batch, name), the name of the disease against which the vaccination is given, the date of vaccination and batch number, the method of administration and type of vaccination, as well as the specific health care provider who administered the vaccination (name, card number).
All data is collected in a central system from where the application always retrieves it.
Who uses the Vaccination Card, and how and to whom can it be given? How does the app work with the vaccination card data?
Use of the vaccination card feature is voluntary and serves only the patient’s needs. The vaccination card can be viewed and saved in PDF format, and the patient can make their details available to their doctor if they choose. Sharing is PIN-protected, and the user can set the length of time the vaccination card will be available for sharing.
There is no automatic transfer through the application; all the actions are entirely at the will and under the control of the patient, i.e. the app user.
The source of all the data in the vaccination card is the information systems of the Ministry of Health based on current legislation.
The administrator of the personal data in the vaccination card is the Ministry of Health of the Czech Republic, Palackého náměstí 4, P. O. BOX 81, 128 01 Prague 2, ID: 00024341, which does in the performance of the tasks imposed on it by law, or in cases where the legislation so provides, or if it is necessary for the exercise of rights and the performance of obligations arising for the Ministry under the law.
Personal data are processed within the infrastructure of the Ministry of Health of the Czech Republic, which is operated by the Institute of Health Information and Statistics of the Czech Republic (from now on referred to as ÚZIS).
ÚZIS is the operator of the Integrated Information System of the Hygiene Service IISHS, which includes the ISIN. These information systems are operated in a unique environment of departmental health registers, the basic component of which, the Unified Technology Platform, is part of the critical infrastructure of the state according to Act No.181/2014 Coll., on Cyber Security and Amendments to Related Acts (the Cyber Security Act), as amended (from now on referred to as "the ZoKB"). The environment of departmental health registries allows standardised and easy development of new components of registries by the requirements of ZoKB and the protection of personal data. The vaccination module OČKO was designed as a logical extension of the Infectious Disease Information System (ISIN) module and the central data repository; the module was created mainly to make vaccination results available to patients and general practitioners.
We process personal data as part of the vaccination card function and by the law regulations, which are in particular:
- Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data and repealing Directive 95/46/EC (General Data Protection Regulation)
- Act No. 110/2019 Coll., on the processing of personal data
- Act No. 258/2000 Coll., on the Protection of Public Health and Amendments to Certain Related Acts, as amended and related legislation - Parliamentary Print 1225/0.
- Act No. 378/2007 Coll., on Medicinal Products and Amendments to Certain Related Acts (the Medicinal Products Act)
What is the Digital COVID-19 certificate and how do you get it?
A digital COVID-19 certificate is a certificate that can be used to prove that a person has been vaccinated, has had COVID-19 or has a negative AG or PCR test result. The certificate aims to facilitate the right of free movement during and after a COVID-19 pandemic within EU countries and during national anti-epidemic measures where confirmation of one of the above situations is required (for example, when visiting service establishments and social events).
The digital COVID-19 certificate is based on the EU standard and allows international use of certificates. The basis of the Digital COVID-19 certificate is a QR code that contains electronically readable information. The QR code also includes the electronic signature of the issuing country, which allows the certificate's authenticity to be verified. These certificates will continue to be used after the transition to the WHO International Certification Gateway.
The certificate is issued by individual EU Member States or by organisations authorised by them. The certificate can be obtained in the Czech Republic from the Vaccination Portal https://ocko.uzis.cz, vaccination sites, AG test collection sites, laboratories processing PCR tests or GPs.
What information does the Digital COVID-19 certificate contain?
The digital COVID-19 certificate contains only the holder's basic identifying information - first name, last name, and date of birth; it does not contain document numbers, insurance numbers or birth numbers.
The certificate contains detailed information about the vaccination or test carried out - date, place of vaccination or test, type and manufacturer of vaccine or test, number and dates of vaccine doses, and test result. The COVID-19 certificate shall include the date of the first positive PCR test.
The certificate also contains the name of the issuing organisation and state, the date of issue and a unique identifier.
The EU Digital Certificate is designed as a set of factual information that the verifying party can evaluate based on the rules of the country concerned. Therefore, it is not an anonymous certificate or "simple YES/NO information".
Who uses the Digital COVID Certificate, and how?
The main actors in the process of creating and using the Digital COVID Certificate are:
- The issuer of the certificate, Ministry of Health of the Czech Republic. It manages information systems for the testing and vaccination against COVID-19, where the source information for certificates is collected. The certificate shall be transmitted in a trustworthy manner to the relevant holder.
- The holder of the certificate, the person to whom it refers and whose personal and health information it contains. Once the certificate has been obtained, the holder shall make further use of the certificate and the personal data it contains, including the presentation of a certificate to verifying persons, entirely in the hands of the certificate holder.
- The certificate's verifier is a person authorised under EU regulations, exceptional measures by the Ministry of State of the Czech Republic or on a voluntary basis to check and verify the certificate's validity of other persons.
The issuer of the Digital COVID Certificate may also be another EU Member State, and the holder may be the person tested or vaccinated in another EU Member State.
The EZKarta application is publicly provided by the Ministry of Health as an auxiliary tool for holders of the certificates.
The relationship between the certificate holder and the certification verifier is determined by an EU regulation, exceptional measures by the Ministry of State of the Czech Republic or based on voluntary cooperation. Typically, the certificate holder wishes to use certain services, visit an event or cross the border, making use of the exception provided in the EU Regulation or the exceptional measures of the Ministry of Health of the Czech Republic. Based on his decision, the holder presents his certificate, including personal and health data contained therein, to the verifier. The verifier assesses whether the certificate holder complies with the conditions of the relevant measures.
Issuing Digital COVID-19 Certificates
The sources of personal data in Digital COVID-19 Certificates are the information systems of the Ministry of Health and the ÚZIS, intended to manage COVID-19 testing and the vaccination against COVID-19 (ISIN module OČKO). The persons tested or vaccinated provide personal data for processing in these systems.
The controller of personal data in Digital COVID-19 Certificate is the Ministry of Health of the Czech Republic, Palackého, 4, P.O.BOX 81, 128 01 Prague 2, VAT number 00024341which does so in the performance of the tasks assigned to it by law, or in cases where it is provided for by law, or if it is necessary to exercise the rights and fulfil the obligations arising for the Ministry from the law.
Personal data are processed within the Czech Ministry of Health infrastructure, which is operated by a processor of the Institute for Health Information and Statistics of the Czech Republic (from now on referred to as the ÚZIS). In addition to the ÚZIS, the National Agency for Communication and Information Technology (from now on referred to as NAKIT) is the integrator of selected systems.
The ÚZIS is the operator of the integrated information system of the hygienic service, IISHS, of which ISIN is a part. These IT systems are operated in an infrastructure environment for health registers, the core component of which is part of the state’s critical infrastructure under Act No 181/2014 on cyber security and amending the related acts (Cybersecurity Act, from now on referred to as “the ZoKB”). The environment of health registers allows for standardised and easy development of new registers components, in line with the requirements of the ZoKB and the protection of personal data. The OČKO module has been designed as a logical extension of the module of the Information System for Infectious Diseases (ISIN) and the central data repository. The module was created to make the results and vaccination information available to general practitioners and public health authorities and for statistical data processing to the Ministry of Health.
Access to the data is always restricted to a few authorised and authorised persons bound by a duty of confidentiality, and all accesses and operations with the data are secured and recorded. We only make them available to other persons if we are obliged to do so based on legislation. To comply with our legal obligations referred to above, your data are also processed by external IT service providers (Internet connection, servicing of information and communication technology, etc.) who are bound by a duty of confidentiality and must offer maximum guarantees of technical and organisational security for the protection of personal data.
We process personal data in the certificates transparently, fairly and by legal regulations, which are in particular:
- Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, repealing Directive 95/46/EC (General Data Protection Regulation);
- Regulation (EU) 2021/0068 of the European Parliament and of the Council on the framework for the issuance, verification and recognition of interoperable vaccination, testing and recovery certificates in order to facilitate free movement during the COVID-19 pandemic (EU Digital COVID-19 Certificate);
- Act No 110/2019Sb., on the processing of personal data; and
- Act No 258/2000 on the protection of public health and amending certain related acts and related legislation – parliamentary press 1225/0.
To whom and how does the Ministry of Health distribute the Digital COVID-19 Certificates?
The Ministry of Health shall transmit Digital COVID-19 certificates only to persons whose information is contained in the certificates in one of the following ways:
- via the vaccination portal https://ocko.uzis.cz after authentication via the NIA or a one-time SMS password;
- by downloading to the EZKarta mobile app after authentication via NIA or one-time SMS;
- by e-mail;
- personally at a vaccination site, collection point of the AG tests or in the PCR testing laboratory;
- personally by a general practitioner.
This makes the person the holder of the certificate, and further handling of the certificate is entirely in his/her hands.
How does the EZKarta application work with the data from the Digital COVID-19 certificate?
The application reads QR codes of certificates either from ocko.uzis.cz (it is possible to log in multiple certificate holders on one mobile) or by means of a mobile phone camera, and stores in the mobile phone's memory.
The application displays a list of holders of stored certificates and a list of the newest versions of each type of certificate (vaccination, recovery, test AG, test PCR) for each certificate holder. Each certificate can be displayed in the form of a QR code (for verification) together with the primary identification data of the holder of the certificate and the status valid/invalid – and, on request, the complete set of information contained in the certificates.
The application stores only the newest version of each type of certificate for each holder. The certificates are encrypted, and access to them is protected via fingerprint, face recognition or PIN.
The application processes the personal and health data of certificate holders solely on request and with confirmation after user authorisation using a PIN, face recognition or fingerprint.
- temporary display on the screen of a mobile phone for verification
- sharing certificate with an external web service (e.g. online ticketing and registration) using the HTTPS protocol, where the DNS domain of the external party is displayed to the user and checked against the TLS certificate
- sharing certificate with another application on the same mobile phone in the form of PDF certificate, QR code or data
In both cases of certificate sharing, the user is informed about the extent of data being sent out and asked for explicit approval. When the application is uninstalled, it deletes all personal data.
What other data does the EZKarta process?
In addition to the data contained in Digital COVID-19 Certificates and the vaccination cards, the EZKarta application works with public information related to the certificate system – the list of signature keys of EU Member States and the definition of validation rules of each EU Member State.
To ensure the application's functionality, it also works with data on its functioning (e.g. logs of application and use of the application) and uses standard tools (Firebase Crashlytics, Firebase RemoteConfig and Google Analytics) from Google. The data sent by applications to these services do not contain the identifiers of the owner of the mobile phone or mobile phone (such as the phone number, IMEI, AdvertisingID). They are processed solely to identify and correct critical mistakes, record updates of the application, and statistically map the application by the user. The application does not know the user’s personal data, and this telemetric data cannot be linked in any way to a specific person. We are working with the data thus obtained for a maximum period of 180 days.
What rights does the EZCard application require from your mobile operating system?
Camera access – used solely to scan QR codes, on user request.
What rights does the user have when processing personal data in the EZKarta application?
The application processes personal data from certificates and vaccination card holders who have been authenticated on a given mobile device or who have provided the QR code of the certificate for scanning to the user of a given mobile device. Relationships and the handover of QR codes or authentication information between the certificate holders and the user of a given mobile device are out of the control of the Ministry of Health and are presumed to be on a fully voluntary basis (e.g. family members).
The right to withdraw consent, the right of access, the right to rectification, the right to erasure and the right to restrict processing are implemented by uninstalling the application. When the application is uninstalled, it deletes all personal data.
The right to lodge a complaint. You can exercise this right in particular if you consider that your personal data is being processed unlawfully or in breach of applicable law.
How can you exercise your individual rights, who will supervise the processing of your personal data, and to whom may you refer in case of doubt about the processing of your personal data?
In all matters relating to the processing of your personal data, whether in relation to enquiries, the exercise of the right to lodge a complaint or any other matter, you may contact Data Protection Officer of the Ministry of Health via e-mail address oia@mzcr.cz or by writing to the Data Protection Officer, Ministry of Health of the Czech Republic, Palackého 4, P.O.BOX 81, 128 01 Prague 2.
You can lodge a complaint against the processing of your personal data with the Office for the Protection of Personal Data, which is located at Pplk.Sochora 27, 170 00 Prague 7.