GDPR
Informace o zpracování osobních údajů a poučení o právech subjektu údajů
Co jsou osobní údaje a jak jsou chráněné
Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie a čl. 16 odst. 1 Smlouvy o fungování Evropské unie přiznávají každému právo na ochranu osobních údajů, které se jej týkají. Zpracování osobních údajů fyzických osob („občanů“, „subjektů údajů“) v rámci Zařízení je prováděno ve prospěch těchto osob. Právo na ochranu osobních údajů však není právem absolutním; musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy.
Správce Centrum sociálních a zdravotních služeb města Příbram, p.o. (dále jen Zařízení), je na základě platného oprávnění k poskytování zdravotních a sociálních služeb poskytovatelem zdravotních a sociálních služeb v souladu se zákony č. 108/2006 Sb. a č.372/2011 Sb. v platném znění.
V souvislosti s poskytováním péče jsme povinni o Vás shromažďovat osobní údaje v rozsahu nezbytném pro poskytnutí a vykázání péče, přičemž rozsah shromažďovaných osobních údajů vyplývá z platné právní úpravy. Pokud evidujeme Vaše osobní údaje nad rámec povinností, které nám stanoví právní předpis, vyžádáme si vždy předem Váš písemný souhlas. V každém případě zpracováváme osobní údaje v souladu s Obecným nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, tak zvané„GDPR“),a dále v souladu s dalšími předpisy a zásadami.
Zařízení zpracovává osobní údaje a další informace týkající se občanů a dalších subjektů údajů také v rámci funkce zaměstnavatele. Většina osobních údajů subjektů je přitom zpracovávána na základě povinností, uložených Zařízení zvláštními zákony, případně též smlouvami. Na taková zpracování osobních údajů o subjektech údajů se nevztahuje povinnost získat souhlas těchto osob. Pokud jsou některé osobní údaje zpracovávány mimo zákonnou povinnost, pak taková zpracování podléhají souhlasu občanů, resp. zaměstnanců. Tato zpracování však Zařízení provádí jen výjimečně (např. při pořádání akcí, kdy je nutná předchozí registrace).
Ochrana fyzických osob se vztahuje jak na automatizované zpracování osobních údajů, tak na manuální zpracování. V zásadách a pravidlech ochrany fyzických osob, které Zařízení uplatňuje v souvislosti se zpracováním osobních údajů občanů (fyzických osob), respektuje Zařízení jejich základní práva a svobody, zejména právo na ochranu osobních údajů. Zařízení respektuje práva občanů, která jsou jim zaručena zákony, např. právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány. Zásady ochrany osobních údajů se uplatňují na všechny informace, týkající se identifikované nebo identifikovatelné fyzické osoby. Zařízení zákonně zpracovává osobní údaje, protože je toto zpracování nezbytné pro výkon úkolů vykonávaných ve veřejném zájmu, nebo pro splnění povinností uložených zákonem, nebo z důvodu oprávněných zájmů Zařízení nebo třetí strany. Zařízení zpracovává osobní údaje občanů podle účelů zpracování v souladu s platnou legislativou pro ochranu osobních údajů, především se zákonem č.110/2019 Sb., o zpracování osobních údajů, v platném znění a s Nařízením EU 2016/679 (Obecné nařízení o ochraně osobních údajů – GDPR). Přesto má každý dotčený subjekt právo, vznést námitku proti zpracování osobních údajů, které se týkají jeho konkrétní situace. Zařízení pak subjektu prokáže závažnost a oprávněnost zájmů Zařízení, které nezasahují do zájmů nebo základních práv a svobod občana.
Zvláštní kategorie osobních údajů
Vaše osobní údaje shromažďujeme a používáme výhradně v souvislosti s poskytováním péče Vaší osobě. Tyto údaje patří do tzv. zvláštní kategorie osobních údajů, protože jsou pro vás obzvlášť citlivé, a proto jejich ochrana je zvýšená. Přestože i tyto osobní údaje jsme povinni sdělovat při vykazování hrazené zdravotní a sociální péče a plnění dalších zákonných povinností, například daňové a účetní povinnosti a v rámci hlášení do registrů některých nemocí stanovených zákonem, věnujeme jejich ochraně mimořádnou pozornost. Vaše osobní údaje sdělujeme oprávněným subjektům a institucím pouze v případech, kdy je nám tato povinnost uložena právním předpisem. Osoby, které mají možnost se s těmito Vašimi osobními údaji seznamovat, jsou rovněž zákonem zavázány k ochraně osobních údajů a povinné mlčenlivosti.
Údaje vedené o Vás ve zdravotnické dokumentaci obsahují zejména skutečnosti nutné pro identifikaci Vaší osoby, údaje o provedených vyšetřeních, případně o zjištěné diagnóze, léčbě, předepsaných léčivých přípravcích, zdravotnických prostředcích, výsledcích komplexních a kontrolních vyšetření, eventuálně ve spolupráci se zdravotnickými zařízeními Váš informovaný souhlas nebo nesouhlas s jednotlivými zákroky a léčbou.
Vaše osobní údaje shromažďujeme po dobu, kterou stanoví právní předpisy. Zejména lze odkázat na vyhlášku č. 98/2012 Sb., o zdravotnické dokumentaci, která stanoví dobu, po kterou je nezbytné uchovávat zdravotnickou dokumentaci pacienta. Dále lze odkázat na právní předpisy ve vztahu k účetnictví a daňovým povinnostem, které rovněž vymezují archivační dobu, po kterou je nutno písemnosti prokazující poskytnutí zdravotní péče archivovat. V případech plnění smluvní povinnosti, například v případech poskytnutí zdravotní péče, která není hrazena z veřejného zdravotního pojištění, evidence Vašich kontaktů v objednávkovém systému aj., shromažďujeme tyto osobní údaje po dobu jednoho roku od doby, kdy Vám přestala být poskytována zdravotní péče naším zdravotnickým zařízením nebo do doby odvolání Vaše souhlasu.
Jak zpracováváme osobní údaje
Zpracování osobních údajů Zařízením je prováděno zákonným a spravedlivým způsobem, je pro občany (či jiné fyzické osoby) transparentní a informace a všechna sdělení, týkající se zpracování těchto osobních údajů, jsou snadno přístupné, srozumitelné a podávané jasnými a jednoduchými jazykovými prostředky. Při zpracování osobních údajů na základě souhlasu fyzické osoby, jsou tyto osoby upozorněny na případná rizika, vyplývající ze zpracování, a také na pravidla, záruky a práva, která existují v souvislosti se zpracováním jejich osobních údajů. Účely, pro které jsou osobní údaje zpracovávány, jsou jednoznačné a legitimní a jsou stanoveny v okamžiku shromažďování osobních údajů. Rozsah shromažďovaných osobních údajů je vždy přiměřený, relevantní a omezený pouze na údaje nezbytné pro naplnění stanoveného účelu. Rovněž doba, po kterou jsou osobní údaje uchovávány, je omezena na nezbytné minimum. Při veškerém zpracování osobních údajů jsou aplikována opatření, která zaručují náležitou bezpečnost a důvěrnost těchto údajů, (např. zaručující zabránění neoprávněného přístupu k osobním údajům a k zařízení používanému k jejich zpracování).
Zařízení, jakožto správce osobních údajů, má odpovědnost za jakékoliv zpracování osobních údajů a na základě posouzení pravděpodobných a závažných rizik daného zpracování zavedl vhodná a účinná technická a organizační opatření k zajištění ochrany osobních údajů. Součástí opatření pro zabezpečení osobních údajů jsou také pravidelná školení zaměstnanců, kteří zpracovávají osobní údaje fyzických osob. Od zaměstnanců na všech úrovních je vyžadován odpovědný, iniciativní a tvořivý přístup a respektování pravidel systémů zabezpečení osobních údajů.
V souvislosti s přechodem na novou legislativu pro ochranu osobních údajů v EU, tj. Nařízení EU 2016/679 (GDPR), provedlo Zařízení nové posouzení vlivu všech zpracování na ochranu osobních údajů, s cílem posoudit konkrétní pravděpodobnost a závažnost rizik. Při tomto posouzení Zařízení zohlednilo povahu, rozsah, kontext a účely zpracování a zdroje rizik. Opatření k zabezpečení systémů, informací, dat a osobních údajů a konkrétní technická, organizační a bezpečnostní opatření, která Zařízení přijalo a průběžně zpřesňuje, aby zajistil soulad s Nařízením EU, jsou v této souvislosti nově rozpracována v interních dokumentech a směrnicích Zařízení. Součástí těchto opatření je i jmenování pověřence pro ochranu osobních údajů.
Které osobní údaje zpracováváme Personální a platová agenda
• Účel zpracování: zajištění pracovně právních vztahů a všech povinností s nimi spojených dle zákoníku práce a navazujících zákonů (zejména daně, sociální a zdravotní pojištění) • Kategorie osobních údajů: adresní a identifikační údaje; citlivé údaje – zdravotní stav • Kategorie subjektu údajů: zaměstnanci Zařízení + osoby s jiným vztahem k Zařízení • Kategorie příjemců údajů: Zařízení + jiní příjemci – právnické osoby v ČR (zejména zdravotní pojišťovny, Česká správa sociálního zabezpečení) • Doba uchování: až 45 let dle spisového řádu
Evidence uchazečů o zaměstnání
• Účel zpracování: příprava pracovně právních vztahů • Kategorie osobních údajů: adresní a identifikační údaje • Kategorie subjektu údajů: uchazeč o zaměstnání • Kategorie příjemců údajů: interní – správce OÚ • Doba uchování: až 5 let dle spisového řádu
Dokumentace subjektů
• Účel zpracování: zdravotní a evidenční dokumentace subjektů • Kategorie osobních údajů: adresní a identifikační údaje, zvláštní kategorie osobních údajů, popisné údaje, údaje o jiné osobě • Kategorie subjektu údajů: občané • Kategorie příjemců údajů: správce osobních údajů • Doba uchování: podle Spisového a skartačního řádu, až 5 let
Kniha úrazů a Záznamy o úrazu
• Účel zpracování: dokumentace předepsaná podle zákonů: Zákon č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), ve znění pozdějších předpisů Zákon č. 262/2006 Sb., zákoník práce • Kategorie osobních údajů: adresní a identifikační údaje • Kategorie subjektu údajů: občané • Kategorie příjemců údajů: interní – správce osobních údajů, rodiče – zákonní zástupci žáků (v případě nezletilých subjektů), stanovené orgány a instituce (dle okolností -Policie ČR, pojišťovna, zřizovatel Zařízení, zdravotní pojišťovna, inspektorát České školní inspekce, oblastní inspektorát práce) • Doba uchování: kniha úrazů – 5 let, záznamy o úrazu – 10 let
Projekty
• Účel zpracování: Projekty — evidence členů realizačních týmů a podpořených osob v souladu s Nařízením Evropského Parlamentu a Rady č. 1303/2013 • Kategorie osobních údajů: dle nastavení povinných monitorovacích indikátorů řídícím orgánem • Kategorie subjektu údajů: zaměstnanci, podpořené osoby • Kategorie příjemců údajů: interní – správce osobních údajů, řídící orgán projektu • Doba uchování: dle požadavků řídícího orgánu
JAKÁ MÁTE PRÁVA V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ?
Vaše údaje zpracováváme zcela transparentním způsobem. Kdykoliv během zpracování Vašich osobních údajů můžete využít následujících práv: a) Právo na přístup k Vašim osobním údajům a na pořízení kopie osobních údajů, které zpracováváme. b) Právo na opravu a doplnění Vašich osobních údajů v případě, že zjistíte, že o Vás zpracováváme nesprávné nebo nepřesné osobní údaje. c) Právo na výmaz Vašich osobních údajů (resp. právo být zapomenut). Na Vaši žádost můžeme za určitých, právními předpisy stanovených podmínek vymazat Vaše osobní údaje. Upozorňujeme Vás, že Vaše osobní údaje naopak nemohou být vymazány, pokud je jejich zpracování nezbytné (např. pokud pro jejich zpracování existuje zákonná povinnost). d) Právo na omezení zpracování Vašich osobních údajů. Na Vaši žádost můžeme za určitých, právními předpisy stanovených, podmínek omezit nakládání s Vašimi osobními údaji. Pokud uplatníte Vaše právo na omezení zpracování a bude naplněna některá z těchto podmínek, provedeme v našich systémech záznam, že se na dané údaje vztahuje omezení, a takové údaje nebudeme zpravidla aktivně dále zpracovávat. Pokud pominou důvody pro omezení zpracování, omezení zpracování Vašich osobních údajů zrušíme. O tom Vás budeme předem informovat. e) Právo na přenositelnost. V případě, že zpracováváme Vaše osobní údaje na základě vašeho souhlasu nebo pro účely plnění smlouvy a zároveň je zpracování automatizované, máte právo získat takové Vaše osobní údaje ve strukturovaném, běžně používaném strojově čitelném formátu a předat je jinému správci. Vaše osobní údaje Vám budou poskytnuty ve formátu MS Office. f) Pokud se domníváte, že došlo k porušení povinností stanovených právními předpisy na ochranu osobních údajů, zejména GDPR, máte právo podat stížnost u Úřadu pro ochranu osobních údajů nebo u jiného úřadu členského státu Evropské unie, který je pověřen dozorem nad dodržování povinností stanovených GDPR. g) Máte rovněž právo vznést námitku proti zpracování Vašich osobních údajů, kdyby byly osobní údaje zpracovány • Pro účel plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, • pro účel oprávněných zájmů správce či třetí strany, • pro účely přímého marketingu, což zahrnuje také profilování s cílem přizpůsobit nabídku Vašim potřebám a zkvalitnit poskytované služby V případě, že vznesete námitku, nebudeme zpracovávat Vaše osobní údaje do té doby, dokud neprokážeme závažné důvody pro zpracování, které převažují nad Vašimi zájmy nebo právy a svobodami nebo pro určení, výkon nebo obhajobu právních nároků. V případě uplatnění jakéhokoliv výše uvedeného práva Vás bez zbytečného odkladu písemně informujeme o způsobu vyřízení Vaší žádosti.
POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ ČILI DPO
Firma: Moore Advisory CZ s.r.o.
Roman Šmíd, e-mail: roman.smid@moore-czech.cz
S případnými dotazy a podněty Vám rád pomůže.
Aktualizováno: 4. 1. 2023