GDPR
PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Společnost ProfiPLD czech s.r.o., se sídlem Poděbradská 186/56, 198 00 Praha 9 - Hloubětín, IČ: 078 40 233, (dále „společnost ProfiPLD“ nebo „ProfiPLD“) vydává toto Prohlášení o zpracování osobních údajů a informační sdělení (dále jen „Prohlášení“), a to v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení GDPR“), které nabývá účinnosti dnem 25.05.2018. České znění Nařízení GDPR naleznete na následující internetové adrese:
https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32016R0679
Informace pro zaměstnance a jiné pracovníky ProfiPLD týkající se Nařízení GDPR jsou upraveny v samostatném informačním sdělení, které společnost ProfiPLD vydala pro své zaměstnance.
Toto Prohlášení je společností ProfiPLD vydáno především za účelem informování jejích klientů (pacientů) a jiných smluvních partnerů (zejména lékařských zařízení).
I. Úvod
Ve společnosti ProfiPLD si velmi vážíme důvěry, kterou v nás vložili naši klienti (pacienti) a smluvní partneři, a proto je pro nás ochrana jejich soukromí a osobních údajů velmi důležitá.
Z toho důvodu společnost ProfiPLD vydává toto Prohlášení, aby naši klienti (pacienti) a smluvní partneři získali dostatečné informace ohledně nakládání s jejich osobními údaji a o právech, které v této souvislosti mají.
II. Co se v tomto dokumentu dozvíte?
• Vysvětlení hlavních pojmů (článek III)
• Účel zpracování a právní základ pro zpracování (článek IV)
• Kategorie zpracovávaných osobních údajů (článek V)
• Zpracování údajů na základě souhlasu (článek VI)
• Kontaktní informace v souvislosti s ochranou osobních údajů (článek VII)
• Kategorie příjemců osobních údajů (článek VIII)
• Doba uchovávání osobních údajů (článek IX)
• Práva subjektu údajů ve vztahu k ochraně jeho osobních údajů (článek X)
• Následky případného neposkytnutí osobních údajů (článek XI)
III. Vysvětlení hlavních pojmů
Nejprve bychom Vám rádi vysvětlili hlavní pojmy, které v tomto Prohlášení zazní. Tyto pojmy jsou převzaty z Nařízení GDPR, kde naleznete jejich přesné právní definice. Pro účely tohoto Prohlášení a jeho srozumitelnost jsme si dovolili některé právní definice zjednodušit a zpřehlednit.
Níže uvedené pojmy používané v tomto Prohlášení mají následující význam:
„osobní údaje“ = veškeré informace o subjektu údajů
„subjekt údajů“ = jedinečná fyzická osoba (člověk), kterou lze na základě určitých údajů přímo či nepřímo identifikovat
„zpracování“ = jakákoliv operace s osobními údaji, zejména jejich shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení
„správce osobních údajů“ = fyzická nebo právnická osoba nebo orgán veřejné moci, který určuje účely a prostředky zpracování osobních údajů „zpracovatel osobních údajů“ = fyzická nebo právnická osoba nebo orgán veřejné moci, která zpracovává osobní údaje pro správce.
IV. Účel zpracování a právní základ pro zpracování
Společnost ProfiPLD má ve vztahu k osobním údajům, které zpracovává, zpravidla postavení správce osobních údajů. V některých méně častých případech je pak společnost ProfiPLD pouze zpracovatelem osobních údajů (zejména v případě, kdy ProfiPLD pouze provádí vyšetření na žádost jiné organizace zpravidla zaměstnavatele. Správcem je subjekt, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. na základě zákonem stanovené povinnosti nebo pro zajištění řádného plnění ze smluv), ale může je zpracovávat i pro vlastní stanovené účely např. pro účely svých oprávněných zájmů, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod subjektu údajů. Zpracovatelem je pak subjekt, kterého správce pověřuje, aby pro něj prováděl zpracovatelské operace ohledně osobních údajů. Jinými slovy zpracovatel zpracovává osobní údaje pro správce. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří, nebo které vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen. Společnost ProfiPLD zpracovává osobní údaje na základě následujících důvodů:
(i) zpracování je nezbytné pro splnění právní povinnosti, která se vztahuje na společnost ProfiPLD;
(ii) zpracování je nezbytné pro plnění smlouvy, jejíž stranou je subjekt údajů;
(iii) zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany;
(iv) subjekt údajů udělil se zpracováním svých osobních údajů souhlas.
Konkrétní právní důvod a účel zpracování pro jednotlivé kategorie osobních údajů je vysvětlen v následujícím článku.
Zpracování osobních údajů je primárně prováděno v provozovnách společnosti ProfiPLD, a to řádně proškolenými pracovníky ProfiPLD, případně zpracování probíhá ve stanovených případech u zpracovatelů – třetích stran pověřených za tímto účelem společností ProfiPLD.
Ke zpracování dochází prostřednictvím výpočetní techniky, popř. i manuálním způsobem u osobních údajů v listinné podobě, a to za dodržení přijatých bezpečnostních zásad pro zajištění řádného nakládání s osobními údaji, včetně datové a bezpečností integrity příslušných systémů. Za tímto účelem přijala společnost ProfiPLD technickoorganizační opatření k zajištění ochrany osobních údajů, zejména opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
V souladu s Nařízením GDPR může společnost ProfiPLD předávat osobní údaje do jiných zemí Evropské unie, a to zejména v rámci využívání informačních systémů, kdy provozovatelé příslušných cloudových služeb mají umístěny serverová úložiště v jiných zemích Evropské unie. Veškeré subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektů údajů na ochranu soukromí a jsou povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.
V. Kategorie zpracovávaných osobních údajů
Vzhledem k povaze činnosti společnosti ProfiPLD (tj. poskytování zdravotních služeb podle zvláštních zákonů1 ), ProfiPLD zpracovává osobní údaje převážně pro splnění svých zákonných povinností, a to zejména za účelem vedení zdravotnické dokumentace.
V zásadě se jedná o následující kategorie osobních údajů - zejména podle zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování, ve znění pozdějších předpisů
• Identifikační údaje – jméno, příjmení, rodné číslo, datum a místo narození, adresa bydliště/sídla, zdravotní pojišťovna, číslo pojištěnce, podpis
• Kontaktní údaje – kontaktní adresa, telefonní číslo, e-mailová adresa a další podobné informace
• Zdravotní údaje (jedná se o zvláštní kategorii osobních údajů) – anamnéza, diagnóza, výsledky laboratorních vyšetření, lékařské záznamy, genetické údaje a podobné citlivé informace týkající se zdravotního stavu svých pacientů.
Společnost ProfiPLD dále zpracovává osobní údaje za účelem výkonu práv a povinností ze smluv, které společnost ProfiPLD uzavřela se svými smluvními partnery (zejména provozovateli zdravotních služeb, pacienty – samoplátci, odběrateli a dodavateli); jedná se přitom o následující kategorie osobních údajů:
• Identifikační údaje – jméno, příjmení, rodné číslo, datum narození, adresa bydliště/sídla, zdravotní pojišťovna, číslo pojištěnce, IČO, DIČ, identifikační číslo zařízení/pracoviště, podpis
• Kontaktní údaje – kontaktní adresa, telefonní číslo, e-mailová adresa, fax a další podobné informace
• Údaje o vzdělání / kvalifikaci – odborná způsobilost, průběžné vzdělávání a osvědčení o dosažené kvalifikaci a jejím zvyšování a další podobné informace
• Platební informace – číslo bankovního účtu, platební historie Výše uvedené zpracování osobních údajů je nezbytné pro plnění právních povinností ProfiPLD jako poskytovatele zdravotních služeb a pro plnění uzavřených smluv.
Společnost ProfiPLD proto ve výše uvedených případech nepotřebuje ke zpracování osobních údajů souhlas daného subjektu údajů. Společnost ProfiPLD dále zpracovává některé osobní údaje svých klientů a smluvních partnerů, popř. třetích osob v případech, kdy je to nezbytné k ochraně jejího majetku či dalších oprávněných zájmů. Ve všech těchto případech však společnost ProfiPLD důsledně dbá na to, aby nad těmito zájmy nepřevážily zájmy nebo základní práva a svobody subjektů údajů, jejichž osobní údaje mají být zpracovány.
VI. Zpracování údajů na základě souhlasu
Existuje úzká kategorie osobních údajů, které společnost ProfiPLD zpracovává na základě souhlasu subjektu údajů. V případě zpracování údajů, které nespadají do žádné z výše uvedených kategorií, potřebujeme ke zpracování osobních údajů Váš souhlas. V této úzké kategorii osobních údajů zpracováváme například údaje o návštěvách internetových stránek ProfiPLD (zejména prostřednictvím cookies, popř. IP adresa návštěvníka stránek a podobné údaje). Tyto údaje nám nejste povinni poskytovat a jsou zpracovávány pouze na základě Vašeho souhlasu. Souhlas se zpracováním výše uvedených údajů máte právo kdykoli odvolat.
VII. Kontaktní informace společnosti
ProfiPLD jako správce osobních údajů Obchodní firma: ProfiPLD spol. s r.o. IČO: 078 40 233 se sídlem Poděbradská 186/56, 198 00 Praha 9 - Vršovice, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 308532 E-mail: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
VIII. Kategorie příjemců osobních údajů
Přestože cílem společnosti ProfiPLD je zpracování přijatých osobních údajů vlastními prostředky, v některých případech je nezbytné předat osobní údaje i dalším subjektům (tzv. příjemcům osobních údajů). Za účelem ochrany osobních údajů má společnost ProfiPLD nastavené vnitřní procesy takovým způsobem, aby byly tyto osobní údaje předávány jen vymezeným třetím stranám, a to pouze v odůvodněných případech a v nezbytném rozsahu. Aby mohl ProfiPLD plnit své povinnosti, které mu stanoví právní předpisy nebo uzavřené smlouvy, předává ProfiPLD údaje o svých klientech (pacientech) a smluvních partnerech ke splnění svých zákonných povinností určitým třetím stranám, mezi něž se zejména řadí zdravotní pojišťovny, jiní provozovatelé zdravotních služeb, správce daně a rovněž zpracovatelé pověření společností ProfiPLD k zpracování osobních údajů za účelem plnění jejích zákonných a/nebo smluvních povinností (provozovatel archivace dat, auditoři, externí právníci, provozovatelé IT systémů společnosti ProfiPLD, subjekty provádějící vyúčtování poskytnutých zdravotních služeb apod.).
IX. Doba uchovávání osobních údajů
Společnost ProfiPLD má nastavena vnitřní pravidla tak, aby Vaše údaje uchovávala pouze po nezbytnou dobu. Údaje, které musí společnost ProfiPLD zpracovávat pro plnění svých zákonných povinností, jsou tedy uchovávány po dobu, kterou společnosti ProfiPLD ukládají příslušné právní předpisy. Doba zpracování a uchování dat ve společnosti ProfiPLD je daná především zákonnými lhůtami stanovenými především ve vyhlášce č. 98/2012 Sb, o zdravotnické dokumentaci, ve znění pozdějších předpisů, v zákoně č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů, a v zákoně č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů (např. u zdravotnické dokumentace se v určitých případech jedná o dobu až 100 let). Osobní údaje, k jejichž zpracování nás s výjimkou Vašeho souhlasu neopravňuje žádný z výše uvedených zákonem stanovených důvodů, zpracováváme pouze s Vaším souhlasem, a to po dobu trvání tohoto souhlasu. Společnost ProfiPLD má vytvořený spisový a skartační řád a jmenovanou skartační komisi, která pravidelně reviduje uchovávanou dokumentaci a dohlíží nad skartací a mazáním dat.
X. Práva subjektu údajů ve vztahu k ochraně jeho osobních údajů
Ve vztahu ke zpracování Vašich osobních údajů společností ProfiPLD máte za určitých podmínek následující práva:
• Právo na přístup k osobním údajům, které se Vás týkají – máte právo vyžádat si kopii svých osobních údajů, které o Vás společnost ProfiPLD zpracovává;
• Právo na opravu osobních údajů v případě nepřesných údajů, anebo neúplných osobních údajů;
• Právo na výmaz osobních údajů týkajících se Vaší osoby (právo „být zapomenut“), kdy společnost ProfiPLD zlikviduje Vaše osobní údaje a nebude je nadále uchovávat (pouze ve stanovených případech);
• Právo na omezení zpracování osobních údajů, které se Vás týkají (pouze ve stanovených případech);
• Právo vznést námitku proti zpracování (pouze ve stanovených případech), případně podat stížnost dozorovému orgánu, kterým je Úřad pro ochranu osobních údajů (se sídlem Pplk. Sochora 27, 170 00 Praha 7), pokud se domníváte, že je zpracováním osobních údajů porušeno Nařízení GDPR, popř. jiný právní předpis;
• Právo na přenositelnost údajů (pouze ve stanovených případech), tj.
(i) právo získat (tedy především stáhnout) osobní údaje, které se Vás týkají, a které jste poskytl/a společnosti ProfiPLD, a
(ii) právo předat tyto údaje dalšímu správci bez toho, aby tomu společnost ProfiPLD bránila (jedná se tedy o přímé poskytnutí osobních údajů zpracovávaných společností ProfiPLD jinému správci).
XI. Následky případného neposkytnutí osobních údajů
Poskytování osobních údajů klientů, popř. smluvních partnerů společnosti ProfiPLD, které ProfiPLD potřebuje pro účely vedení zdravotnické dokumentace v rozsahu stanoveném příslušnými právními předpisy a pro plnění jejích zákonných povinností poskytovatele zdravotních služeb, je zákonným požadavkem a z hlediska ProfiPLD je i nezbytným k plnění příslušné smlouvy. Bez poskytnutí těchto osobních údajů by společnost ProfiPLD nemohla řádně plnit své zákonné a smluvní povinnosti. V případě osobních údajů, které jsou zpracovávány na základě Vašeho souhlasu, je poskytnutí tohoto souhlasu zcela dobrovolné. Neposkytnutí, resp. odvolání souhlasu pro Vás v takovém případě nebude mít žádné důsledky. Nicméně i v případě, že dojde k odvolání souhlasu, zůstane zpracování osobních údajů před odvoláním souhlasu v souladu s právními předpisy.