Zásady pro zpracování a ochranu osobních údajů
Pověřencem pro ochranu osobních údajů je společnost Consult4all s.r.o., IČ 06591540.
Požadavky týkající se ochrany osobních údajů jsou přijímány emailem na adrese gdpr@mnnp.cz či písemně na adrese K Moravině 343/6; 190 00 Praha 9
dle nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Podmínky“)
Městská nemocnice následné péče, IČO: 45245843, se sídlem K Moravině 343/6, 190 00 Praha 9 (dále jen „správce“), je oprávněna ke zpracovávání Vašich osobních údajů, a to na základě Vámi uděleného výslovného souhlasu se zpracováním Vašich osobních údajů, nebo na základě ostatních právních titulů, kterými jsou splnění smlouvy, splnění právní povinnosti, ochrana Vašich životně důležitých zájmů nebo životně důležitých zájmů jiné fyzické osoby, splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci nebo oprávněný zájem správce či třetí strany, a to dle Nařízení Evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „nařízení GDPR“) a dle zákona o zpracování osobních údajů.
Osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (subjekt údajů); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Za osobní údaj se považuje také údaj, který nemusí jasně identifikovat osobu, ale teprve ve spojení s jiným dostupným údajem tuto identifikaci umožní. K propojování takových údajů je nutné zohlednit možnosti technologických prostředků.
Zpracováním osobních údajů se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Za zpracování osobních údajů tak bude i dle nařízení GDPR nutno označit takovou operaci nebo soustavu operací, kterou správce či zpracovatel s osobními údaji provádějí systematicky, za určitým účelem či cílem, a to bez ohledu na způsob a prostředky zpracování.
Není rozhodné, zda správce nebo zpracovatel osobní údaje zpracovávají manuálně, elektronicky, v kombinaci obou těchto způsobu, či za využití určitého softwarového nástroje či řešení. Komentovaná definice i nadále obsahuje demonstrativní výčet operací, které budou představovat zpracování osobních údajů. Může se tak jednat o shromažďování údajů, jejich ukládání na nosiče informací, zpřístupňování, úpravu nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměnu, třídění nebo kombinování, blokování nebo likvidaci.
Příjemcem se rozumí subjekt, kterému jsou osobní údaje zpřístupněny – tj. fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování. Příjemcem je také subjekt údajů, další správce, zpracovatel či osoba přímo podléhající správci nebo zpracovateli, jenž je oprávněna ke zpracování osobních údajů (nikoliv však jako zaměstnanec, jehož jednání při zpracování údajů se přičítá právě správci či zpracovateli). Status příjemce přitom zakládá pouhé obdržení údajů. Příjemci však nejsou orgány veřejné moci v rámci výkonu svých vyšetřovacích pravomocí. V praxi půjde například o daňové či celní orgány nebo obecně správní a regulační orgány. Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování.
Subjektem údajů se rozumí každá fyzická osoba, k níž se osobní údaje vztahují. Typicky jde o rezidenty EU, jejichž práva nařízení GDPR chrání. Subjekt údajů však není právnická osoba. Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě, jelikož nařízení GDPR vylučuje svoji působnost na údaje o zesnulých osobách.
Správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem EU či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.
Zpracovatelem se rozumí každá fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
Osobní údaje jsou zpracovávány v rozsahu, v jakém je příslušný subjekt údajů poskytl, a to zejména v souvislosti s uzavřením smluvního či jiného právního vztahu se správcem, nebo které správce nashromáždil jinak a zpracovává je v souladu s platnými právními předpisy či k plnění zákonných povinností správce.
Osobní údaje jsou zpracovávány pouze v nezbytně nutném rozsahu ve vztahu k vymezeným účelům v bodě 8 těchto Podmínek.
Osobní údaje jsou získávány následujícími způsoby:
Mezi níže specifikované kategorie osobních údajů, které správce zpracovává, patří především následující identifikační údaje sloužící k jednoznačné a nezaměnitelné identifikaci subjektu údajů.
Organizace zpracovává rovněž zvláštní kategorie osobních údajů, a to zejména údaje o zdravotním stavu zaměstnance včetně záznamu o zdravotní prohlídce.
Dále organizace zpracovává osobní údaje osob blízkých zaměstnancům (rodinných příslušníků) v rozsahu jméno a příjmení, datum narození, rodné číslo a vztah k zaměstnanci. Účelem zpracování osobních údajů je evidence pro účely daňových slev a odpočtů na základě Zákona č. 586/1992 Sb. o daních z příjmů.
Správce předává osobní údaje subjektů údajů následujícím příjemcům, a to na základě účelu zpracování osobních údajů:
Správce zpracovává osobní údaje z důvodu níže uvedených vymezených účelů:
Zpracování osobních údajů provádí správce. Zpracovávání je prováděno v sídle správce, a to jednotlivými pověřenými pracovníky správce.
Ke zpracování Vašich osobních údajů mohou být využíváni také další zpracovatelé, je-li to nezbytně nutné pro plnění vymezeného účelu zpracování.
Před předáním osobních údajů třetí osobě, jak je uvedeno shora, je vždy s touto osobou uzavřena písemná smlouva upravující zpracování osobních údajů, která obsahuje záruky pro zpracování osobních údajů dle nařízení GDPR a dle zákona o zpracování osobních údajů.
Vaše osobní údaje nejsou předávány do zemí mimo EU.
V případě zpracování osobních údajů za účelem poskytování poradenství v sociální oblasti prostřednictvím tzv. linky návratu dochází při využití nástroje Google Formuláře k předávání osobních údajů mimo EU, konkrétně do Spojených států amerických. Bližší informace je možné získat zde: https://policies.google.com/privacy?hl=cs. Společnost Google deklaruje, že zajišťuje úroveň ochrany osobních údajů, která je ekvivalentní s právními předpisy Evropské unie.
Zpracování osobních údajů probíhá automatizovaně prostřednictvím výpočetní techniky, přičemž není vyloučeno zpracování manuálním způsobem u osobních údajů v listinné podobě za dodržení veškerých bezpečnostních zásad pro správu osobních údajů.
Za tímto účelem přijal správce technickoorganizační opatření k zajištění ochrany osobních údajů, zejména opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
Veškeré subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektů údajů na ochranu soukromí a jsou povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.
Osobní údaje subjektů údajů jsou uchovávány v předepsaných zákonných lhůtách, v ostatních případech na základně interně stanovených archivačních lhůt, přičemž vždy jde o dobu nezbytně nutnou k zajištění práv a povinností plynoucích jak z příslušných právních předpisů či smluvního vztahu správce.
V souladu s článkem 12 nařízení GDPR ve spojení s článkem 15 nařízení GDPR informuje správce na žádost subjektu údajů subjekt údajů o právu na přístup k osobním údajům a k následujícím informacím:
Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může:
Subjekt údajů může svá práva dle předchozího odstavce uplatnit přímo u správce nebo prostřednictvím pověřence ochrany osobních údajů.
Je-li žádost subjektu údajů shledána oprávněnou, správce odstraní neprodleně závadný stav. Nevyhoví-li správce žádosti subjektu údajů, má subjekt údajů právo obrátit se přímo na dozorový úřad, kterým je Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 727/27, 170 00 Praha 7- Holešovice. Postup podle předchozího odstavce se nevylučuje, aby se subjekt údajů obrátil se svým podnětem na dozorový úřad přímo.
Správce poskytne subjektům údajů požadované informace bez zbytečného odkladu, nejpozději do jednoho měsíce od obdržení žádosti. Tuto lhůtu lze prodloužit s ohledem na složitost a počet žádostí o další dva měsíce, o čemž musí být subjekt údajů informován.
Správce poskytne subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých prostředků veškeré žádané informace. Správce tak činí bezplatně.
Toto prohlášení správce je veřejně přístupné na webových stránkách správce (www.mnnp.cz).
V případě jakýchkoliv dotazů na zpracování Vašich osobních údajů se na nás můžete obracet písemně prostřednictvím emailové adresy správce osobních údajů gdpr@mnnp.cz, případně písemně na adrese: Městská nemocnice následné péče, K Moravině 343/6; 190 00 Praha 9. Případně můžete kontaktovat přímo stanoveného pověřence ochrany osobních údajů společnost Consult4all s.r.o., Blatenská 2169/13 datová schránka: 2xvuzbn, emailová adresa: info@consult4all.cz.