Zásady pro zpracování a ochranu osobních údajů

GDPR

Pověřencem pro ochranu osobních údajů je společnost Consult4all s.r.o., IČ 06591540.

Požadavky týkající se ochrany osobních údajů jsou přijímány emailem na adrese gdpr@mnnp.cz či písemně na adrese K Moravině 343/6; 190 00 Praha 9

Kontakt

Mgr. Silvia Majtánová
+420 724 506 429
gdpr@mnnp.cz

Obecné podmínky nakládání s osobními údaji subjektů údajů v organizaci

dle nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Podmínky“)

Správce osobních údajů

Městská nemocnice následné péče, IČO: 45245843, se sídlem K Moravině 343/6, 190 00 Praha 9 (dále jen „správce“), je oprávněna ke zpracovávání Vašich osobních údajů, a to na základě Vámi uděleného výslovného souhlasu se zpracováním Vašich osobních údajů, nebo na základě ostatních právních titulů, kterými jsou splnění smlouvy, splnění právní povinnosti, ochrana Vašich životně důležitých zájmů nebo životně důležitých zájmů jiné fyzické osoby, splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci nebo oprávněný zájem správce či třetí strany, a to dle Nařízení Evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „nařízení GDPR“) a dle zákona o zpracování osobních údajů.

Pojmy

Osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (subjekt údajů); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Za osobní údaj se považuje také údaj, který nemusí jasně identifikovat osobu, ale teprve ve spojení s jiným dostupným údajem tuto identifikaci umožní. K propojování takových údajů je nutné zohlednit možnosti technologických prostředků.

Zpracováním osobních údajů se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Za zpracování osobních údajů tak bude i dle nařízení GDPR nutno označit takovou operaci nebo soustavu operací, kterou správce či zpracovatel s osobními údaji provádějí systematicky, za určitým účelem či cílem, a to bez ohledu na způsob a prostředky zpracování.

Není rozhodné, zda správce nebo zpracovatel osobní údaje zpracovávají manuálně, elektronicky, v kombinaci obou těchto způsobu, či za využití určitého softwarového nástroje či řešení. Komentovaná definice i nadále obsahuje demonstrativní výčet operací, které budou představovat zpracování osobních údajů. Může se tak jednat o shromažďování údajů, jejich ukládání na nosiče informací, zpřístupňování, úpravu nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměnu, třídění nebo kombinování, blokování nebo likvidaci.

Příjemcem se rozumí subjekt, kterému jsou osobní údaje zpřístupněny – tj. fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování. Příjemcem je také subjekt údajů, další správce, zpracovatel či osoba přímo podléhající správci nebo zpracovateli, jenž je oprávněna ke zpracování osobních údajů (nikoliv však jako zaměstnanec, jehož jednání při zpracování údajů se přičítá právě správci či zpracovateli). Status příjemce přitom zakládá pouhé obdržení údajů. Příjemci však nejsou orgány veřejné moci v rámci výkonu svých vyšetřovacích pravomocí. V praxi půjde například o daňové či celní orgány nebo obecně správní a regulační orgány. Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování.

Subjektem údajů se rozumí každá fyzická osoba, k níž se osobní údaje vztahují. Typicky jde o rezidenty EU, jejichž práva nařízení GDPR chrání. Subjekt údajů však není právnická osoba. Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě, jelikož nařízení GDPR vylučuje svoji působnost na údaje o zesnulých osobách.

Správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem EU či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.

Zpracovatelem se rozumí každá fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Rozsah zpracování osobních údajů

Osobní údaje jsou zpracovávány v rozsahu, v jakém je příslušný subjekt údajů poskytl, a to zejména v souvislosti s uzavřením smluvního či jiného právního vztahu se správcem, nebo které správce nashromáždil jinak a zpracovává je v souladu s platnými právními předpisy či k plnění zákonných povinností správce.

Osobní údaje jsou zpracovávány pouze v nezbytně nutném rozsahu ve vztahu k vymezeným účelům v bodě 8 těchto Podmínek.

Zdroje osobních údajů

Osobní údaje jsou získávány následujícími způsoby:

  • přímo od subjektů údajů v rámci smluvního vztahu či na základě jiného právního základu (tj. účelu vymezeného v čl. 8),
  • na základě informací z veřejně přístupných rejstříků, seznamů a evidencí (obchodní rejstřík, živnostenský rejstřík, katastr nemovitostí, veřejný telefonní seznam apod.),
  • od jiných osob v postavení správců nebo zpracovatelů, které předávají osobní údaje za účelem plnění smlouvy.

Kategorie zpracovávaných osobních údajů a kategorie subjektů osobních údajů

Mezi níže specifikované kategorie osobních údajů, které správce zpracovává, patří především následující identifikační údaje sloužící k jednoznačné a nezaměnitelné identifikaci subjektu údajů.

Osobní údaje zaměstnanců a osob blízkých

  • jméno, příjmení,
  • adresa trvalého pobytu, případně kontaktní adresa,
  • datum narození,
  • rodné číslo,
  • telefon a emailová adresa,
  • číslo dokladu totožnosti,
  • číslo bankovního účtu,
  • údaje související s pracovním a platovým zařazením zaměstnanců (např. dosažené vzdělání, délka praxe, funkční zařazení apod.),
  • údaje o platu zaměstnance,
  • údaje o trestní bezúhonnosti obsažené ve výpisu z rejstříku trestů,
  • případně další osobní údaje osoby ve vztahu k organizaci a k naplnění účelů zpracování osobních údajů.

Organizace zpracovává rovněž zvláštní kategorie osobních údajů, a to zejména údaje o zdravotním stavu zaměstnance včetně záznamu o zdravotní prohlídce.

Dále organizace zpracovává osobní údaje osob blízkých zaměstnancům (rodinných příslušníků) v rozsahu jméno a příjmení, datum narození, rodné číslo a vztah k zaměstnanci. Účelem zpracování osobních údajů je evidence pro účely daňových slev a odpočtů na základě Zákona č. 586/1992 Sb. o daních z příjmů.

Osobní údaje uchazečů o zaměstnání

  • jméno, příjmení,
  • adresa trvalého pobytu, případně kontaktní adresa,
  • datum narození,
  • telefon a emailová adresa,
  • údaje související s pracovním a platovým zařazením zaměstnanců (např. dosažené vzdělání, délka praxe, funkční zařazení apod.).

Osobní údaje pacientů a osob blízkých

  • jméno, příjmení,
  • adresa trvalého pobytu, případně kontaktní adresa,
  • datum narození,
  • rodné číslo,
  • telefon a emailová adresa,
  • číslo dokladu totožnosti,
  • pořizování audio a videozáznamů klientů za účelem zajištění sociálního kontaktu s rodinou;
  • osobní údaje zvláštní kategorie o zdravotním stavu pacienta (zdravotní dokumentace, fotodokumentace zdravotních defektů);
  • číslo dokladu totožnosti,

Osobní údaje klientů Linky návratu

  • jméno, příjmení,
  • kontaktní telefon,
  • kontaktní email,
  • adresa trvalého nebo přechodného pobytu,
  • věk,
  • případně další osobní údaje osoby ve vztahu k požadovanému poradenství v oblasti sociálních služeb k naplnění účelů zpracování osobních údajů.

Osobní údaje smluvních stran (externí dodavatelé)

  • jméno, příjmení,
  • IČO,
  • kontaktní telefon,
  • kontaktní email,
  • číslo bankovního účtu,
  • případně další osobní údaje osoby ve vztahu k organizaci a k naplnění účelů zpracování osobních údajů.

Kategorie příjemců osobních údajů

Správce předává osobní údaje subjektů údajů následujícím příjemcům, a to na základě účelu zpracování osobních údajů:

  • zřizovatel správce Hlavní město Praha,
  • navazující a další poskytovatelé zdravotních služeb (např. praktický lékař, ambulantní specialista, ostatní zdravotnická zařízení poskytující zdravotní nebo péči, laboratoře, domovy pro seniory, LDN, rehabilitační ústavy apod.);
  • bankovní ústavy,
  • ÚZIS, SÚKL, ČSSZ, Národní zdravotní registry, zdravotní pojišťovny,
  • úřad práce,
  • exekutoři, insolvenční správci,
  • zákonný zástupce, případně opatrovník,
  • dodavatelé služeb poskytovaných správci,
  • státní orgány v rámci plnění zákonných povinností stanovených příslušnými právními předpisy.

Účel zpracování osobních údajů

Správce zpracovává osobní údaje z důvodu níže uvedených vymezených účelů:

  • plnění zákonných povinností ze strany správce,
  • jednání o smluvním vztahu,
  • plnění smlouvy – poskytování služeb, plnění pracovněprávního vztahu apod.,
  • výběrová řízení na volná pracovní místa
  • účely obsažené v rámci souhlasu subjektu údajů,
  • ochrana oprávněných zájmů správce,
  • archivnictví vedené na základě právních předpisů,
  • statistické účely,
  • účely uvedené v uděleném souhlasu se zpracováním osobních údajů,
  • pro účely ochrany životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
  • poskytování poradenských služeb v sociální oblasti (tzv. linka návratu),
  • oprávněné zájmy správce či třetí strany (kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě).

Způsob zpracování a ochrany osobních údajů

Zpracování osobních údajů provádí správce. Zpracovávání je prováděno v sídle správce, a to jednotlivými pověřenými pracovníky správce.

Ke zpracování Vašich osobních údajů mohou být využíváni také další zpracovatelé, je-li to nezbytně nutné pro plnění vymezeného účelu zpracování.

Před předáním osobních údajů třetí osobě, jak je uvedeno shora, je vždy s touto osobou uzavřena písemná smlouva upravující zpracování osobních údajů, která obsahuje záruky pro zpracování osobních údajů dle nařízení GDPR a dle zákona o zpracování osobních údajů.

Vaše osobní údaje nejsou předávány do zemí mimo EU.

V případě zpracování osobních údajů za účelem poskytování poradenství v sociální oblasti prostřednictvím tzv. linky návratu dochází při využití nástroje Google Formuláře k předávání osobních údajů mimo EU, konkrétně do Spojených států amerických. Bližší informace je možné získat zde: https://policies.google.com/privacy?hl=cs. Společnost Google deklaruje, že zajišťuje úroveň ochrany osobních údajů, která je ekvivalentní s právními předpisy Evropské unie.

Zpracování osobních údajů probíhá automatizovaně prostřednictvím výpočetní techniky, přičemž není vyloučeno zpracování manuálním způsobem u osobních údajů v listinné podobě za dodržení veškerých bezpečnostních zásad pro správu osobních údajů.

Za tímto účelem přijal správce technickoorganizační opatření k zajištění ochrany osobních údajů, zejména opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.

Veškeré subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektů údajů na ochranu soukromí a jsou povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.

Doba uchovávání osobních údajů

Osobní údaje subjektů údajů jsou uchovávány v předepsaných zákonných lhůtách, v ostatních případech na základně interně stanovených archivačních lhůt, přičemž vždy jde o dobu nezbytně nutnou k zajištění práv a povinností plynoucích jak z příslušných právních předpisů či smluvního vztahu správce.

Práva subjektů údajů

V souladu s článkem 12 nařízení GDPR ve spojení s článkem 15 nařízení GDPR informuje správce na žádost subjektu údajů subjekt údajů o právu na přístup k osobním údajům a k následujícím informacím:

  • účelu zpracování,
  • kategorii dotčených osobních údajů,
  • příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
  • plánované době, po kterou budou osobní údaje uloženy,
  • veškeré dostupné informace o zdroji osobních údajů,
  • pokud nejsou získány od subjektu údajů, skutečnosti, zda dochází k automatizovanému rozhodování, včetně profilování.

Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může:

  • požádat správce o vysvětlení,
  • požadovat, aby správce odstranil takto vzniklý stav, zejména se může jednat o provedení opravy, doplnění, omezení nebo vymazání osobních údajů,
  • vznést námitku proti zpracování,
  • požádat o přenositelnost osobních údajů,
  • získat poskytnuté osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu,
  • požádat o předání poskytnutých osobních údajů jinému správci.

Subjekt údajů může svá práva dle předchozího odstavce uplatnit přímo u správce nebo prostřednictvím pověřence ochrany osobních údajů.

Je-li žádost subjektu údajů shledána oprávněnou, správce odstraní neprodleně závadný stav. Nevyhoví-li správce žádosti subjektu údajů, má subjekt údajů právo obrátit se přímo na dozorový úřad, kterým je Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 727/27, 170 00 Praha 7- Holešovice. Postup podle předchozího odstavce se nevylučuje, aby se subjekt údajů obrátil se svým podnětem na dozorový úřad přímo.

Správce poskytne subjektům údajů požadované informace bez zbytečného odkladu, nejpozději do jednoho měsíce od obdržení žádosti. Tuto lhůtu lze prodloužit s ohledem na složitost a počet žádostí o další dva měsíce, o čemž musí být subjekt údajů informován.

Správce poskytne subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých prostředků veškeré žádané informace. Správce tak činí bezplatně.

Obecná ustanovení

Toto prohlášení správce je veřejně přístupné na webových stránkách správce (www.mnnp.cz).

V případě jakýchkoliv dotazů na zpracování Vašich osobních údajů se na nás můžete obracet písemně prostřednictvím emailové adresy správce osobních údajů gdpr@mnnp.cz, případně písemně na adrese: Městská nemocnice následné péče, K Moravině 343/6; 190 00 Praha 9. Případně můžete kontaktovat přímo stanoveného pověřence ochrany osobních údajů společnost Consult4all s.r.o., Blatenská 2169/13 datová schránka: 2xvuzbn, emailová adresa: info@consult4all.cz.