Společnost Lékař pro děti spol. s r.o., se sídlem Pod Kapličkou 1566, 266 01 Beroun
(dále „společnost Lékař pro děti“) vydává toto Prohlášení o zpracování osobních údajů a informační sdělení (dále jen „Prohlášení“), a to v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení GDPR“), které nabývá účinnosti dnem 25.05.2018. České znění Nařízení GDPR naleznete na následující internetové adrese:
https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32016R0679
Informace pro zaměstnance a jiné pracovníky Lékař pro děti týkající se Nařízení GDPR jsou upraveny v samostatném informačním sdělení, které společnost Lékař pro děti vydala pro své zaměstnance.
Toto Prohlášení je společností Lékař pro děti vydáno především za účelem informování jejích klientů (pacientů) a jiných smluvních partnerů (zejména lékařských zařízení).
- Úvod
Ve společnosti Lékař pro děti si velmi vážíme důvěry, kterou v nás vložili naši klienti (pacienti) a smluvní partneři, a proto je pro nás ochrana jejich soukromí a osobních údajů velmi důležitá.
Z toho důvodu společnost Lékař pro děti vydává toto Prohlášení, aby naši klienti (pacienti) a smluvní partneři získali dostatečné informace ohledně nakládání s jejich osobními údaji a o právech, které v této souvislosti mají.
- Co se v tomto dokumentu dozvíte?
- Vysvětlení hlavních pojmů (článek III)
- Účel zpracování a právní základ pro zpracování (článek IV)
- Kategorie zpracovávaných osobních údajů (článek V)
- Zpracování údajů na základě souhlasu (článek VI)
- Kontaktní informace v souvislosti s ochranou osobních údajů (článek VII)
- Kategorie příjemců osobních údajů (článek VIII)
- Doba uchovávání osobních údajů (článek IX)
- Práva subjektu údajů ve vztahu k ochraně jeho osobních údajů (článek X)
- Následky případného neposkytnutí osobních údajů (článek XI)
III. Vysvětlení hlavních pojmů
Nejprve bychom Vám rádi vysvětlili hlavní pojmy, které v tomto Prohlášení zazní. Tyto pojmy jsou převzaty z Nařízení GDPR, kde naleznete jejich přesné právní definice. Pro účely tohoto Prohlášení a jeho srozumitelnost jsme si dovolili některé právní definice zjednodušit a zpřehlednit.
Níže uvedené pojmy používané v tomto Prohlášení mají následující význam:
„osobní údaje“ = veškeré informace o subjektu údajů
„subjekt údajů“ = jedinečná fyzická osoba (člověk), kterou lze na základě určitých údajů přímo či nepřímo identifikovat
„zpracování“ = jakákoliv operace s osobními údaji, zejména jejich shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení
„správce osobních údajů“ = fyzická nebo právnická osoba nebo orgán veřejné moci, který určuje účely a prostředky zpracování osobních údajů „zpracovatel osobních údajů“ = fyzická nebo právnická osoba nebo orgán veřejné moci, která zpracovává osobní údaje pro správce.
- Účel zpracování a právní základ pro zpracování
Společnost Lékař pro děti má ve vztahu k osobním údajům, které zpracovává, zpravidla postavení správce osobních údajů. V některých méně častých případech je pak společnost Lékař pro děti pouze zpracovatelem osobních údajů (zejména v případě, kdy Lékař pro děti pouze provádí vyšetření na žádost jiné organizace zpravidla zaměstnavatele. Správcem je subjekt, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. na základě zákonem stanovené povinnosti nebo pro zajištění řádného plnění ze smluv), ale může je zpracovávat i pro vlastní stanovené účely např. pro účely svých oprávněných zájmů, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod subjektu údajů. Zpracovatelem je pak subjekt, kterého správce pověřuje, aby pro něj prováděl zpracovatelské operace ohledně osobních údajů. Jinými slovy zpracovatel zpracovává osobní údaje pro správce. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří, nebo které vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen. Společnost Lékař pro děti zpracovává osobní údaje na základě následujících důvodů:
(i) zpracování je nezbytné pro splnění právní povinnosti, která se vztahuje na společnost Lékař pro děti;
(ii) zpracování je nezbytné pro plnění smlouvy, jejíž stranou je subjekt údajů;
(iii) zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany;
(iv) subjekt údajů udělil se zpracováním svých osobních údajů souhlas.
Konkrétní právní důvod a účel zpracování pro jednotlivé kategorie osobních údajů je vysvětlen v následujícím článku.
Zpracování osobních údajů je primárně prováděno v provozovnách společnosti Lékař pro děti, a to řádně proškolenými pracovníky Lékař pro děti, případně zpracování probíhá ve stanovených případech u zpracovatelů – třetích stran pověřených za tímto účelem společností Lékař pro děti.
Ke zpracování dochází prostřednictvím výpočetní techniky, popř. i manuálním způsobem u osobních údajů v listinné podobě, a to za dodržení přijatých bezpečnostních zásad pro zajištění řádného nakládání s osobními údaji, včetně datové a bezpečností integrity příslušných systémů. Za tímto účelem přijala společnost Lékař pro děti technickoorganizační opatření k zajištění ochrany osobních údajů, zejména opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
V souladu s Nařízením GDPR může společnost Lékař pro děti předávat osobní údaje do jiných zemí Evropské unie, a to zejména v rámci využívání informačních systémů, kdy provozovatelé příslušných cloudových služeb mají umístěny serverová úložiště v jiných zemích Evropské unie. Veškeré subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektů údajů na ochranu soukromí a jsou povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.
- Kategorie zpracovávaných osobních údajů
Vzhledem k povaze činnosti společnosti Lékař pro děti (tj. poskytování zdravotních služeb podle zvláštních zákonů1 ), Lékař pro děti zpracovává osobní údaje převážně pro splnění svých zákonných povinností, a to zejména za účelem vedení zdravotnické dokumentace.
V zásadě se jedná o následující kategorie osobních údajů - zejména podle zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování, ve znění pozdějších předpisů
- Identifikační údaje – jméno, příjmení, rodné číslo, datum a místo narození, adresa bydliště/sídla, zdravotní pojišťovna, číslo pojištěnce, podpis
- Kontaktní údaje – kontaktní adresa, telefonní číslo, e-mailová adresa a další podobné informace
- Zdravotní údaje (jedná se o zvláštní kategorii osobních údajů) – anamnéza, diagnóza, výsledky laboratorních vyšetření, lékařské záznamy, genetické údaje a podobné citlivé informace týkající se zdravotního stavu svých pacientů.
Společnost Lékař pro děti dále zpracovává osobní údaje za účelem výkonu práv a povinností ze smluv, které společnost Lékař pro děti uzavřela se svými smluvními partnery (zejména provozovateli zdravotních služeb, pacienty – samoplátci, odběrateli a dodavateli); jedná se přitom o následující kategorie osobních údajů:
- Identifikační údaje – jméno, příjmení, rodné číslo, datum narození, adresa bydliště/sídla, zdravotní pojišťovna, číslo pojištěnce, IČO, DIČ, identifikační číslo zařízení/pracoviště, podpis
- Kontaktní údaje – kontaktní adresa, telefonní číslo, e-mailová adresa, fax a další podobné informace
- Údaje o vzdělání / kvalifikaci – odborná způsobilost, průběžné vzdělávání a osvědčení o dosažené kvalifikaci a jejím zvyšování a další podobné informace
- Platební informace – číslo bankovního účtu, platební historie Výše uvedené zpracování osobních údajů je nezbytné pro plnění právních povinností Lékař pro děti jako poskytovatele zdravotních služeb a pro plnění uzavřených smluv.
Společnost Lékař pro děti proto ve výše uvedených případech nepotřebuje ke zpracování osobních údajů souhlas daného subjektu údajů. Společnost Lékař pro děti dále zpracovává některé osobní údaje svých klientů a smluvních partnerů, popř. třetích osob v případech, kdy je to nezbytné k ochraně jejího majetku či dalších oprávněných zájmů. Ve všech těchto případech však společnost Lékař pro děti důsledně dbá na to, aby nad těmito zájmy nepřevážily zájmy nebo základní práva a svobody subjektů údajů, jejichž osobní údaje mají být zpracovány.
- Zpracování údajů na základě souhlasu
Existuje úzká kategorie osobních údajů, které společnost Lékař pro děti zpracovává na základě souhlasu subjektu údajů. V případě zpracování údajů, které nespadají do žádné z výše uvedených kategorií, potřebujeme ke zpracování osobních údajů Váš souhlas. V této úzké kategorii osobních údajů zpracováváme například údaje o návštěvách internetových stránek Lékař pro děti (zejména prostřednictvím cookies, popř. IP adresa návštěvníka stránek a podobné údaje). Tyto údaje nám nejste povinni poskytovat a jsou zpracovávány pouze na základě Vašeho souhlasu. Souhlas se zpracováním výše uvedených údajů máte právo kdykoli odvolat.
VII. Kontaktní informace společnosti
Lékař pro děti jako správce osobních údajů Obchodní firma: Lékař pro děti spol. s r.o. IČO: XXXXXXXX se sídlem Pod Kapličkou 1566, 266 01 Beroun, zapsaná v obchodním rejstříku vedeném XXXXXXXX E-mailTato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
VIII. Kategorie příjemců osobních údajů
Přestože cílem společnosti Lékař pro děti je zpracování přijatých osobních údajů vlastními prostředky, v některých případech je nezbytné předat osobní údaje i dalším subjektům (tzv. příjemcům osobních údajů). Za účelem ochrany osobních údajů má společnost Lékař pro děti nastavené vnitřní procesy takovým způsobem, aby byly tyto osobní údaje předávány jen vymezeným třetím stranám, a to pouze v odůvodněných případech a v nezbytném rozsahu. Aby mohl Lékař pro děti plnit své povinnosti, které mu stanoví právní předpisy nebo uzavřené smlouvy, předává Lékař pro děti údaje o svých klientech (pacientech) a smluvních partnerech ke splnění svých zákonných povinností určitým třetím stranám, mezi něž se zejména řadí zdravotní pojišťovny, jiní provozovatelé zdravotních služeb, správce daně a rovněž zpracovatelé pověření společností Lékař pro děti k zpracování osobních údajů za účelem plnění jejích zákonných a/nebo smluvních povinností (provozovatel archivace dat, auditoři, externí právníci, provozovatelé IT systémů společnosti Lékař pro děti, subjekty provádějící vyúčtování poskytnutých zdravotních služeb apod.).
- Doba uchovávání osobních údajů
Společnost Lékař pro děti má nastavena vnitřní pravidla tak, aby Vaše údaje uchovávala pouze po nezbytnou dobu. Údaje, které musí společnost Lékař pro děti zpracovávat pro plnění svých zákonných povinností, jsou tedy uchovávány po dobu, kterou společnosti Lékař pro děti ukládají příslušné právní předpisy. Doba zpracování a uchování dat ve společnosti Lékař pro děti je daná především zákonnými lhůtami stanovenými především ve vyhlášce č. 98/2012 Sb, o zdravotnické dokumentaci, ve znění pozdějších předpisů, v zákoně č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů, a v zákoně č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů (např. u zdravotnické dokumentace se v určitých případech jedná o dobu až 100 let). Osobní údaje, k jejichž zpracování nás s výjimkou Vašeho souhlasu neopravňuje žádný z výše uvedených zákonem stanovených důvodů, zpracováváme pouze s Vaším souhlasem, a to po dobu trvání tohoto souhlasu. Společnost Lékař pro děti má vytvořený spisový a skartační řád a jmenovanou skartační komisi, která pravidelně reviduje uchovávanou dokumentaci a dohlíží nad skartací a mazáním dat.
- Práva subjektu údajů ve vztahu k ochraně jeho osobních údajů
Ve vztahu ke zpracování Vašich osobních údajů společností Lékař pro děti máte za určitých podmínek následující práva:
- Právo na přístup k osobním údajům, které se Vás týkají – máte právo vyžádat si kopii svých osobních údajů, které o Vás společnost Lékař pro děti zpracovává;
- Právo na opravu osobních údajů v případě nepřesných údajů, anebo neúplných osobních údajů;
- Právo na výmaz osobních údajů týkajících se Vaší osoby (právo „být zapomenut“), kdy společnost Lékař pro děti zlikviduje Vaše osobní údaje a nebude je nadále uchovávat (pouze ve stanovených případech);
- Právo na omezení zpracování osobních údajů, které se Vás týkají (pouze ve stanovených případech);
- Právo vznést námitku proti zpracování (pouze ve stanovených případech), případně podat stížnost dozorovému orgánu, kterým je Úřad pro ochranu osobních údajů (se sídlem Pplk. Sochora 27, 170 00 Praha 7), pokud se domníváte, že je zpracováním osobních údajů porušeno Nařízení GDPR, popř. jiný právní předpis;
- Právo na přenositelnost údajů (pouze ve stanovených případech), tj.
(i) právo získat (tedy především stáhnout) osobní údaje, které se Vás týkají, a které jste poskytl/a společnosti Lékař pro děti, a
(ii) právo předat tyto údaje dalšímu správci bez toho, aby tomu společnost Lékař pro děti bránila (jedná se tedy o přímé poskytnutí osobních údajů zpracovávaných společností Lékař pro děti jinému správci).
- Následky případného neposkytnutí osobních údajů
Poskytování osobních údajů klientů, popř. smluvních partnerů společnosti Lékař pro děti, které Lékař pro děti potřebuje pro účely vedení zdravotnické dokumentace v rozsahu stanoveném příslušnými právními předpisy a pro plnění jejích zákonných povinností poskytovatele zdravotních služeb, je zákonným požadavkem a z hlediska Lékař pro děti je i nezbytným k plnění příslušné smlouvy. Bez poskytnutí těchto osobních údajů by společnost Lékař pro děti nemohla řádně plnit své zákonné a smluvní povinnosti. V případě osobních údajů, které jsou zpracovávány na základě Vašeho souhlasu, je poskytnutí tohoto souhlasu zcela dobrovolné. Neposkytnutí, resp. odvolání souhlasu pro Vás v takovém případě nebude mít žádné důsledky. Nicméně i v případě, že dojde k odvolání souhlasu, zůstane zpracování osobních údajů před odvoláním souhlasu v souladu s právními předpisy.