1. Účel informace
Psychiatrická léčebna Šternberk, jako správce osobních údajů (dále jen „správce“ nebo „nemocnice“), je povinna informovat především pacienty, zaměstnance, smluvní strany (obchodní partneři) a další osoby (kteří jsou tzv. subjekty osobních údajů) o zpracování jejich osobních údajů v souladu s článkem 13 Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice (dále jen „Nařízení GDPR“).
Dodržování ochrany osobních údajů je povinností stanovenou zákonem, jež vyplývá ze zákona č. 110/2019 Sb., o zpracování osobních údajů a z Nařízení GDPR.
Základní informace o Nařízení GDPR naleznete na stránkách Úřadu pro ochranu osobních údajů https://www.uoou.cz/gdpr-obecne-nbsp-narizeni/ds-3938/p1=3938
2. Základní pojmy:
Subjekt údajů: pacienti, zaměstnanci, smluvní strany (obchodním partneři), jakož i další dotčené osoby.
Osobní údaj: Osobním údajem je jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu, např. jména, nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, genetickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Osobní údaje jsou v PL Šternberk uchovávány v listinné podobě (zdravotnická dokumentace, kartotéky, smlouvy, personální spisy, apod.) a elektronické podobě (nemocniční informační systém, mzdový a personální systém, docházkový systém, datová úložiště, apod.).
Správce: Psychiatrická léčebna Šternberk je příspěvková organizace zřízená Ministerstvem zdravotnictví ČR, určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za ně.
Zpracováním osobních údajů: Jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Účel zpracování osobních údajů: Cíl, pro který je nezbytné či účelné osobní údaje subjektu údajů zpracovávat.
Rozsah zpracování osobních údajů: Výčet konkrétních osobních údajů subjektu údajů zpracovávaných pro určitý účel.
DPO/pověřenec: Je výkonná role v bezpečnostní struktuře organizace vyžadovaná regulací GDPR, je odpovědný za strategii ochrany osobních údajů a implementaci opatření k zajištění souladu s požadavky GDPR.
3. Správce osobních údajů:
PL Šternberk je státní příspěvková organizace v přímé řídící působnosti Ministerstva zdravotnictví a je samostatným právním subjektem poskytujícím zdravotní služby v souladu se zákonem č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování, ve znění pozdějších předpisů
Kontaktní údaje správce osobních údajů:
Psychiatrická léčebna Šternberk
Olomoucká 1848/173
785 01 Šternberk
IČ: 00843954
telefon: +420 585 085 111
fax:+420 585 012 879
e-mail: info@plstbk.cz
datová schránka: p8hz5v8
Statutární zástupce správce:
MUDr. Hana Kučerová
Ředitelka Psychiatrické léčebny Šternberk
4. Pověřenec pro ochranu osobních údajů
Kontaktní údaje pověřence pro ochranu osobních údajů:
Specialis s.r.o., advokátní kancelář
IČO: 097 49 632
sídlem Palackého 151/10, 796 01 Prostějov
JUDr. Ing. et Ing. Roman Ondrýsek, MBA, Ph.D.
tel.: +420 582 335 622
E-mail: osobniudaje@plstbk.cz, kancelar@specialis.cz
Na pověřence se můžete obrátit v případě, že budete mít jakékoliv dotazy či požadavky ke zpracování a ochraně Vašich osobních údajů.
5. Zásady pro zpracování osobních údajů v PL Šternberk
Osobní údaje jsou zpracovávány pouze v rozsahu, který je nezbytný pro činnost PL Šternberk a souvisí se službou, kterou subjekt údajů využívá.
Všem zaměstnancům je mj. stanovena povinnost při zpracování osobních údajů respektovat principy a zásady vyplývající z Nařízení GDPR, a to:
Zásada zákonnosti - požaduje zpracovávat osobní údaje vždy v souladu s právními předpisy a na základě alespoň jednoho právního titulu.
Zásada korektnosti a transparentnosti - ukládá povinnost zpracovávat osobní údaje otevřeně a transparentně a poskytnout informace o způsobu jejich zpracování spolu s informací o tom, komu budou osobní údaje zpřístupněny. Patří sem také naše povinnost Vás v případech závažného porušení bezpečnosti či úniku osobních údajů o takové skutečnosti informovat.
Zásada účelového omezení - umožňuje shromažďovat osobní údaje pouze za jasně vymezeným účelem.
Zásada minimalizace údajů – klade důraz na zpracovávat pouze osobní údaje nezbytné, relevantní a přiměřené ve vztahu k účelu jejich zpracování.
Zásada přesnosti – ukládá povinnost přijmout veškerá rozumná opatření umožňující zajistit pravidelnou aktualizaci či opravu osobních údajů.
Zásada omezení uložení - ukládá povinnost uchovávat osobní údaje pouze po dobu, která je nezbytná pro konkrétní účel, pro který jsou zpracovávány. Jakmile tedy pomine doba pro zpracování nebo účel zpracování, osobní údaje musí být vymazány nebo anonymizovány, to se pochopitelně netýká takových osobních údajů, které je třeba po stanovenou dobu archivovat dle příslušných právních předpisů.
Zásada integrity a důvěrnosti, nepopiratelnosti a dostupnosti – ukládá povinnost osobní údaje zabezpečit a chránit před neoprávněným či protiprávním zpracováním, ztrátou či zničením. Z těchto důvodů jsou přijímány technická i organizační opatření pro ochranu osobních údajů. Současně se dbá na to, aby k osobním údajům měli přístup pouze pověření zaměstnanci PL Šternberk.
Zásada odpovědnosti - povinnost umět doložit soulad všech shora vyjmenovaných podmínek.
6. Kategorie subjektů údajů, jejichž osobní údaje jsou zpracovávány:
a) pacienti, příloha
b) zaměstnanci, příloha
c) smluvní strany (obchodním partneři), příloha
d) uchazeči o zaměstnání, příloha
e) osoba blízka zaměstnance, pacienta,
f) stážista, student, externí odborný pracovník/spolupracovník
g) účinkující na vzdělávací, kulturní či obdobné akci
h) jakož i další dotčené osoby.
Výše uvedené lze souhrnně označit jako „subjekty“.
7. Osobní údaje
PL Šternberk získává osobní údaje především od subjektů (nositelů) osobních údajů, tak i od dalších osob v souladu s právními předpisy, mezi osobní údaje, které má PL Šternberk povinnost zpracovávat i bez souhlasu pacienta (jako součást zdravotnické dokumentace, tj. zejména na základě zákonné povinnosti), zaměstnance nebo jiné dotčené osoby patří zejména:
a) Adresní, kontaktní a identifikační údaje. Slouží k jednoznačné a nezaměnitelné identifikaci pacienta, zaměstnance nebo jiné dotčené osoby, umožňují kontakt se subjekty údajů (jméno, příjmení, datum a místo narození, rodinný stav, rodné číslo, titul, státní příslušnost, adresa (včetně elektronické), bydliště, místo podnikání, telefonní číslo, ID datové schránky, IČ, DIČ, číslo osobního dokladu, apod.).
b) Popisné údaje (vzdělání, znalost cizích jazyků, odborná kvalifikace, údaj o vojenské službě, znalosti a dovednosti, počet dětí, portrétní fotografie, předchozí zaměstnání, zdravotní pojišťovna, členství v zájmových organizacích, trestní bezúhonnost, apod.)
c) Studijní údaje (záznamy o studiu a studijních aktivitách, studijní výsledky, studijní ocenění)
d) Ekonomické údaje (bankovní spojení, mzda, odměny, poplatky, závazky a pohledávky, objednávky, nákupy, daně apod.)
e) Pracovní údaje (záznamy o práci a pracovních aktivitách, zaměstnavatel, pracoviště, pracovní zařazení a pozice, pracovní hodnocení, pracovní ocenění apod.)
f) Provozní a lokační údaje (typicky údaje z elektronických systémů vztahujících se ke konkrétnímu subjektu údajů – např. údaje o využití informačních systémů, o datovém provozu a elektronické komunikaci, o využívání telefonu, o přístupu do různých prostor apod.)
g) Údaje o aktivitách subjektu (účasti na konferencích, údaje o pracovních či studijních cestách apod.)
h) Údaje o jiné osobě (adresní a identifikační údaje člena rodiny, manžel/manželka, dítě, partner apod.)
i) Zvláštní kategorie osobních údajů (údaje o zdravotním stavu, poskytované zdravotní péči v souladu s poskytováním zdravotní péče zejm. v souladu se zákonem č. 372/2011 Sb., o zdravotních službách a č. 373/2011 Sb., o specifických zdravotních službách, apod.)
j) Osobní údaje subjektu údajů poskytnuté v souladu s konkrétním souhlasem o zpracování osobních údajů
k) Případně další osobní údaje osoby ve vztahu k PL Šternberk dle povahy a typu vztahu k PL Šternberk.
8. Účel pro zpracování osobních údajů
PL Šternberk řadí mezi základní účely pro zpracování osobních údajů zejména:
a) poskytování zdravotních služeb a zdravotní péče a nezbytně souvisejících podpůrných činností,
b) vedení zákonem předepsané dokumentace a výkaznictví,
c) plnění pracovněprávních vztahů nebo žádostí o zařazení do výběrového řízení,
d) realizace smluvních a závazkových vztahů,
e) uložení a archivace osobních údajů v souladu se spisovým řádem PL Šternberk.
9. Právní důvody pro zpracování osobních údajů
PL Šternberk při zpracování osobních údajů subjektů nepotřebuje podle právních předpisu souhlas subjektu údajů ve velkém množství případů. Zpracování osobních údajů v rámci uvedených činností probíhá na základě přiléhajícího právního důvodu. Tyto důvody jsou odlišné pro jednotlivé typy činností, které PL Šternberk vykonává. Obecně však těmito právem aprobovanými důvody pro zpracování Vašich osobních údajů jsou:
a) Plnění právní povinnosti, jež jsou stanoveny příslušnými právními předpisy, zejm.:
- zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách),
- zákon č. 373/2011 Sb., o specifických zdravotních službách,
- vyhláška č. 98/2012 Sb., o zdravotnické dokumentaci,
- zákon č. 48/1997 Sb., o veřejném zdravotním pojištění,
- zákon č. 258/2000 Sb. o ochraně veřejného zdraví,
- zákon č. 108/2006 Sb., o sociálních službách,
- zákon č. 378/2007 Sb., o léčivech,
- vyhláška č. 84/2008 Sb., o správné lékárenské praxi, bližších podmínkách zacházení s léčivy v lékárnách, zdravotnických, zařízeních a u dalších provozovatelů a zařízení vydávajících léčivé přípravky,
- vyhláška č. 143/2008 Sb., vyhláška o lidské krvi,
- zákon č. 262/2006 Sb., zákoník práce,
- zákon č. 563/1991 Sb., o účetnictví,
- zákon č. 181/2014, o kybernetické bezpečnosti a dalších právních předpisů,
- zákon č. 89/2012 Sb., občanský zákoník,
- zákon č. 499/2004 Sb. o archivnictví a o spisové službě.
b) plnění uzavření smlouvy a v souvislosti s uzavřením smlouvy (osobní údaje pro účely uzavření smluvního vztahu a plnění z něj, údaje před uzavřením smlouvy)
c) oprávněný zájem PL Šternberk (zejm. určení, výkon, obhajoba právních nároků (správní, soudní řízení), ochrana majetku, zajištění bezpečnosti počítačové sítě a informací)
d) ochrana životně důležitých zájmů subjektu údajů nebo jiného člověka (ochrana života a zdraví)
e) ostatní případy - na základě konkrétního, písemného, určitého a svobodného souhlasu subjektu údajů pro jeden či více účelů s právem souhlas odvolat.
Zpracování osobních údajů v PL Šternberk probíhá zejména manuálně, v určitých případech a do jisté míry i automatizovaně v elektronických informačních systémech, a to v listinné a elektronické podobě, vždy při zachování pro PL Šternberk maximálně možného technického, organizačního a personálního zabezpečení v souladu s platnými legislativními požadavky.
10. Předávání osobních údajů
Za účelem naplnění zákonných povinností může PL Šternberk předat vybrané osobní údaje určeným subjektům (například orgánům veřejné moci). Toto obdobně platí i pro případy, kdy zmocnění pro předání osobních údajů vně PL Šternberk je dáno individuálními souhlasy subjektů údajů.
Zákonná povinnost poskytování osobních údajů se vztahuje především na tyto subjekty:
a) navazující a další poskytovatelé zdravotních služeb (např. praktický lékař, ambulantní specialista, ostatní zdravotnická zařízení poskytující zdravotní péči, laboratoře apod.),
b) zákonný zástupce,
c) ÚZIS, SÚKL, ČSSZ, Národní zdravotní registry, apod.,
d) státní instituce - Policie ČR, soudy, orgány činné v trestním řízení, orgány sociálního zabezpečení, Úřady práce, obecní úřady, apod.),
e) exekutoři, insolvenční správci, zdravotní pojišťovny.
Jednotlivé právní normy stanoví, za jakých podmínek mohou tyto osoby žádat poskytnutí údajů a v jakém rozsahu. Pro sdílení osobních údajů se zpracovateli osobních údajů není souhlas subjektu údajů vyžadován. Subjekty, které se mají stát zpracovateli osobních údajů, jsou smluvně (tzv. smlouvou o zpracování) zavázány tyto údaje náležitě chránit.
11. Předávání osobních údajů do zahraničí
Pouze při zajištění návaznosti dalších zdravotních služeb v rámci Evropské unie.
Správce neprovádí automatizované individuální rozhodování o osobních údajích ani profilování.
12. Doba uchování osobních údajů
Doba uchovávání (zpracování) osobních údajů v PL Šternberk se vztahuje k jednotlivým účelům zpracování a vyplývá ze zákonných povinností, dále pak zejm. ze smluvních vztahů, oprávněného zájmu nebo uděleného souhlasu.
Jednotlivé doby uchování osobních údajů se řídí vnitřním předpisem PL Šternberk, kterým je spisový a skartační řád, vycházející zejm. ze zákona č. 499/2004 Sb., o archivnictví a spisové službě, zákona č. 563/1991 Sb., o účetnictví, zákona č. 110/2019 Sb., o zpracování osobních údajů, zákona č. 372/2011 Sb., o zdravotních službách, vyhlášky č. 259/2012 Sb. a 283/2014 Sb. ve vztahu ke spisové službě.
Postup při skartaci a ukládání zdravotnické a nezdravotnické dokumentace se řídí vyhláškou MZ ČR č. 98/2012 Sb., o zdravotnické dokumentaci.
Údaje se uchovávají pouze po dobu nezbytně nutnou ve vztahu k dané činnosti zpracování osobních dat a v souladu s platným skartačním plánem jsou pak zlikvidována nebo archivována. Osobní údaje, které jsou zpracovávány se souhlasem, jsou uchovávány pouze po dobu trvání účelu, k němuž byl souhlas udělen.
13. Práva subjektu údajů
Subjektu údajů (viz. bod 6) náležejí ve smyslu ustanovení článků 12 až 21, 77 Nařízení GDPR níže uvedená práva. Pokud subjekt údajů tato práva vůči PL Šternberk uplatní, je PL Šternberk povinna subjektem údajů uplatněná práva realizovat.
a) Právo na informace. Základní právo subjektu údajů, naplňující zásadu transparentnosti zpracování osobních údajů, které subjektu údajů zaručuje řádnou informovanost o zpracování jeho osobních údajů.
b) Právo na přístup k osobním údajům. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány a pokud je tomu tak, má právo získat přístup k těmto osobním údajům.
c) Právo na opravu a doplnění. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení. PL Šternberk není povinna aktivně vyhledávat nepřesné osobní údaje subjektu údajů.
d) Právo na výmaz („právo být zapomenut“). Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat.
e) Právo na omezení zpracování. Subjekt údajů má právo na to, aby správce omezil zpracování v případech dle Nařízení GDPR, např. subjekt údajů popírá přesnost údajů, a to na dobu nezbytnou k tomu, aby správce mohl přesnost osobních údajů ověřit.
f) Právo na přenositelnost údajů. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu (např. CSV, XML, JSON, ZIP, apod.) a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil. Tyto údaje může následně předat jinému správci, nebo pokud je to technicky možné, žádat, aby si je správci předali mezi sebou. V případě poskytování zdravotních služeb a zpracování zdravotnické dokumentace v mezích platných právních předpisů se toto právo subjektu údajů neuplatní.
g) Právo vznést námitku. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, avšak jedině pokud je zpracování osobních údajů založeno na základě článku 6 odst. 1 písm. e), f) Nařízení GDPR. Proti zpracování, které je založeno na oprávněných zájmech správce, třetí strany nebo je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, musí námitka vycházet z konkrétní situace člověka, který ji uplatňuje.
h) Právo odvolat souhlas se zpracováním osobních údajů. Subjekt údajů právo kdykoliv odvolat správci udělený souhlas se zpracováním jeho osobních údajů. Odvoláním není dotčena zákonnost zpracování osobních údajů vycházejícího ze souhlasu, který byl dán před jeho odvoláním, tj. nemá retroaktivní účinky.
i) Právo podat stížnost. Viz čl. 15 a čl. 16.
14. Uplatnění práv subjektu údajů
Subjekt údajů je oprávněn uplatnit svá práva vyplývající z Nařízení GDPR. Každý zaměstnanec PL Šternberk je povinen přijmout žádost subjektu údajů zpracovávaných PL Šternberk, kterou subjekt údajů hodlá realizovat některé ze svých práv dle čl. 12 - 22 GDPR. Žádost dle čl. 12 -22 GDPR je možné také zaslat pověřenci pro ochranu osobních údajů. Před zpracováním žádosti má PL Šternberk právo a povinnost ověřit identitu žadatele. Žádost bude vyřízena zpravidla bez zbytečného odkladu, nejpozději ve lhůtách stanovených Nařízením GDPR.
Pro uplatnění práv může subjekt využít vzory: Žádost o uplatnění práv subjektů údajů, Žádost o přístup k osobním údajům.
Formy podání žádosti – žádost lze podat jedním z těchto způsobů:
a) písemně na adresu PL Šternberk Olomoucká 1848/173 785 01 Šternberk
b) osobně na sekretariátu PL Šternberk
c) elektronicky na e-mail podatelna@plstbk.cz či do datové schránky ID p8hz5v8
d) pověřenci pro ochranu osobních údajů viz. čl. 4.
15. Hlášení porušení zabezpečení osobních údajů
Porušení zabezpečení osobních údajů je takové porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
V případě zjištění porušení či v případě podezření na porušení zabezpečení ochrany osobních údajů (např. úniku osobních údajů) má každý možnost nahlásit tuto skutečnost pověřenci pro ochranu osobních údajů viz. čl. 4.
16. Právo podat stížnost u dozorového úřadu
Subjekt údajů má právo podat stížnost na zpracování osobních údajů dozorovému úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení. Tímto dozorovým úřadem tak zpravidla bude Úřad na ochranu osobních údajů.
Kontakt:
Úřad pro ochranu osobních údajů
adresa: Pplk. Sochora 27, 170 00 Praha 7
tel.: 234 665 111
web: www.uoou.cz