Informace o zpracování a pohybu osobních údajů v organizaci (GDPR)

1 Účel

Informace o zpracování a pohybu osobních údajů v organizaci implementací nařízení Evropského parlamentu a Rady (EU) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů v organizaci.

2 Seznam zkratek

GDPR – z anglického textu „General Data Protection Regulation“, je synonymem pro nařízení Evropského parlamentu a Rady (EU) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

3 Obecné

Subjekt údajů: Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají.

Správce údajů: Správcem je v případě právnické osoby daná právnická osoba (nikoli její některý zaměstnanec či společník nebo jednatel). Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely (např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob). Správce určuje účely a prostředky zpracování osobních údajů, odpovídá za dodržování povinností kladených obecným nařízením a dodržování zásad zpracování. Dodržování zásad zpracování musí být správce schopen doložit dozorovému úřadu, kterým je pro území ČR Úřad pro ochranu osobních údajů.

4 Informace pro klienta - pacienta

Správce osobních údajů (tj. organizace Alergoimuno, s.r.o.) implementoval nařízení Evropského parlamentu a Rady (EU) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů v organizaci.

Správce osobních údajů je na základě platného oprávnění k poskytování zdravotních služeb poskytovatelem zdravotních služeb v souladu se zákonem o zdravotních službách.

V souvislosti s poskytováním zdravotních služeb je povinen o klientovi – pacientovi (tj. o subjetku údajů) shromažďovat osobní údaje v rozsahu nezbytném pro poskytnutí a vykázání zdravotních služeb, přičemž rozsah shromažďovaných osobních údajů vyplývá z platné právní úpravy.

Osobní údaje jsou v organizaci o klientovi – pacientovi shromažďovány a používány výhradně v souvislosti s poskytováním zdravotní péče klientovi – pacientovi. (Poznámka: Organizace je také povinna osobní údaje klientů – pacientů sdělovat při vykazování hrazených zdravotních služeb a plnění dalších zákonných povinností, například daňové a účetní povinnosti, a v rámci hlášení do registrů některých nemocí stanovených zákonem). Organizace sděluje osobní údaje klientů – pacientů oprávněným subjektům a institucím pouze v případech, kdy je tato povinnost uložena organizaci právním předpisem. (Poznámka: Osoby, které mají možnost se s těmito osobními údaji seznamovat, jsou rovněž zákonem zavázány k ochraně osobních údajů a povinné mlčenlivosti).

Údaje vedené ve zdravotnické dokumentaci obsahují zejména skutečnosti nutné pro identifikaci osoby, údaje o provedených vyšetřeních, o zjištěné diagnóze, léčbě, předepsaných léčivých přípravcích, případně zdravotnických prostředcích, výsledcích vyšetření, eventuálně informovaný souhlas nebo nesouhlas klienta – pacienta s individualizovanou léčbou (tj. specifickou alergenovou imunoterapií).

Osobní údaje subjektu (klienta – pacienta) shromažďujeme po dobu, kterou stanoví právní předpisy. (Poznámka: Vyhláška o zdravotnické dokumentaci, která stanoví dobu, po kterou je nezbytné uchovávat zdravotnickou dokumentaci klienta – pacienta; právní předpisy ve vztahu k účetnictví a daňovým povinnostem, které vymezují archivační dobu, po kterou je nutno písemnosti prokazující poskytnutí zdravotních služeb archivovat).

V případech plnění smluvní povinnosti, například v případech poskytnutí zdravotních služeb, která není hrazena z veřejného zdravotního pojištění, evidence kontaktů subjektů v objednávkovém systému aj., organizace shromažďujeme tyto osobní údaje po dobu 5 let od doby, kdy klientovi – pacientovi přestala být poskytována zdravotní péče organizací nebo do doby odvolání souhlasu klienta - pacienta.

5 Práva subjektu údajů při poskytování zdravotních služeb

Práva subjektu údajů (tj. klienta – pacienta) při poskytování zdravotních služeb v souvislosti se shromažďováním osobních údajů jsou následující:

- právo na přístup ke svým osobním údajům; pokud subjekt shledá, že nejsou vedeny osobní údaje správně či jsou nepřesné, má právo požádat o opravu svých osobních údajů;

- právo na výmaz svých osobních údajů v rozsahu dobrovolně poskytnutých osobních údajů, tj. v rámci plnění smluvních povinností; (Poznámka: Nelze se domáhat výmazu osobních údajů, které je poskytovatel zdravotních služeb povinen shromažďovat, a to na základě právní povinnosti (povinnost uložená právním předpisem), tj. v souvislosti s poskytováním zdravotních služeb, které organizace poskytuje);

- právo na podání stížnosti u dozorového úřadu, pokud má za to, že zpracováním osobních údajů dochází k porušení právních předpisů o ochraně osobních údajů; (Poznámka: Stížnost se podává u dozorového úřadu, kterým je pro území ČR Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7 (www.uoou.cz)).