Ochrana osobních údajů

Osobní údaje zpracováváme v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), dále jen jako „GDPR“ a v souladu s příslušnými předpisy upravujícími oblast ochrany osobních údajů a činnost poskytovatelů zdravotních služeb.

Osobní údaje jsou zpracovávány v rozsahu, ve kterém je subjekt údajů poskytl a to na základě smluvního či jiného právního vztahu nebo je FNOL získala od subjektu údajů v souladu s právními předpisy v rozsahu nezbytně nutném pro splnění účelu, pro které jsou osobní údaje získány.

FNOL je provozovatelem tzv. základní služby dle zákona o kybernetické bezpečnosti. Poskytování služeb je závislé na sítích elektronických komunikací nebo informačních systémech. Veškerá elektronická data jsou důkladně zajištěna proti neoprávněným přístupům, neautorizovaným změnám nebo předčasnému výmazu. Data jsou chráněna tak, aby nedocházelo k výpadkům poskytování zdravotních služeb.

Základní povinností FNOL jako správce a zpracovatele osobních údajů je chránit osobní údaje tak, aby nedošlo k jejich ztrátě, úniku nebo zneužití. Osobní údaje zpracováváme v rozsahu nezbytně nutném pro plnění následujících účelů:

• poskytování zdravotních služeb
• vedení zdravotnické dokumentace
• vykazování hrazených zdravotních služeb
• vyúčtování nehrazených zdravotních služeb
• organizace poskytování zdravotních služeb (např. objednávání pacientů)
• poskytování sociálních služeb
• vědecko-výzkumné účely
• v rámci souhlasu
• činnost zaměstnavatele
• obchodní činnost
• plnění práva na svobodný přístup k informacím
• ochrana zdraví a majetku
• další zákonem stanovené případy (např. povinné hlášení nemocí, aj.). 

Právním základem, mimo plnění smluvní povinnosti, oprávněný zájem nebo na základě souhlasu, je zejména:

• zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování
• zákon č. 48/1997 Sb., o veřejném zdravotním pojištění
• vyhláška č. 98/2012 Sb., o zdravotnické dokumentaci
• zákon č. 108/2006 Sb., o sociálních službách
• zákon č. 373/2011 Sb., o specifických zdravotních službách
• zákon č. 378/2007 Sb., o léčivech
• zákon č. 268/2014 Sb., o zdravotnických prostředcích
• zákon č. 262/2006 Sb., zákoník práce
• zákon č. 435/2004 Sb., o zaměstnanosti
• zákon č. 563/1991 Sb., o účetnictví
• zákon č. 586/1992 Sb., o daních z příjmu
• zákon č. 106/1999 Sb., o svobodném přístupu k informacím.

Subjektem údajů může být fyzická nebo právnická osoba (pacient, zaměstnanec, uchazeč o zaměstnání, dodavatel služby, osoba, která je ve smluvním vztahu s FNOL, subjekty oprávněné ze zákona k přístupu do zdravotnické dokumentace,…)

FNOL zpracovává následující kategorie údajů:

• Identifikační údaje
  • jméno, příjmení, rodné číslo, datum narození, věk, zdravotní pojišťovna, místo narození, státní příslušnost, občanství, národnost, IP adresa (v případě , že se vztahuje k určené či určitelné osobě) …
  • fotografie, videozáznam, biometrický údaj, audiozáznam na vybraných telefonních číslech (informace je sdělována na příslušném čísle před zahájením hovoru)
• Kontaktní údaje
  • umožňující kontakt s pacientem (adresa bydliště, telefon, e-mail,…)
  • kontaktní informace osob oprávněných získávat informace o pacientovi
  • adresa pro doručování, kontakt na opatrovníka, …
• Údaje o zdravotním stavu pacienta
  • získané a zpracovávané v souvislosti s poskytováním zdravotní péče
• Organizační údaje
  • osobní údaje zaměstnance v osobní a mzdové složce (titul, dosažené vzdělání a kvalifikace, pracovní pozice, rodinný stav, uložení trestu zákazu činnosti, soudně stanovené srážky ze mzdy,…)
  • osobní údaje subjektu ve vztahu k FNOL dle povahy a typu vztahu (číslo bankovního účtu, IČ, DIČ,…).

FNOL eviduje a zpracovává osobní údaje i o osobách, které vstupují na webové stránky správce. Bližší informace jsou uvedeny v prohlášení o použití cookies na webové stránce FNOL.

FNOL zpracovává osobní údaje pacientů, které jsou získány před zahájením a v průběhu poskytování zdravotní péče. Osobní údaje jsou zpracovávány se souhlasem pacienta nebo i bez jeho souhlasu (jako součást zdravotnické dokumentace). V případě zpracování osobních údajů se souhlasem jsou konkrétní osobní údaje vždy specifikovány v daném konkrétním souhlasu. Souhlas se zpracováním osobních údajů je požadován v případech, kdy zpracování není realizováno na základě právního vztahu, smluvního vztahu nebo oprávněného zájmu. Poskytnutí souhlasu (dle GDPR musí být souhlas „svobodný, konkrétní, informovaný a jednoznačný projev vůle ve kterém subjekt údajů prohlašuje, nebo jinak zjevně potvrzuje své svolení ke zpracování osobních údajů“) je vždy dobrovolné a subjekt údajů může souhlas kdykoliv odvolat. Poskytnutí souhlasu může být podmínkou pro některé činnosti, např. zařazení do klinické studie, výzkumu, distanční konzultace, apod. Pokud se pacient nedohodne jinak, může poskytnutý souhlas odvolat nebo upravit jeho rozsah.

Zpracování osobních údajů je prováděno proškolenými zaměstnanci v souladu s legislativními požadavky. Zpracování probíhá prostřednictvím elektronických informačních systémů nebo manuálním způsobem (dokumenty v listinné podobě) za dodržení technicko-organizačních opatření k zajištění ochrany osobních údajů. 

Osobní údaje jsou zpracovávány pouze po dobu nezbytně nutnou vzhledem k jednotlivým účelům zpracování a po dobu, kterou stanoví:

• výše uvedené obecně závazné právní předpisy
• smluvní vztahy
• spisový a skartační řád FNOL
• z důvodu ochrany práv pacienta
• z důvodu ochrany práv na ochranu zájmů FNOL
• souhlas o zpracování osobních údajů.

Osobní data subjektů údajů jsou předávány v souladu s obecně platnými právními předpisy nejčastěji:

• poskytovatelům zdravotních a sociálních služeb (zdravotnická zařízení, laboratoře, praktičtí lékaři,…)
• zdravotním pojišťovnám
• zákonným zástupcům
• ÚZIS, SÚKL, Národním zdravotním registrům
• státním institucím (orgánům činným v trestním řízení, policii ČR, soudu, orgánu sociálního zabezpečení, Úřadu práce,…).

Při účasti v klinickém hodnocení jsou osobní údaje předávány hlavnímu zkoušejícímu lékaři nebo zadavateli studie.

Subjekty, které jsou zpracovateli osobních údajů, mají smluvní povinnost zachovávat mlčenlivost a údaje chránit před neoprávněným přístupem, jejich změně, zničení či ztrátě, neoprávněnému zpracování nebo jinému zneužití osobních údajů. S každým subjektem, který je pro nás zpracovatelem je uzavřena písemná smlouva o zpracování osobních údajů a daný zpracovatel je povinen nakládat s osobními údaji pouze v rozsahu nezbytně nutném pro účely splnění úkolu a po sjednanou dobu.

Dle GDPR čl. 6 odst. 1 je zpracování osobních údajů zákonné, pokud:

• subjekt údajů udělil souhlas pro jeden či více konkrétních účelů
• je nezbytné pro splnění smlouvy
• je nezbytné pro splnění právní povinnosti
• je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
• je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci
• je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

Subjekt údajů má právo na informovanost o zpracování svých osobních údajů při shromažďování osobních údajů. Subjekt údajů má právo na informace o zpracování osobních údajů daného subjektu tak, aby byla dodržena zásada transparentnosti zpracování (účel zpracování, totožnost správce, příjemci osobních údajů,…).

Právo na přístup k osobním údajům

Subjekt údajů má právo na následující informace:

• zda FNOL zpracovává jeho osobní údaje či nikoliv a za jakým účelem
• příjemce, kterým osobní údaje byly nebo budou zpřístupněny
• plánovaná doba, po kterou budou osobní údaje zpracovávány
• zdroji osobních údajů, pokud nejsou získány od subjektu údajů
• zda dochází k automatizovanému rozhodování, vč. profilování.

Právo na opravu, resp. doplnění

Subjekt údajů má právo na opravu nebo doplnění svých osobních údajů, a to i poskytnutím dodatečného prohlášení. 

Právo na výmaz („být zapomenut“)

Subjekt údajů má právo na výmaz zpracovávaných osobních údajů, pokud:

• osobní údaje již nejsou potřebné pro účely, pro které byly zpracovány
• subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány a neexistuje žádný další právní důvod pro zpracování
• subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 nebo odst. 2 GDPR a neexistují žádné převažující oprávněné důvody pro zpracování
• osobní údaje byly zpracovány protiprávně.

Právo na omezení zpracování

Subjekt údajů má právo na omezení zpracování v těchto případech:

• subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl jejich přesnost ověřit
• zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a místo toho žádá o omezení jejich použití
• správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků
• subjekt údajů vznesl námitku proti zpracování v případě zpracování v oprávněném zájmu správce či třetích osob, pokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

Právo na přenositelnost údajů

Subjekt údajů má právo požádat správce o své osobní údaje, jež mu poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, a to v případě, že zpracování je založeno na souhlasu nebo na smlouvě a zpracování se provádí automatizovaně. 

Právo vznést námitku

Subjekt údajů má právo vznést námitku proti zpracování osobních údajů zpracovávaných na základě oprávněného zájmu FNOL, případně pro splnění úkolu prováděného ve veřejném zájmu. Pokud FNOL neprokáže závažné oprávněné důvody pro zpracování, které by převažovaly nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků, nebude osobní údaje dále zpracovávat.

V souladu s GDPR správce informuje subjekt údajů, na základě jeho aktivní žádosti, zda jsou osobní údaje zpracovávány.

Na některá práva, v rámci zpracování osobních údajů, se mohou vztahovat výjimky a z toho důvodu se nemusejí práva využít ve všech situacích.

V případě, že je uplatněn nárok na některá z výše uvedených práv (dle čl. 15 až 22 GDPR) a žádost je shledána jako oprávněná, bez zbytečného odkladu jsou přijata požadovaná opatření a žadatel je informován do 1 měsíce od doručení žádosti. Lhůtu lze v odůvodněných případech prolongovat až o následující 2 měsíce, o čemž je subjekt údajů informován, vč. důvodů prodloužení.

Žádost o využití výše uvedených práv (mimo kopií a výpisů ze zdravotnické dokumentace) bude vyřízena bezplatně. V případě opakujících se žádostí bude posuzována jejich přiměřenost. U nedůvodných nebo nepřiměřených žádostí může FNOL uložit přiměřený poplatek nebo může žádost odmítnout.

Žádost dle čl. 15 až 22 GDPR může subjekt údajů zaslat pověřenci pro ochranu osobních údajů. Před zpracováním žádosti má FNOL právo a povinnost ověřit identitu žadatele. Ověření žadatele probíhá na základě předloženého občanského průkazu.

Formy podání žádosti:

• poštou – písemně s úředně ověřeným podpisem na adresu: FNOL, I. P. Pavlova 6, 779 00 Olomouc
• osobně – u pověřence pro ochranu osobních údajů FNOL, budova YF
• elektronicky na e-mail s uznávaným elektronickým podpisem - GDPR@fnol.cz
• datovou schránkou – xa4krm2.

Práva nelze uplatnit telefonicky či ústně.

V případě zjištění porušení nebo podezření na porušení zabezpečení ochrany osobních údajů má každý subjekt údajů možnost nahlásit tuto skutečnost pověřenci na ochranu osobních údajů.

Subjekt údajů má právo podat stížnost na zpracování osobních údajů dozorovému orgánu, kterým je Úřad pro ochranu osobních údajů se sídlem pplk. Sochora 27, 170 00 Praha 7.