GDPR
Obecné informace
Nařízení (EU) 2016/679 (GDPR) představuje právní rámec ochrany osobních údajů platný na celém území EU,který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR přebírá všechny dosavadní zásady ochrany a zpracování údajů, na nichž unijní systém ochrany osobních údajů stojí a potvrzuje, že ochrana cestuje přes hranice současně s osobními údaji. V souladu s tím dále obecné nařízení rozvíjí a posiluje práva lidí dotčených zpracováním, a to v obou složkách: mít (získávat) informace o tom, které jejich údaje jsou zpracovávány a proč, a domáhat se dodržování pravidel, včetně nápravy stavu. GDPR klade systematicky důraz na vymahatelnost práv lidí a povinností správců (odpovědných za zpracování). Obsahuje proto propracovanější a náročnější pravidla pro zvláštní kategorie údajů a zpracování a současně vymáhá od správců a zpracovatelů výrazně aktivnější přístup, zejména se jedná o to, že před zahájením nového zpracování je třeba posoudit vliv jednotlivých zpracování na ochranu osobních údajů (DPIA) a zvolit vhodné nástroje ochrany údajů, za určitých podmínek si vyžádat předběžnou konzultaci u dozorového úřadu. Klíčem k nastavování povinností pro správce je rizikovost, která je dovozována z rozsahu zpracování, zpracovávaných osobních údajů a používaných technologií.
Správci a zpracovatelé jsou za určitých podmínek povinni jmenovat pověřence pro ochranu. Podrobněji jsou stanoveny povinnosti při zabezpečení zpracování a nově je zavedena povinnost ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a občanům, jichž se porušení zabezpečení týká. Obecné nařízení výslovně upravuje nezávislost, obecné podmínky pro členy, úkoly a pravomoci dozorových úřadů v členských státech Evropské unie, EHP i Švýcarska a vzájemnou spolupráci těchto dozorových úřadů. Jednotný je také přístup k sankcím.
Nahlašování porušení zabezpečení osobních údajů
Porušení zabezpečení osobních údajů („bezpečnostní incident“) nahlašují zaměstnanci ZZSPK na email gdpr@zzspk.cz s předmětem „Bezpečnostní incident“. Nahlášení Bezpečnostního incidentu je nutné provést bezodkladně po jeho zjištění. Bezpečností incident bude poté posouzen odpovědnými osobami. Povinnost ohlásit Úřadu Bezpečnostní incident vzniká pro správce v případě, že dané porušení představuje riziko pro práva a svobody dotčených osob.
Postup pro žádost SU pro informace/úpravu/výmaz
Žádost subjektu údajů pro informace/úpravu/výmaz osobních údajů je možné podávat písemně v listinné podobě osobně na adrese sídla správce osobních údajů.
V žádosti musí být uvedeno následující:
- identifikace subjektu údajů
- předmět žádosti (informace/úprava/výmaz osobních údajů)
- vlastnoruční podpis žadatele, který musí být shodný se subjektem údajů, nebo musí být jeho zákonným zástupce
Při podání žádosti bude ověřena oprávněnost žádosti (totožnost žadatele, zákonné zastoupení). Poté bude žádost přijata či odmítnuta. V případě přijetí žádosti provede správce osobních údajů požadované úkony v předepsané lhůtě.
Informace o shromažďovaných osobních údajích
O pacientech
Co:
- Na každého pacienta je vystavena zdravotnická dokumentace, která obsahuje: jméno a příjmení, číslo pojištěnce, pohlaví, datum narození, věk, státní příslušnost, adresa, popř. telefonní číslo, kód ZP, indikace, alergie, anamnéza, objektivní nález, vitální hodnoty, terapie, ZUM,ZULP, diagnóza, čas a místo předání.
- Přílohy zdravotnické dokumentace: záznam EKG, revers, Příkaz ke zdravotnímu transportu, Potvrzení o nároku cizího pojištěnce z členské země EU a EHP, popř. kopie Evropského průkazu zdravotního pojištění či kopie smlouvy komerční pojišťovny, výjimečně kopie OP, cestovního dokladu, uznání dluhu za poskytnutí péče, u LPS žádost PČR o vyšetření osoby ve Z, popř. když pacient zemře a není nařízena pitva ÚZIS, matrika.
- Zvukový záznam
Jak dlouho:
- Dle skartačního řádu se zdravotnická dokumentace archivuje 10 let, zvukový záznam 2 roky.
Proč:
- Z legislativních důvodů.
O zaměstnancích
Co:
- Identifikační údaje zaměstnance: jméno a příjmení, rodné číslo, datum narození, kontaktní údaje, zdravotní pojišťovna.
- Doklady pro účel zpracování pracovně právního vztahu: číslo účtu, doklad o zdravotní způsobilosti, výpis z rejstříku trestů, u funkce řidiče výpis z karty řidiče a dopravně psychologické testy, údaje o vzdělání a praxi, údaje o pracovních výsledcích u zaměstnavatele, údaje o stavu a údaje o počtu a věku dětí.
- Doklady pro zpracování ročního zúčtování daně.
- Posudky o bolestném, lékařské zprávy a další formuláře potřebné k odškodnění pracovního úrazu.
- Rozsudky a usnesení soudu, ze kterých vznikají mzdové povinnosti.
Jak dlouho:
- Po dobu pracovního poměru a 3 roky po jeho skončení, pokud zákon nestanoví delší retenční lhůtu - poté budou zlikvidovány.
Proč:
- Legislativní povinnosti zaměstnavatele v souvislosti s vedením personální a mzdové agendy.
Pověřenec pro ochranu osobních údajů (DPO)
Odkazy