Informace o zpracování osobních údajů
PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ dle nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a poučení subjektů údajů (dále jen „GDPR“)
I. Identifikace správce osobních údajů
Společnost EURESIS s.r.o. se sídlem Mokropeská 2027, 252 28 Černošice, IČO: 25603051 (dále jen „správce“ nebo „EURESIS“), poskytuje gastroenterologickou zdravotní péči.
EURESIS Vás tímto dokumentem v souladu s čl. 12 GDPR informuje o zpracování Vašich osobních údajů a o Vašich právech.
II. Definice pojmů
II.1. Subjekt údajů (dále jen „FO“):
Fyzická osoba (včetně osob samostatně výdělečně činných), k níž se osobní údaje vztahují;
II.2. Osobní údaj: Veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
II.3. Správce je subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za ně. Zpracováním osobních údajů může Správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak;
II.4. Zpracovatel je každý subjekt, který na základě zvláštního zákona nebo z pověření Správce zpracovává osobní údaje podle Zákona a Nařízení, a to na základě uzavřené smlouvy o zpracování osobních údajů;
II.5. Účel zpracování osobních údajů: Důvod, pro který je nezbytné či účelné osobní údaje subjektu údajů zpracovávat;
II.6. Rozsah zpracování osobních údajů: Výčet konkrétních osobních údajů subjektu údajů zpracovávaných pro určitý účel;
III. Principy zpracování osobních údajů
Správce zpracovává osobní údaje v duchu následujících principů vyplývajících z GDPR:
• zákonnost, korektnost a transparentnost zpracování;
• účelové omezení – shromažďování jen pro určité, výslovně vyjádřené a legitimní účely;
• minimalizace osobních údajů – přiměřenost, relevantnost a limitace zpracování na nezbytně nutný rozsah ve vztahu k účelu;
• přesnost a aktuálnost – Správce přijímá veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny;
• omezené uložení – osobní údaje jsou uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných stávající legislativou s cílem zaručit práva a svobody subjektu údajů;
• integrita a důvěrnost – osobní údaje jsou zpracovávány způsobem, který zajistí jejich náležité zabezpečení, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
IV. Rozsah zpracování osobních údajů
Osobní údaje jsou zpracovány v rozsahu, v jakém je příslušný subjekt údajů správci poskytl, a to v souvislosti s uzavřením smluvního či jiného právního vztahu se správcem, nebo které správce shromáždil jinak a zpracovává je v souladu s platnými právními předpisy v rozsahu nezbytně nutném pro splnění účelu, pro který jsou osobní údaje zpracovávány.
V. Zdroje osobních údajů
Osobní údaje jsou správcem získávány zejména následujícím způsobem:
▪ od subjektů údajů zejména v rámci registrace, v souvislosti s poskytováním zdravotních služeb a vedením zdravotnické dokumentace (formou ústní, písemnou, e-maily, telefonicky, webové stránky, kontaktního formuláře, formuláře online poradny, vizitky aj.)
▪ jiným způsobem (z veřejně přístupných rejstříků, seznamů a evidencí (např. obchodní rejstřík, živnostenský rejstřík apod.), z obchodních vztahů, vztahů spolupracujících subjektů na základě smluvních vztahů apod.
VI. Kategorie subjektů údajů
Subjektem údajů je zejména:
▪ pacient
▪ klient správce
▪ zaměstnanec správce, uchazeč o zaměstnání
▪ dodavatel služby
▪ jiná osoba, která je ve smluvním vztahu ke správci
▪ osoby s oprávněním přístupu do zdravotnické dokumentace
▪ apod.
VII. Kategorie osobních údajů, které jsou předmětem zpracování
Správce o subjektu údajů zpracovává zejména tyto osobní údaje, které jsou nezbytné pro výkon povinností správce:
▪ adresní a identifikační údaje sloužící k jednoznačné a nezaměnitelné identifikaci subjektu údajů (např. jméno, příjmení, titul, rodné číslo, datum narození, adresa trvalého pobytu, IČO, DIČ) a údaje umožňující kontakt se subjektem údajů (např. kontaktní adresa, číslo telefonu, číslo faxu, e-mailová adresa a jiné obdobné informace)
▪ informace o zdravotním stavu subjektu údajů
▪ další údaje nezbytné pro plnění smluvních vztahů
▪ popisné údaje
▪ údaje poskytnuté nad rámec příslušných zákonů zpracovávané v rámci uděleného souhlasu ze strany subjektu údajů (použití osobních údajů v rámci personální agendy aj.)
▪ osobní údaje zpracovávané v rámci poskytování zdravotních služeb
VIII. Kategorie příjemců osobních údajů
VIII.1. Správce údajů je oprávněn poskytovat osobní údaje zejména těmto příjemcům:
▪ pojišťovnám
▪ poskytovatelům zdravotních a sociálních služeb
▪ pacientům
▪ veřejným ústavům
▪ státním a jiným orgánům v rámci plnění zákonných povinností stanovených příslušnými právními předpisy
▪ osobám ve smluvním vztahu (např. účetní, advokát, poskytovatel IT služeb apod.)
▪ dalším příjemcům
VIII.2. V obecné rovině platí, že osobní údaje nepředáváme mimo území Evropského hospodářského prostoru (EHP). Správce v těchto případech klade důraz na důvěrnost těchto údajů a takové osoby nejsou oprávněny osobní údaje zákazníků dále předávat ani je použít k jiným účelům. Správce neprodává a nepronajímá Vaše osobní údaje, ani s nimi nijak jinak neobchoduje.
IX. Účel zpracování osobních údajů
IX.1. Správce zpracovává osobní údaje zejména z následujících důvodů:
▪ poskytování zdravotních služeb a plnění povinností uložených poskytovateli zdravotních služeb obecně závaznými právními předpisy (včetně např. vedení zdravotnické dokumentace a vykazování hrazených zdravotních služeb). Právním základem prováděného zpracování je v tomto případě čl. 6 odst. 1 písm. c) GDPR);
▪ plnění smlouvy s Vámi, např. smlouvy o péči o zdraví, na jejímž základě Vám poskytujeme zdravotní služby (tato smlouva nemusí být uzavřena písemně). Právním základem prováděného zpracování je v tomto případě čl. 6 odst. 1 písm. b) GDPR);
▪ ochrana práv, oprávněných zájmů a majetku EURESIS (např. informování a upozornění pacienta na termín vyšetření či kontroly). Právním základem prováděného zpracování je v tomto případě čl. 6 odst. 1 písm. f) GDPR);
▪ na základě Vašeho souhlasu, můžeme Vaše osobní údaje zpracovávat pro účely uvedené v takovém souhlasu. Právním základem prováděného zpracování je v tomto případě čl. 6 odst. 1 písm. a) GDPR).
▪ účelem zpracování osobních údajů je adekvátní plnění předmětu smlouvy a spolupráce se smluvní stranou, jedná se zejména o e-mailové adresy, jména a příjmení kontaktních osob
▪ za účelem vedení archivnictví na základě zákona a vnitřních předpisů správce
▪ za účelem vedení personální agendy
▪ uzavření pracovněprávního vztahu, vedení personálního spisu, podání daňového přiznání
▪ v rámci jednání před orgány státní správy
▪ za účelem plnění zákonných povinností ze strany správce
IX.2. Poskytnutí osobních údajů zpracovávaných za účelem poskytování zdravotních služeb a plnění našich povinností jako poskytovatele zdravotních služeb je zákonným požadavkem. Jako subjekt údajů – pacient máte ze zákona povinnost takové osobní údaje Správci poskytnout. Bez poskytnutí těchto údajů Vám nebudeme moci poskytnout zdravotní služby (vůbec či v potřebné kvalitě), čímž může dojít i k poškození Vašeho zdraví či dokonce k ohrožení Vašeho života. Povinnost poskytnout osobní údaje pacienta se týká i jeho zákonného zástupce nebo opatrovníka. Poskytnutí osobních údajů zpracovávaných k účelu plnění smlouvy je smluvním požadavkem. Nemáte zákonem uloženou povinnost nám tyto osobní údaje poskytnout, ale bez jejich poskytnutí nemůžeme uzavřít a/nebo plnit příslušnou smlouvu.
X. Aktualizace osobních údajů
EURESIS vyvine přiměřené úsilí, aby zajistili přesnost Vašich osobních údajů. Pokud zjistíte, že informace, které zpracováváme, jsou nepřesné, nepravdivé či neaktuální (např. v důsledku změny Vašich osobních údajů), prosím informujte nás, abychom zjednali nápravu.
XI. Způsob zpracování a ochrany osobních údajů
Zpracování osobních údajů provádí správce prostřenictvím svých pověřených zaměstnanců, kteří jsou řádně proškoleni. Ke zpracování dochází prostřednictvím výpočetní techniky, popř. i manuálním způsobem u osobních údajů v listinné podobě za dodržení všech bezpečnostních zásad pro správu a zpracování osobních údajů.
Za tímto účelem přijal správce technickoorganizační opatření k zajištění ochrany osobních údajů, zejména opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
XII. Doba zpracování osobních údajů
V souladu se lhůtami uvedenými v příslušných právních předpisech, příslušných smlouvách, případně ve spisovém a skartačním řádu správce. Jde o dobu nezbytně nutnou k zajištění práv a povinností plynoucích jak ze závazkového vztahu, tak i z příslušných právních předpisů a dále po dobu udělení souhlasu o zpracování osobních údajů.
XIII. Poučení
Správce zpracovává údaje se souhlasem subjektu údajů s výjimkou zákonem stanovených případů, kdy zpracování osobních údajů nevyžaduje souhlas subjektu údajů.
V souladu se čl. 6 odst. 1 GDPR je zpracování osobních údajů zákonné pokud:
▪ subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
▪ zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
▪ zpracování je nezbytné pro splnění zákonných povinností, která se na správce vztahují,
▪ zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
▪ zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
▪ zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.
XIV. Práva subjektů údajů
XIV.1. Subjekt úpdajů má právo na následující informace:
• informace o účelech zpracování (viz článek IX.);
• informace o kategoriích dotčených osobních údajů (viz článek VII.);
• informace o příjemcích nebo kategoriích příjemců, kterým osobní údaje byly nebo budou zpřístupněny (viz článek VIII.);
• informace o plánované době, po kterou budou osobní údaje uloženy (viz článek XII.);
• skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů, přenosu či jejich výmaz (viz souhlas se zpracováním osobních údajů);
• konkretizaci oprávněného zájmu správce nebo třetí strany v případě, že je zpracování založeno na tomto důvodu (viz článek 5);
• informace o zdroji, ze kterého osobní údaje pocházejí (viz článek V.).
XIV.2. Subjekt údajů má právo:
• a) na přístup ke svým zpracovávaným osobním údajům, jejich opravu, výmaz nebo omezení jejich zpracování;
• b) vznést námitku proti tomuto zpracování;
• c) podat stížnost u dozorového úřadu (www.uoou.cz);
• d) kdykoliv odvolat souhlas se zpracováním osobních údajů s účinky do budoucna;
• e) získat od správce potvrzení, zda jeho osobní údaje jsou či nejsou zpracovávány;
• f) aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů;
• g) aby správce bez zbytečného odkladu vymazal osobní údaje (také právo být zapomenut), které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, a to v taxativně uvedených důvodech uvedených v Nařízení: a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány; b) zákazník odvolá souhlas se zpracováním osobních a neexistuje žádný další právní titul pro zpracování; c) zákazník vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro další zpracování; d) osobní údaje byly zpracovány protiprávně; e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené unijní nebo vnitrostátní legislativou, které se na správce vztahuje; f) osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti. Podrobnosti a výjimky k výkonu tohoto práva upravuje Nařízení;
• h) aby správce omezil zpracování, v kterémkoli z těchto případů: a) subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit; b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití; c) správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků; d) subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů;
• i) na přenositelnost osobních údajů, tzn. získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že: a) zpracování je založeno na souhlasu nebo na smlouvě, zpracování se provádí automatizovaně;
• j) kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, včetně profilování založeného na ustanoveních Nařízení. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků;
• k) nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Výjimky a podrobnosti stanoví Nařízení.
XIV.3. Možnosti uplatnění práva subjektu údajů
S ohledem na možná rizika zneužití a zajištění ochrany osobních údajů zákazníků, omezujeme komunikační kanály, kterými lze přijmout a reagovat na požadavek zákazníka. Jelikož je třeba zohlednit i technické aspekty některých práv, jsou komunikační kanály této skutečnosti též přizpůsobeny.
Právo na přístup k OÚ, Právo na opravu nepřesných nebo nesprávných osobních údajů, Právo být informován o zpracování, Právo vznést námitku, Právo na výmaz osobních údajů, Právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, Právo na omezení zpracování, Právo na přenositelnost, Právo na odvolání souhlasu, lze uplatnit:
• poštovní zásilkou (podpis zákazníka musí být úředně ověřen);
• e-mailem na adresu info@euresis.info;
• požadavkem zaslaným pomocí datové schránky.
Při uplatnění práva na přenositelnost OÚ bude zákazníkovi na jeho email odeslána zpráva se šifrovaným, komprimovaným a zaheslovaným souborem s osobními daty. Současně s odesláním emailu bude zákazníkovi zasláno heslo k otevření komprimovaného souboru s osobnímu daty prostřednictvím krátké textové zprávy (SMS) na telefonní číslo mobilního telefonu, které je uvedeno v jeho profilu na webu nebo které uvedl při zaslání žádosti na uplatnění práva přenositelnosti.
XV. Kontaktní údaje
Své dotazy týkající se zpracování a ochrany osobních údajů, směřujte přímo na správce osobních údajů, společnost EURESIS s.r.o., kontaktní email info@euresis.info, telefon 723 136 730.