ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
PRO ÚČELY POSKYTOVÁNÍ ORTOPEDICKO-PROTETICKÝCH POMŮCEK
podle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
I. Správce osobních údajů
ORTOOBUV s.r.o. …………………… (jméno a příjmení, nebo obchodní firma)
27620841 …………………………… (identifikační číslo osoby – IČO)
U Nových domů III.534/3,140 00 Praha 4 (sídlo)
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. ………………… (elektronická adresa)
Správce je registrovaný výrobce a výdejce individuálních zdravotnických prostředků - ortopedických vložek a obuvi - na základě smluv se všemi zdravotními pojišťovnami.
Správce nemá povinnost jmenovat pověřence pro ochranu osobních údajů, jelikož se jedná o ambulantní péči.
II. Zpracovávané osobní údaje
Pro účely poskytování individuálních ortopedicko-protetických pomůcek správce zpracovává následující osobní údaje:
- jméno a příjmení
- zákonného zástupce
- pohlaví
- rodné číslo
- bydliště
- telefonní číslo
- e-mail - pouze na žádost subjektu údajů
- zdravotní pojišťovna
- diagnóza
- zdravotní stav
- měrné podklady
- identifikace ošetřujícího lékaře
- kód zdravotní pomůcky
III. Účel/y zpracování osobních údajů
- poskytování individuálně vyráběných ortopedických pomůcek pojištěncům smluvních zdravotních pojišťoven
- vykazování a vyúčtování hrazených ortopedických pomůcek
- vyúčtování nehrazených ortopedických pomůcek v případě samoplátců či osob bez platného pojištění
- organizace výroby
- vedení účetnictví vyplývají z platných zákonů
IV. Právní základ zpracování osobních údajů
Právním základem pro zpracování osobních údajů uvedených v bodu II. je
- splnění zákonné povinnosti (zejména zákon č.48/1997Sb., o veřejném zdravotním pojištění,
zákon č.123/2000Sb., o zdravotnických prostředcích, zákon č. 96/2004 Sb. o nelékařských zdravotnických povoláních, zákon č. 563/1991 Sb., o účetnictví, zákon č. 586/1992 Sb., o daních z příjmů
- správce nezpracovává osobní údaje subjektů údajů k jiným účelům, než ke splnění zákonné povinnosti
V. Příjemci osobních údajů
Příjemci osobních údajů jsou v souladu s ustanoveními právních předpisů :
- správce osobních údajů, jeho zaměstnanci a subdodavatelé, zdravotní pojišťovny, orgány veřejné moci .
Osobní údaje nejsou předávány do zahraničí.
VI. Doba zpracování osobních údajů
Osobní údaje obsažené ve zdravotnické dokumentaci jsou zpracovávány po dobu stanovenou vyhláškou č. 98/2012 Sb., o zdravotnické dokumentaci 10 let. Osobní údaje zpracovávané pro další účely uvedené v bodu III. jsou zpracovávány po dobu stanovenou zákonem rovněž 10 let. Po uplynutí této doby jsou osobní údaje subjektů údajů v listinné formě skartovány.V elektronické formě budou údaje vymazány
po 10 letech od posledního předání ortopedické pomůcky. O skartování a vymazání údajů správce vede skartační deník.
VII. Práva subjektu údajů
Pro zpracování osobních údajů pro splnění právní povinnosti správce není nutný souhlas subjektu údajů a subjekt údajů je povinen je poskytnout.
Při zpracování osobních údajů má subjekt údajů následující práva týkající se ochrany svých osobních údajů:
- právo požadovat přístup ke svým osobním údajům;
- právo na opravu svých osobních údajů;
- právo na omezení zpracování, jestliže
- popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
- zpracování by bylo protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
- jestliže správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
- jestliže subjekt údajů vznesl námitku proti zpracování uvedenou níže v bodu VII., dokud nebude ověřeno, zda oprávněné důvody pro zpracování převažují nad zájmy subjektu údajů nebo právy a svobodami;
- právo na výmaz osobních údajů. Právo na výmaz osobních údajů se vztahuje jen na osobní údaje, které by správce zpracovával k jiným účelům, než je poskytování ortopedických pomůcek. Údaje, které o subjektu údajů správce za tímto účelem vede ( např. zdravotnickou dokumentaci), vymazat nesmí
- právo na přenositelnost údajů. Údaje, které správce o subjektu údajů vede za účelem poskytování ortopedických pomůcek (např. ve zdravotnické dokumentaci) není založeno na souhlasu či smlouvě a neprobíhá pouze automatizovaně, smí správce poskytnout jen subjektu údajů a za zákonných podmínek též jinému poskytovateli zdravotních služeb nebo orgánu veřejné moci.
- právo podat stížnost u dozorového úřadu, a to v případě, že se subjekt údajů domnívá, že zpracováním osobních údajů dochází k porušení právních předpisů o ochraně osobních údajů. Stížnost může podat u dozorového úřadu v místě svého obvyklého bydliště, místě výkonu zaměstnání nebo v místě, kde došlo k údajnému porušení. V České republice je dozorovým úřadem Úřad na ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.
VIII. Právo vznést námitku proti zpracování
V případě, že osobní údaje zpracovává správce pro účely oprávněných zájmů svých nebo někoho dalšího (právní základy zpracování jsou uvedeny v bodu III), má subjekt údajů kdykoliv právo vznést proti takovému zpracování námitku. Námitku může vznést na adrese uvedené v bodu I. Pokud takovou námitku vznese, bude správce oprávněn v takovém zpracování pokračovat jen tehdy, pokud prokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy subjektu údajů nebo právy a svobodami, a dále tehdy, pokud půjde o zpracování nezbytné pro určení, výkon nebo obhajobu právních nároků.
IX. Povinné zpracování a povinnost poskytnout osobní údaje
Zpracování osobních údajů pro účely poskytování ortopedických pomůcek je zákonným požadavkem. Neposkytnutí osobních údajů může znamenat, že správce nebude moci poskytnout správné či žádné ortopedické pomůcky, čímž může dojít k poškození zdraví subjektu údajů (§ 41 odst.1 písm. d) zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování). Povinnost poskytnout osobní údaje pacienta se týká i jeho zákonného zástupce nebo opatrovníka (§ 41 odst. 2 zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování).
X. Zajištění souladu s GDPR
- správce vypracoval katalog osobních údajů,
- katalog operací zpracování osobních údajů,
- zdokumentoval procesy zpracování, včetně odpovědnosti
- zdokumentoval zabezpečení osobních údajů
- v případě nedostatečného zabezpečení navrhl a zrealizoval opravná opatření, tak aby veškeré zpracování osobních údajů bylo v souladu s nařízením GDPR
- správce proškolil zaměstnance a podepsal dohody NDA se subdodavateli
- vypracoval vnitropodnikovou směrnici pro zacházení s osobními údaji
- dle konzultace s Ministerstvem zdravotnictví ČR ze dne 10.1.2018 není v případě poskytování zdravotních služeb na základě právního předpisu viz bod III. nutné zpracovávat analýzu rizik.