Informace o zpracování a pohybu osobních údajů v organizaci (tzv. GDPR)
Seznam zkratek
GDPR – z anglického textu „General Data Protection Regulation“, je synonymem pro nařízení Evropského parlamentu a Rady (EU) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
Obecné vysvětlení pojmů
Subjekt údajů: Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají.
Správce údajů: Správcem je v případě právnické osoby daná právnická osoba (nikoli její některý zaměstnanec či společník nebo jednatel). Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely (např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob). Správce určuje účely a prostředky zpracování osobních údajů, odpovídá za dodržování povinností kladených obecným nařízením a dodržování zásad zpracování. Dodržování zásad zpracování musí být správce schopen doložit dozorovému úřadu, kterým je pro území ČR Úřad pro ochranu osobních údajů.
Informace pro klienta - pacienta
Správce osobních údajů (tj. organizace Alergoimuno, s.r.o.) plně implementoval nařízení Evropského parlamentu a Rady (EU) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů v organizaci. Správce osobních údajů je na základě platného oprávnění k poskytování zdravotních služeb poskytovatelem zdravotních služeb v souladu se zákonem o zdravotních službách. V souvislosti s poskytováním zdravotních služeb je povinen o klientovi – pacientovi (tj. o subjetku údajů) shromažďovat osobní údaje v rozsahu nezbytném pro poskytnutí a vykázání zdravotních služeb, přičemž rozsah shromažďovaných osobních údajů vyplývá z platné právní úpravy.
Osobní údaje jsou v organizaci o klientovi – pacientovi shromažďovány a používány výhradně v souvislosti s poskytováním zdravotních služeb. (Poznámka: Organizace je také povinna osobní údaje sdělovat při vykazování hrazených zdravotních služeb a plnění dalších zákonných povinností, například daňové a účetní povinnosti, a v rámci hlášení do registrů některých nemocí stanovených zákonem). Organizace sděluje osobní údaje klientů – pacientů oprávněným subjektům a institucím pouze v případech, kdy je tato povinnost uložena organizaci právním předpisem. (Poznámka: Osoby, které mají možnost se s těmito osobními údaji seznamovat, jsou rovněž zákonem zavázány k ochraně osobních údajů a povinné mlčenlivosti).
Údaje vedené ve zdravotnické dokumentaci obsahují zejména skutečnosti nutné pro identifikaci osoby, údaje o provedených vyšetřeních, o zjištěné diagnóze, léčbě, předepsaných léčivých přípravcích, případně zdravotnických prostředcích, výsledcích vyšetření, eventuálně informovaný souhlas nebo nesouhlas klienta – pacienta se specifickou alergenovou imunoterapií.
Osobní údaje subjektu (klienta – pacienta) shromažďujeme po dobu, kterou stanoví právní předpisy. (Poznámka: Vyhláška o zdravotnické dokumentaci, která stanoví dobu, po kterou je nezbytné uchovávat zdravotnickou dokumentaci; právní předpisy ve vztahu k účetnictví a daňovým povinnostem, které vymezují archivační dobu, po kterou je nutno písemnosti prokazující poskytnutí zdravotních služeb archivovat).
V případech plnění smluvní povinnosti, například při poskytnutí zdravotní služby, která není hrazena z veřejného zdravotního pojištění, evidence kontaktů subjektů v objednávkovém systému aj., organizace shromažďuje tyto osobní údaje po dobu 5 let od doby, kdy klientovi – pacientovi přestala být poskytována zdravotní péče organizací nebo do doby odvolání jeho souhlasu.
Práva klienta – pacienta při poskytování zdravotních služeb
Práva klienta – pacienta (tj. subjektu údajů) při poskytování zdravotních služeb v souvislosti se shromažďováním osobních údajů jsou následující:
- právo na přístup ke svým osobním údajům; pokud subjekt shledá, že nejsou vedeny osobní údaje správně či jsou nepřesné, má právo požádat o opravu svých osobních údajů;
- právo na výmaz svých osobních údajů v rozsahu dobrovolně poskytnutých osobních údajů, tj. v rámci plnění smluvních povinností; (Poznámka: Nelze se domáhat výmazu osobních údajů, které je poskytovatel zdravotních služeb povinen shromažďovat, a to na základě právní povinnosti (povinnost uložená právním předpisem), tj. v souvislosti s poskytováním zdravotních služeb, které organizace poskytuje);
- právo na podání stížnosti u dozorového úřadu, pokud má za to, že zpracováním osobních údajů dochází k porušení právních předpisů o ochraně osobních údajů; (Poznámka: Stížnost se podává u dozorového úřadu, kterým je pro území ČR Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7 (www.uoou.cz)).