Městská poliklinika Plzeň, spol. s r.o., IČ 26370522, Francouzská třída 2080/4, Východní Předměstí, 326 00 Plzeň. (dále jen „správce“ nebo „poliklinika“) připravila tento dokument za účelem zajištění plné a transparentní informovanosti o zpracování osobních údajů pacientů, kteří představují tzv. subjekty osobních údajů.
Poliklinika tímto informuje pacienty v rozsahu a v souladu s čl. 13 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice (dále jen „nařízení GDPR“).
Pacientem se v tomto dokumentu rozumí subjekt osobních údajů, který vstupuje do prostor polikliniky a/nebo který komunikuje s pracovníky polikliniky v souvislosti s poskytováním zdravotních služeb a/nebo který projevuje zájem o poskytnutí zdravotních služeb v poliklinice.
Kontaktní údaje správce osobních údajů
Městská poliklinika Plzeň, spol. s r.o. , IČ 26370522
Francouzská třída 2080/4, Východní Předměstí, 326 00 Plzeň
Statutární orgán správce: JUDr. Ing. Pavel Cink, LL. M. – jednatel správce
Kontaktní údaje pověřence pro ochranu osobních údajů
MOSS Advisory s.r.o.
E-mail: dpo@mossadvisory.eu
II.
Obecné informace
Osobním údajem se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě („subjekt údajů“).
Subjektem údajů se pak rozumí identifikovatelná fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. V případě poskytování zdravotních služeb je subjektem údajů pacient.
Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
Správcem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Správcem osobních údajů je ve vztahu k pacientům poliklinika.
Zpracování osobních údajů představujejakoukoliv operaci nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Kategorie dotčených osobních údajů
Poliklinika zpracovává o pacientech zejména následující kategorie osobních údajů v souvislosti s poskytováním zdravotních služeb svým pacientům a vedením zdravotnické dokumentace pacientů:
- identifikační údaje (tj. jméno, příjmení, datum narození, rodné číslo, číslo pojištěnce veřejného zdravotního pojištění)
- adresní údaje (tj. adresa místa trvalého pobytu v ČR, u cizinců místo hlášeného pobytu na území ČR)
- pohlaví pacienta
- údaje o zdravotním stavu (tj. zejména údaje o provedených vyšetřeních, o zjištěné diagnóze, léčbě, předepsaných léčivých přípravcích, výsledcích komplexních a kontrolních vyšetření, informovaný souhlas nebo nesouhlas s jednotlivými zákroky a léčbou)
- údaje zjištěné z rodinné, osobní a pracovní či sociální anamnézy pacienta
- a další údaje podle právních předpisů upravujících poskytování zdravotní péče a služeb
Rozsah zpracovávaných osobních údajů vyplývá z platných právních předpisů regulujících poskytování zdravotních služeb. Pokud jsou zpracovávány osobní údaje pacienta nad rámec zákonné povinnosti, poliklinika zpracovává osobní údaje pacienta pouze, má-li k tomu jiný právní titul (tj. zejména oprávněný zájem, nebo plnění smlouvy).
III.
Právní základ a účely pro zpracování osobních údajů
Osobní údaje poliklinika zpracovává z důvodu splnění právních povinností, které se na správce vztahují – tedy poskytováním zdravotní péče pacientům. Tyto povinnosti a účely zpracování pro polikliniku vyplývají zejména z následujících právních předpisů:
- poskytování zdravotních služeb dle zákona č. 372/2011 Sb., o zdravotních službách v platném znění a všech povinností s nimi spojených
- poskytování specifických zdravotních služeb dle zákona č. 373/2011 Sb., o specifických zdravotních službách v platném znění a všech povinností s nimi spojených
- poskytování sociálních služeb dle ustanovení § 52 zákona č. 108/2006 Sb., o sociálních službách v platném znění
- zajištění a provedení kalmetizace – očkování dle zákon č. 258/2000 Sb., o ochraně veřejného zdraví
- poskytování zdravotní služby v rozsahu činností odběrových zařízení nebo tkáňových zařízení dle zákona č. 296/2008 Sb., o lidských tkáních a buňkách
- založení elektronického receptu – sdělení identifikátoru pacientovi formou určenou pacientem dle vyhlášky č. 415/2017 Sb., k provedení některých ustanovení zákona o léčivech týkajících se elektronických receptů
IV.
Příjemci nebo kategorie příjemců osobních údajů
Příjemci osobních údajů pacienta jsou subjekty stanovené zvláštními právními předpisy, zejména osoby vymezené v § 65 z. č. 372/2011 Sb., o zdravotních službách. Jedná se například o zákonného zástupce nebo opatrovníka pacienta; osoby určené pacientem; osoby se způsobilostí k výkonu zdravotnického povolání a jiné odborné pracovníky v přímé souvislosti s poskytováním zdravotních služeb, kteří jsou zaměstnanci polikliniky.
Poliklinika sděluje osobní údaje dalším subjektům při vykazování hrazené zdravotní péče a při plnění dalších zákonných povinností jako daňové a účetní povinnosti a v rámci hlášení do registrů některých nemocí stanovených zákonem.
V.
Doba uložení osobních údajů
Osobní údaje pacientů jsou
součástí zdravotnické dokumentace. Vedení zdravotnické dokumentace je upraveno
§ 59 – 69 zákona č. 372/2011 Sb., o zdravotních službách, přičemž doba uchování
zdravotnické dokumentace je uvedena v navazující prováděcí vyhlášce
Ministerstva zdravotnictví
č. 98/2012 Sb., o zdravotnické dokumentaci v platném znění.
Poliklinika dále zpracovává osobní údaje pacientů po dobu stanovenou zvláštními právními předpisy za účelem plnění účetní a daňových povinností.
VI.
Práva pacienta jako subjektu údajů
Pacient má právo požadovat od polikliniky přístup ke svým osobním údajům (tedy žádat potvrzení, zda jsou o něm osobní údaje zpracovávány) a současně má právo na jejich opravu.
Pacient má případně právo na omezení zpracování v následujících případech:
- jestliže popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby poliklinika mohla přesnost osobních údajů ověřit;
- zpracování je protiprávní a pacient odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
- poliklinika již osobní údaje nepotřebuje pro účely zpracování, ale pacient je požaduje pro určení, výkon nebo obhajobu právních nároků;
- jestliže pacient již vznesl námitku proti zpracování v případě zpracování v oprávněném zájmu polikliniky či třetích osob, dokud nebude ověřeno, zda oprávněné důvody polikliniky převažují nad oprávněnými důvody pacienta.
Pacient má dále právo vznést námitku proti zpracování osobních údajů v případě, že zpracování je prováděno v oprávněném zájmu polikliniky nebo třetí strany.
Následující práva jsou omezena zákonem:
Právo na výmaz osobních údajů – právo pacienta na výmaz dle čl. 17 Nařízení GDPR je omezeno, a to v případě dodržení lhůty pro uchování osobních údajů stanovené právními předpisy (§ 53-69 zákona č. 372/2011 Sb., o zdravotních službách, vyhláška č. 98/2012 Sb., o zdravotnické dokumentaci).
Právo na přenositelnost údajů – toto právo se na pacienta obecně nevztahuje, a to vzhledem k tomu, že poskytování osobních údajů není založeno na souhlasu či smlouvě a neprobíhá pouze automatizovaně. Toto právo může pacient uplatnit pouze ve vztahu k osobním údajům, jejichž zpracování by bylo založeno na smlouvě nebo jeho souhlasu.
Pacient může svá práva v souvislosti s ochranou osobních údajů uplatnit podle čl. VII.
Pacient má dále právo podat stížnost u Úřadu na ochranu osobních údajů (adresa: Pplk. Sochora 27, 170 00 Praha 7).
VII.
Uplatnění práv pacienta
V případě, že se pacient rozhodne uplatnit svá práva podle nařízení GDPR, je povinen postupovat dle níže uvedených pravidel:
Způsob podání žádosti
Prostřednictvím:
- datové schránky: 9zz8fhm
- elektronické pošty: dpo@mossadvisory.eu
- poštovní služby: Městská poliklinika Plzeň, spol. s r. o., Francouzská třída 2080/4, Východní Předměstí, 326 00 Plzeň
Náležitosti žádosti
Žádost musí obsahovat tyto identifikační údaje žadatele, resp. subjektu údajů:
- jméno a příjmení
- datum narození
- adresa místa trvalého pobytu/bydliště.
- předmět – ochrana osobních údajů – Městská poliklinika Plzeň, spol. s r. o.
V žádosti musí být dále přesně specifikováno, jaké právo žadatel uplatňuje a způsob pro doručení/předání odpovědi.
Ověření totožnosti žadatele
Pro vyřízení žádosti musí být ověřena totožnost žadatele, který své právo uplatňuje. Tato povinnost se nevztahuje na případy, kdy je žádost doručena prostřednictvím datové schránky nebo elektronickou poštou podepsanou zaručeným elektronickým podpisem.
V případě podání žádosti prostřednictvím poštovní doručovací služby, je nutný úředně ověřený podpis žadatele, resp. subjektu údajů uvedený na žádosti.
Pokud bude žadatelem zákonný zástupce/opatrovník, je nutné vztah k subjektu údajů doložit kopií rodného listu či dokladem o ustanovení opatrovníka. Pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která žádost podává, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.
Lhůty při vyřizování žádosti
Žádost je vyřízena bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit až o dva měsíce. O prodloužení lhůty je žadatel informován včetně důvodu prodloužení. Informace, veškerá sdělení a provedené úkony na žádost pacientů (subjektu údajů) se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. V případě, že žádost nebyla vyřízena, resp. nebyla přijata požadovaná opatření, je žadatel do jednoho měsíce od přijetí žádosti o důvodech nepřijetí těchto opatření informován. Subjekt údajů může podat stížnost u dozorového úřadu (Úřad na ochranu osobních údajů).