Ochrana osobních údajů

04.06.2020 12:11

 

Pravidla pro ochranu osobních údajů v ordinacích MVDr. Rudolfa Šetky

úvodní ustanovení

V rámci ordinací MVDr. Rudolfa Šetky (dále jen „pracoviště“) respektujeme, že osobní údaje jsou součástí soukromí člověka, a tomu je přizpůsobeno nakládání s těmito daty na pracovišti. Máme přehled o tom, kde na pracovišti jaké osobní údaje v rámci jednotlivých procesů získáváme a za jakým konkrétním účelem. Přitom respektujeme, že zpravidla je možné zpracovávat osobní údaje pouze pokud:

  1. zpracování osobních údajů ukládá přímo právní úprava (protože jsme povinni vést dokumentaci, jejíž součástí musí být identifikace klienta, je možné tyto údaje zpracovávat; protože jsme povinni předávat Komoře veterinárních lékařů stanovené osobní údaje o klientovi při vydání petpasu – je možné tyto údaje takto zpracovávat apod.)
  2. potřebujeme dané údaje pro plnění smlouvy (protože je třeba poskytnuté služby klientovi fakturovat, můžeme tyto fakturační údaje zpracovávat; pokud bude z pracoviště zasílán výsledek vyšetření na e-mailovou adresu klienta, pak můžeme evidovat e-mail klienta, apod.)
  3. zpracování je nezbytné pro zajištění podstatného zájmu pracoviště nebo v zájmu veřejnosti (pokud je například veden soudní spor – příslušná data včetně osobních údajů je pracoviště oprávněno dál evidovat pro účely soudního řízení bez ohledu na to, že uplynuly například skartační lhůty)
  4. klient se zpracováním souhlasí – souhlas vyžadujeme jen tehdy, pokud není zpracování možné dle bodů (i) až (iii); Souhlas je vždy dobrovolný a odvolatelný, podrobnosti viz článek III.)

Máme stanoveny skartační lhůty - viz článek X. – osobní údaje se na pracovišti uchovávají pouze po dobu, která je nezbytná k dosažení účelu jejich zpracování (viz body ad (i) až (iv) výše).

 

článek I. informování klientů

Klienty, kteří nám poskytují své osobní údaje, informujeme o tom, proč osobní údaje potřebujeme a co s osobními údaji následně děláme. Tuto informaci sdělujeme formou informačního formuláře zveřejněného na webových stránkách pracoviště.

 

článek II. rozsah získávaných osobních údajů klientů

Na pracovišti vždy shromažďujeme jen takové osobní údaje klientů, které skutečně potřebujeme pro předmětný účel:

  • pro poskytování veterinární služby: jméno, příjmení, bydliště , dále e-mail, pokud je dohodnuto, že výsledky či jiné podklady se budou zasílat na e-mail; dále telefonní kontakt, pokud je dohodnuto, že klient bude kontaktován ohledně léčby telefonicky.

 

článek III. souhlas se zpracováním osobních údajů

1/ Zpracování osobních údajů je nezbytné pro plnění smlouvy, pro samotné poskytnutí veterinární služby tedy není potřeba souhlas klienta se zpracováním osobních údajů. Pracoviště tedy nikdy nepodmiňuje poskytnutí veterinárních služeb udělením souhlasu se zpracováním osobních údajů ze strany klienta.

2/ Souhlas se zpracováním osobních údajů je po klientovi požadován pouze tehdy, pokud konkrétní osobní údaj pracoviště nepotřebuje pro plnění povinností ze zákona, ze smlouvy, ani není nezbytný pro zajištění podstatného zájmu pracoviště. Souhlas je vždy konkrétní a je kdykoliv odvolatelný. Souhlas pracoviště vždy získává pouze pro konkrétní údaje, na konkrétní dobu a pro konkrétní vyjádřený účel. Poskytnutý souhlas je archivován minimálně po dobu, kdy probíhá zpracování osobních údajů.

3/ Právní úprava nevyžaduje, aby souhlas byl písemný, každopádně pokud je souhlas vyžadován, pak s ohledem na právní jistotu je vyžadováno jeho udělení v písemné podobě (listinné nebo elektronické).

 

článek IV. podmínky předávání osobních údajů zpracovateli

1/ Pokud jsou osobní údaje poskytovány/zpřístupněny pracovištěm jiné třetí osobě (myšleno nikoliv zaměstnanci ale osobě s jiným IČ ať již fyzické či právnické), za tím účelem, aby tyto údaje byly třetí osobou pro pracoviště nějak zpracovány, typicky:

  • veterinární lékař spolupracující na pracovišti jako OSVČ,
  • účetní, kterému pracoviště předává údaje o klientech,
  • mzdový účetní, kterému pracoviště předává údaje o zaměstnancích pracoviště,
  • poskytovatel web hostingu, který má k dispozici osobní údaje zveřejněné pracovištěm na internetu,
  • IT firma, která zálohuje data nebo spravuje počítače, na kterých jsou osobní údaje shromážděné pracovištěm uloženy
  • IT firma, která poskytuje cloudové úložiště dat (pokud součástí těchto dat jsou rovněž osobní údaje shromážděné pracovištěm)
  • a další subjekty, dle potřeb konkrétního pracoviště, 

pak jsou vždy respektována tato pravidla:

  • předávány jsou zpracovateli jen ty osobní údaje, které jsou skutečně nezbytné pro daný účel,
  • pracoviště má s každým jednotlivým zpracovatelem uzavřenou vždy písemnou smlouvu (je možno i v elektronické podobě), ve které je rovněž upravena problematika ochrany předávaných osobních údajů.

2/ Smlouva se zpracovatelem musí vedle dalších údajů stanovit především předmět a dobu trvání zpracování, povahu a účel zpracování, typ osobních údajů, kategorie subjektu údajů a povinnosti a práva správce.

3/ V případě, že má pracoviště již ke dni vydání tohoto manuálu navázanou spolupráci s takovými externími subjekty, kterým jsou pracovištěm předávány/zpřístupňovány osobní údaje, pak

  • není-li uzavřena písemná smlouva s tímto zpracovatelem, je nutné takovou smlouvu uzavřít;
  • je-li uzavřena smlouva písemná smlouva s tímto zpracovatelem, je nutné prověřit, zda obsahuje veškeré stanovené náležitosti – pokud nikoliv, je třeba uzavřít dodatek, kterým se tyto náležitosti do smlouvy doplní.

 

článek V. propagační materiály pracoviště

1/ Fotografie klientů ale i další osobní údaje klientů je možné na webové stránky či na facebook (ale i na jiné propagační materiály pracoviště) umístit pouze se souhlasem klienta.

2/ Fotografie zaměstnanců/spolupracujících veterinárních lékařů jsou na webových stránkách pracoviště umístěny pouze v případě, že k tomu byl dán souhlas dotyčných osob.

3/ Při zveřejňování informací o poskytovaných službách pracoviště respektuje zákonem uloženou povinnost mlčenlivosti o skutečnostech, které byly získány při poskytování služeb.

 

článek VI. zabezpečení osobních údajů klientů

1/ Pracoviště usiluje o co největší možné zmírnění rizika zničení, úniku a zneužití osobních údajů, a proto byla přijata vhodná technická a organizační opatření, aby byla zabezpečena jejich odpovídající ochrana, vždy s ohledem na citlivost příslušných osobních údajů.

2/ Přijata jsou tato opatření:

  1. data jsou chráněna tak, aby k nim neměly přístup neoprávněné osoby:
    • osobní údaje klientů nacházející se v písemné podobě jsou uloženy jen v prostorách, kde se vždy pohybuje lékař a nikdy sám klient; písemné podklady s osobnímu údaji (spisy, jednotlivé výsledky vyšetření atd.) nejsou nikdy ponechávány bez dozoru a jsou uloženy na bezpečném místě, ke kterému má přístup pouze okruh k tomu oprávněných zaměstnanců/spolupracujících veterinárních lékařů; podklady nelze vynášet z pracoviště, předávat cizím osobám nebo kopírovat a kopie poskytovat neoprávněným osobám
    • počítače jsou chráněny přihlašovacím jménem a heslem individuálním pro každého zaměstnance/spolupracujícího veterinárního lékaře; v případě neaktivity počítače se po stanovené době automaticky uzamkne obrazovka a odemkne se až po zadání jedinečného přihlašovacího jména a hesla

 

  1. data jsou vhodně chráněna tak, aby nedošlo k nahodilému neoprávněnému přístupu, změně, smazání; je zamezeno možnosti zkopírování dat na externí disk; data jsou pravidelně zálohována; datové úložiště je dostatečně chráněno a zabezpečeno před zneužitím či neoprávněným přístupem;

 

  1. přístup k nashromážděným a uchovávaným osobním údajům mají pouze ti pracovníci, kteří tento přístup skutečně potřebují k plnění svých pracovních úkolů (a současně mají na pracovišti jednotliví pracovníci přístup jen k těm datům, která jsou pro ně relevantní)

 

článek VII. zabezpečení osobních údajů zaměstnanců

1/ Pro vznik pracovního poměru není nutný souhlas zaměstnance se zpracováním osobních údajů. Zaměstnanec je ale stejně jako klient informován při vzniku pracovního poměru o tom, jak budou jeho data zpracovávána.

2/ Přístup k osobním údajům zaměstnanců (mzdy, docházka, pracovní smlouva apod.) mají na pracovišti jen ty osoby, kterým takové údaje přísluší znát (například personalista, mzdová účetní, majitel pracoviště). Tyto osobní údaje nejsou volně přístupné přes počítače nacházející se na pracovišti (například sdílený disk), ani nejsou volně přístupné v prostorách pracoviště. Písemné zaměstnanecké složky jsou uloženy tak, aby k nim neměly přístup nepovolané osoby (uzamčená skříň apod.).

3/ Zaměstnanecká složka zaměstnance obsahuje jen takové podklady, které jsou vyžadovány právní úpravou nebo jsou jinak důvodné, tedy které souvisejí s pracovním a mzdovým zařazením zaměstnanců či smluvních pracovníků, se sociálním, a zdravotním pojištěním (např. jméno, příjmení, rodné číslo, údaje o případných srážkách ze mzdy, dosažené vzdělání, délka praxe, specializace, funkční zařazení apod.).

4/ Do složky zaměstnance, není-li skutečně zvláštního důvodu, není zakládána kopie občanského průkazu. Není možné si ponechat životopisy neúspěšných uchazečů o práci bez jejich výslovného souhlasu splňujícího požadavky na souhlas – viz článek souhlas se zpracováním osobních údajů).

5/ Fotografie zaměstnanců je na webové stránky pracoviště možné umístit jen s jejich souhlasem.

6/ Zaměstnanci nemohou být sledováni kamerou za účelem dohlížení na plnění jejich pracovních povinností – to je úkolem nadřízeného zaměstnance. Kamery nemohou být umístěny v místech, kde zaměstnanci oprávněně očekávají vyšší míru soukromí (šatny apod.).

 

článek VIII. obchodní sdělení

Pozvánky na očkování, informace o nových službách pracoviště apod. jsou posílány klientům za splnění těchto podmínek:

  1. součástí sdělení je pouze nabídka služeb či výrobků pracoviště (nikoliv třetích osob),
  2. součástí sdělení je vždy informace o tom, že zasílání obchodních sdělení lze odmítnout, a je uveden způsob, jak toto lze provést (vždy jde o možnost provést takové odmítnutí jednoduchým úkonem a zdarma)
  3. jde o klienta, který je prokazatelně zákazníkem pracoviště.

V případě, že je sporné, zda je splněna podmínka (iii), tedy zda jde prokazatelně o zákazníka pracoviště, pak je takové obchodní sdělení takovému klientovi zasíláno pouze v případě, že pracoviště eviduje jeho souhlas se zasíláním obchodních sdělení.

Klient může souhlas se zasíláním obchodních sdělení kdykoliv odvolat. V případě že se tak stane, je tato skutečnost zaevidována a na příslušný kontakt již nejsou obchodní sdělení zasílána.

 

článek IX. zvláštní práva klientů

1/ Odpovědné osoby na pracovišti jsou informovány o tom, že právní úprava poskytuje klientům množství práv ve vztahu k osobním údajům, které pracoviště o klientech eviduje, především:

  1. právo klienta na přístup k údajům – klient má právo se dozvědět, jaké osobní údaje o něm pracoviště zpracovává, za jakým účelem, kdo k nim má přístup, jak jsou chráněny
  2. právo klienta na opravu osobních údajů – klient má právo požadovat, aby pracoviště bez zbytečného odkladu opravilo nepřesné osobní údaje, které se klienta týkají
  3. právo klienta na omezení zpracování osobních údajů
  4. právo klienta vznést námitku proti použití jeho osobních údajů a právo být zapomenut

2/ Klient svá práva může uplatnit písemně (včetně e-mailu). V případě že pracoviště obdrží žádost klienta či jiné osoby týkající se osobních údajů, je tato bez prodlení předána majiteli pracoviště, který ji písemně vyřídí bez zbytečného odkladu, v každém případě do jednoho měsíce od obdržení žádosti.

3/ Pracoviště každou žádost vyhodnocuje individuálně, o vyřízení či zamítnutí žádosti je klient informován. V případě jakýchkoliv pochybností o postupu v těchto zvláštních případech je konzultován právní poradce pracoviště.

 

článek X. skartace, archivace

Na pracovišti jsou nastaveny mechanismy zaručující, že osobní údaje budou uloženy jen po dobu, kdy trvá účel, pro který byly shromážděny. Osobní údaje nejsou pracovištěm shromažďovány bez časového omezení, naopak, uplyne-li legitimní důvod pro jejich držení, data jsou anonymizována, případně skartována. Stanoveny jsou následující skartační lhůty:

  1. zdravotnická dokumentace (zpravidla 5 let od úmrtí pacienta, případně 5 let od poslední návštěvy pacienta, pokud je jednoznačné, že pacient již nebude na pracovišti léčen)
  2. pracovně-právní dokumentace – osobní spis zpravidla ne déle než 4 roky od skončení pracovního poměru, u některých údajů se ale uplatní zvláštní právní předpisy – např. § 35a odst. 4 zákona 582/1991 Sb.:  stejnopisy evidenčních listů (3 roky), účetní podklady (5 let), záznamy o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti (6 let), mzdové listy nebo účetní záznamy o údajích potřebných pro účely důchodového pojištění (30 let)).
  3. smluvní dokumentace se spolupracujícími subjekty (s ohledem na promlčecí dobu zpravidla 4 roky po skončení smluvního vztahu)
  4. další dokumenty dle konkrétních služeb konkrétního pracoviště.

 

článek XI. kamerový systém

1/ Pracoviště respektuje, že instalace kamerového systému se záznamem, který zabírá rovněž fyzické osoby, je zásadním zásahem do soukromí osob – před instalací takového systému pracoviště záležitost vždy podrobně konzultuje s právním odborníkem v dané oblasti. Vždy jsou však dodrženy obecné zásady stanovené v tomto článku dále.

2/ Kamery musí být umístěny tak, aby jejich využití bylo efektivní k ochraně chráněných zájmů pracoviště, ale nesmí dojít k nadměrnému zásahu do práv osob. V případě provozování kamerového systému se záznamem, který zabírá fyzické osoby, je na pracovišti zpracován „záznam o činnostech zpracování“, který stanoví podmínky provozování kamerového systému a je k dispozici pro případ kontroly. Monitorované prostory jsou označeny cedulkami s piktogramem, na recepci je k dispozici bližší informace o podmínkách provozování kamerového systému. Záznam je uchováván maximálně po dobu 5 dní. Záznam je uložen tak, aby k němu neměl přístup nikdo nepovolaný (zpravidla jen majitel pracoviště).

 

článek XII. proškolení o ochraně osobních údajů

1/ Zaměstnanci, případně veterinární lékaři spolupracující jako OSVČ, jsou vždy před zahájením pracovního poměru/spolupráce poučeni o pravidlech pracoviště o nakládání s osobními údaji. Pravidla stanovená tímto manuálem musí být dodržována, jejich dodržování je pravidelně kontrolováno a zaměstnanci a spolupracující veterinární lékaři jsou v problematice ochrany osobních údajů pravidelně školeni (minimálně 1x ročně).

2/ V případě, že na pracovišti působí veterinární lékaři, kteří spolupracují jako OSVČ, jsou tito seznámeni s pravidly pracoviště a dále je s nimi uzavřena smlouva o zpracování osobních údajů (viz článek IV. výše).

 

V Novém Jičíně dne 1.1.2019

_______________

za pracoviště MVDr. Rudolf Šetka