MEDPRO
Medical Data Protection s.r.o.

Biometrické údaje

osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.

Dozorový úřad

nezávislý orgán veřejné moci zřízený členským státem podle článku 51.

Evidence

jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.

Fyzická osoba

každý, jehož osobní údaje jsou zpracovávány, typicky zákazník, klient.

Genetické údaje

osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby.

Omezení zpracování

označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu.

Osobní údaje

veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Podnik

jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, která běžně vykonávají hospodářskou činnost.

Porušení ochrany dat

jakékoliv porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu.

Porušení zabezpečení osobních údajů

porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

Posuzování vlivu na ochranu osobních údajů

pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro právo a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení.

Pověřenec pro ochranu osobních údajů

správce a zpracovatel jmenují pověřence pro ochranu osobních údajů.

Právo být zapomenut

subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se dané fyzické osoby týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat.

Právo na opravu

fyzická osoba má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se jí týkají. S přihlédnutím k účelům zpracování má fyzická osoba práva na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

Právo na přenositelnost údajů

fyzická osoba má právo získat osobní údaje, které se jí týkají, jež poskytla správci ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil.

Právo na přístup

každá fyzická osoba má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům.

Profilování

jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu.

Příjemce

fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování.

Pseudonymizace

zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.

Relevantní a odůvodněná námitka

námitka vůči návrhu rozhodnutí za účelem posouzení, zda došlo k porušení tohoto nařízení, nebo zda je zamýšlený úkon v souvislosti se správcem či zpracovatelem v souladu s tímto nařízením, která jasně dokazuje významnost rizik vyplývajících z návrhu rozhodnutí, pokud jde o základní práva a svobody subjektů údajů, případně volný pohyb osobních údajů v rámci Unie.

Sankce

10 000 000 EUR nebo do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, 20 000 000 EUR nebo do výše 4 % celkového ročního obratu celosvětově za předchozí rozpočtový rok.

Skupina podniků

skupina zahrnující řídící podnik a jím řízené podniky.

Souhlas

subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Správce osobních údajů

fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; pokud jsou účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.

Subjekt údajů

podle GDPR se jedná o fyzickou osobu, ke které se osobní údaje vztahují. Typicky jde o rezidenty EU, jejichž práva nařízení chrání. Subjekt údajů není právnická osoba. Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě, jelikož Obecné nařízení vylučuje svoji působnost na údaje o zesnulých osobách.

Třetí strana

fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů.

Údaje o zdravotním stavu

osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu.

Zástupce

jakákoli fyzická nebo právnická osoba usazená v Unii, která je správcem nebo zpracovatelem určena písemně podle článku 27 k tomu, aby správce nebo zpracovatele zastupovala, pokud jde o příslušné povinnosti správce nebo zpracovatele ve smyslu tohoto nařízení.

Závazná podniková pravidla

koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazený na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost.

Zpracování

jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Zpracovatel osobních údajů

fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Výčet pojmů a definic není kompletní. S plným zněním všech požadavků se můžete setkat přímo v Obecné směrnici na ochranu osobních údajů (GDPR).

Základem je pro Vás Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Text s významem pro EHP)

Výše uvedený předpis, je nyní vrcholovým právním předpisem, ale nesmíme zapomenout také na:

Zákon č. 111/2019 Sb. kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů

Zákon č. 110/2019 Sb. o zpracování osobních údajů

Zákon č. 480/2004 Sb., o některých službách informační společnosti ve znění účinném od 1. července 2017

Zákon č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) - v působnosti Národního úřadu pro kybernetickou a informační bezpečnost

Komplexní seznam legislativních předpisů České republiky v oblasti ochrany osobních údajů je možné získat přímo na webovém portále Úřadu pro ochranu osobních údajů

V oblasti zdravotnictví a sociálních služeb musíme minimálně naplňovat požadavky těchto legislativních předpisů:

• Zákon č. 551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky
• Zákon č. 280/1992 Sb., o resortních, oborových, podnikových a dalších zdravotních pojišťovnách
• Zákon č. 586/1992 Sb., o daních z příjmů
• Zákon č. 589/1992 Sb., o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti
• Zákon č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění
• Zákon č. 155/1995 Sb., o důchodovém pojištění
• Zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů
• Zákon č. 227/1997 Sb., o nadacích a nadačních fondech a o změně a doplnění některých souvisejících zákonů (zákon o nadacích a nadačních fondech)
• Zákon č. 359/1999 Sb., o sociálně-právní ochraně dětí
• Zákon č. 128/2000 Sb., o obcích (obecní zřízení)
• Zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů
• Zákon č. 3/2002 Sb., o svobodě náboženského vyznání a postavení církví a náboženských společností a o změně
• Zákon č. 285/2002 Sb., o darování, odběrech a transplantacích tkání a orgánů a o změně některých zákonů (transplantační zákon)
• Zákon č. 435/2004 Sb., o zaměstnanosti
• Zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů
• Zákon č. 108/2006 Sb., o sociálních službách
• Zákon č. 187/2006 Sb., o nemocenském pojištění
• Zákon č. 262/2006 Sb., zákoník práce
• Zákon č. 378/2007 Sb., o léčivech a o změnách některých souvisejících zákonů (zákon o léčivech)
• Zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách)
• Zákon č. 373/2011 Sb., o specifických zdravotních službách
• Zákon č. 89/2012 Sb., občanský zákoník
• Zákon č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních korporacích) některých zákonů (zákon o církvích a náboženských společnostech)
• Vyhláška č. 98/2012 Sb. o zdravotnické dokumentaci
• Vyhláška č. 79/2013 Sb., Vyhláška o provedení některých ustanovení zákona č. 373/2011 Sb., o specifických zdravotních službách, (vyhláška o pracovně lékařských službách a některých druzích posudkové péče)
• Doporučený postup č. 02/2018, MPSV, kterým se v rámci metodického a koncepčního vedení MPSV vypracovává Kodex chování ve smyslu čl. 40 Obecného nařízení o ochraně osobních údajů – GDPR pro potřeby výkonu sociální politiky

V rámci legislativy EU je také použít minimálně tyto předpisy:

• Listinu základních práv Evropské unie (2012/C 326/02)
• Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Text s významem pro EHP)

Stránky GDPR Evropské komise (v angličtině)

Kodexy chování dle GDPR zohledňují specifické požadavky různých odvětví a jejich smyslem není jen přepsat požadavky GDPR, ale především daná specifika přenést do praxe daného odvětví.

Dle odstavce (98) GDPR Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů by měly být vybízeny k tomu, aby v mezích tohoto nařízení vypracovaly kodexy chování s cílem usnadnit účinné uplatňování tohoto nařízení, a to při zohlednění zvláštní povahy zpracování prováděného v některých odvětvích a specifických potřeb mikropodniků a malých a středních podniků. Tyto kodexy chování by zejména mohly upřesňovat povinnosti správců a zpracovatelů s přihlédnutím k riziku, které ze zpracování pravděpodobně vyplyne pro práva a svobody fyzických osob.

Nabízíme Vám pomoc při zpracování KODEXu CHOVÁNÍ vašich profesních sdružení. OD stanovení základních parametrů až po její finální znění. Samozřejmostí je zpracování připomínek Úřadu před jejich schválením.

Omezením je použití Kodexu chování pouze na území České republiky

Běžná schvalovací procedura

• Kodex vypracovává sám správce, případně jeho vypracování může zadat externí společnosti.
• Správce návrh kodexu, případně jeho úpravu nebo rozšíření, předloží dozorovému úřadu.
• Dozorový úřad návrh posoudí a vydá stanovisko o tom, zda je kodex v souladu s nařízením a následně jej schválí.

Výhody přihlášení se ke Kodexu chování

Kodex chování Vám umožní efektivně naplnit požadavky, které jsou kladeny na správce a zpracovatele osobních údajů a pomocí jeho naplnění doložit plnění těchto požadavků.

• Povinnost zavést vhodná technická a organizační opatření, aby správce zajistil a byl schopen doložit, že zpracování osobních údajů je prováděno v souladu s nařízením (čl. 24).
• Povinnost správce využívat pouze takové zpracovatele osobních údajů, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření (čl. 28).
• S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku (čl. 32).
• Dodržování schválených kodexů chování podle článku 40 příslušnými správci nebo zpracovateli se řádně zohlední při posuzování dopadu operací zpracování prováděných těmito správci či zpracovateli, zejména pro účely posouzení vlivu na ochranu osobních údajů (čl. 35).
• Článek 83 Obecné podmínky pro ukládání správních pokut Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti: j) dodržování schválených kodexů chování podle článku 40 nebo schváleného mechanismu pro vydávání osvědčení podle článku 42.

Naše organizace zajišťuje zcela nezávislé hodnocení dle kritérií, které jsou stanoveny v Kodexech chování profesních sdružení. Systém prověřování je uveden v kapitole ANALÝZA STRUKTURY ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ A DAT A JEJICH OCHRANY .

Výstupem je vždy zpráva, která věrohodně popisuje zjištěné skutečnosti a jež je na základě provedeného auditu a vzorkování zavedeného systému popíše zjištěný stav věcí. Daná zpráva může být použita pro potvrzení shody zavedeného systému s požadavky stanovenými v Kodexu chování profesního sdružení.

Na základě námi vytvořených standardizovaných formulářů pro hodnocení vstupních informací (identický dotazník je i pro opakovaná monitorování nastaveného systému) parametrů Vašeho stávajícího systému pro ochranu osobních údajů a dat získáme:

• Strukturu a obsah stávajícího systému zajištění bezpečnosti ochrany osobních údajů a dat ve Vaší společnosti
• Strukturu zpracovávaných informací a dat
• Klasifikaci dat
• Kritičnost informací.

Na základě těchto informací je možné vytvořit návrh systému, který bude zajišťovat ochranu a bezpečnost Vámi zpracovávaných osobních údajů a dat.

Formuláře pro zpracování analýzy:

• Dotazník - Hodnocení (analýza) bezpečnosti informací zdravotnického zařízení
• Dotazník – Struktura zpracovávaných údajů (fyzické, elektronické)

Úvodní analýzu je možno realizovat:

• Za pomocí proškoleného konzultanta naší společnosti
• Vlastními silami za pomocí unikátního, námi zpracovaného systému, E-ATEST^© GDPR

V souladu s návrhem pro řešení nastavení Vašeho systému vytvoříme ucelený systém, který bude popsán v řízeném a revidovaném dokumentu, který bude minimálně obsahovat:

• Politiku bezpečnosti a ochrany osobních údajů a dat.
• Vytvořená pravidla systému řízení zpracování dat.
• Stanoveny odpovědnosti a pravomoci jednotlivých zúčastněných osob jak na straně správce, tak i na straně zpracovatele (zpracovatelů).
• Nastavena pravidla pro zpracování a přenos dat.
• Nastavena pravidla pro zálohování dat.
• Nastaveny interní kontrolní mechanismy pro kontrolu dodržování pravidel.
• Nastavena pravidla pro nezávislé monitorování dodržování zavedeného systému ochrany osobních údajů a dat.

Na základě smluvního vztahu Vám také můžeme zabezpečit pravidelnou revizi vytvořeného systému, aby odpovídal posledním znalostem v řízení a ochraně osobních údajů a dat.

V případě, že Vaše společnost spadá pod skupinu společností, která musí mít dle NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 jmenovaného pověřence (jmenují jej správce nebo zpracovatel dat, každý po své linii) pro ochranu osobních údajů, pomůžeme Vám s jeho výběrem, případně konkrétního pověřence můžeme doporučit.

Pověřenec pro ochranu osobních údajů (Data Protection Officer, zkr. DPO):

Kodex chování Vám umožní efektivně naplnit požadavky, které jsou kladeny na správce a zpracovatele osobních údajů a pomocí jeho naplnění doložit plnění těchto požadavků.

• Musí být nestranný.
• Musí být nezávislý, aby se nedostal do střetu zájmů.
• Musí mít pro výkon své práce dostatek času, prostředků a byl finančně dostatečně ohodnocen.
• Jeho stanovisku musí být přiznána patřičná závažnost, případně musí být zdokumentovány důvody, proč jeho doporučení byla ignorována.
• Byl do své funkce jmenován.