GDPR
Dne 25. 5. 2018 nabývá účinnosti Obecné nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů – dále jen „Nařízení“), známé pod zkratkou GDPR (General Data Protection Regulation). Jde o novou legislativu EU, která výrazně zvýší ochranu osobních dat občanů. Osobní data tvoří důležitou a nedílnou součást naší osobní identity. Proto představují pro velkou škálu subjektů cennou a strategicky významnou komoditu. V případě závažného porušení zabezpečení osobních údajů pak hrozí vysoké pokuty.
V souvislosti s Nařízením je v PNO zřízena funkce pověřence pro ochranu osobních údajů:
JUDr. Karel Kraus
tel.: +420 553 695 207
e-mail: zc.avaponp@suark
Psychiatrická nemocnice v Opavě (dále jen „PNO“) jako poskytovatel zdravotních služeb zpracovává osobní údaje především pacientů, zaměstnanců a dalších osob a ocitá se tak v roli správce. PNO zpracovává i zvláštní kategorie osobních údajů, které zasluhují vyšší stupeň ochrany. Hlavní činnost PNO tedy spočívá v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 Nařízení. Obecně dle Nařízení platí zákaz zpracování zvláštních kategorií osobních údajů (citlivé údaje), což bezesporu neplatí pro resort zdravotnictví.
Informace o zpracování osobních údajů pacientů PNO
Informace o zpracování osobních údajů zaměstnanců PNO
Informace o zpracování osobních údajů uživatelů Služby následné péče v PNO
Informace o zpracování osobních údajů uživatelů Sociální rehabilitace v PNO
Informace o zpracování osobních údajů stážistů, studentů v PNO
Informace o zpracování osobních údajů fyzických osob protistrany uvedených ve smlouvě
Informace o zpracování osobních údajů – kamerový systém v místnosti Pokladny
Informace o zpracování osobních údajů osob blízkých pacientovi PNO
Informace o zpracování osobních údajů účastníků zadávacích a výběrových řízení
Nařízení zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset správce osobních údajů prokazatelně doložit po celou dobu zpracování. Je nutné zdůraznit, že základní principy a mechanismy současné právní úpravy se nemění, dochází pouze ke zpřesnění stávajících práv a povinností.
Mezi nové povinnosti patří:
1) Jmenování pověřence pro ochranu osobních údajů
Pověřenec dohlíží na soulad zpracování s Nařízením a radí správci ohledně různých skutečností spojených s ochranou osobních údajů. Pověřenec zároveň slouží jako kontaktní místo pro subjekty údajů a Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) ohledně záležitostí týkající se zpracování osobních údajů.
Pověřenec pro ochranu osobních údajů pro PNO: JUDr. Karel Kraus, tel.: +420 553 695 207, e-mail: zc.avaponp@suark
2) Povinnost vést záznamy o činnostech zpracování
Záznamy o činnostech zpracování představují do jisté míry náhradu za oznamovací povinnost, která byla Nařízením zrušena. Správce je povinen vést záznamy s určitými informacemi – čl. 30 Nařízení. Tyto záznamy následně umožní správci prokázat soulad zpracování s Nařízením.
3) Posouzení vlivu na ochranu osobních údajů, povinnost předchozí konzultace
Posouzení vlivu na ochranu osobních údajů musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob (subjektů údajů). V některých případech dojde správce v rámci provedeného posouzení vlivu na ochranu osobních údajů k závěru, že zamýšlené zpracování představuje vysoké riziko pro práva a svobody fyzických osob a toto riziko nemůže být vhodnými opatřeními s ohledem na dostupné technologie a náklady na provedení zmírněno. V takových případech správci vznikne povinnost zamýšlené zpracování konzultovat s ÚOOÚ.
4) Ohlašování případů porušení zabezpečení osobních údajů ÚOOÚ, oznamování případu porušení zabezpečení osobních údajů subjektu údajů
Porušením zabezpečení osobních údajů se rozumí porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Ohlášení je správce povinen provést bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.
Práva subjektu údajů
Subjekt údajů má právo na to být informován o zpracování jeho osobních údajů. Tím se rozumí právo na určité informace o zpracování jeho osobních údajů. Jde zejména o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o příjemcích osobních údajů. Mezi další práva subjektu údajů, která jsou mnohdy založena na aktivitě subjektu údajů, patří právo na přístup k osobním údajům, právo opravu, resp. doplnění, právo na výmaz, právo na omezení zpracování, právo na přenositelnost údajů, právo vznést námitku a právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování. Uplatnění jednotlivých práv závisí na právním titulu zpracování osobních údajů.
Vyřizování žádosti o informace
V PNO proběhl v letech 2017-2018 audit osobních údajů, při kterém se zjišťovalo, jaké osobní údaje se zde nacházejí a jak je s nimi nakládáno. Informace z auditu sloužily jako vstupní materiál pro zpracování Katalogu osobních údajů a Katalogu operací zpracování osobních údajů. Katalogy jsou přílohou Analýzy rizik. Výsledkem Analýzy rizik jsou různá technická a organizační opatření, která byla následně realizovaná v PNO.
Veškerá opatření zavedená pro soulad s Nařízením (dokumenty, procesy, informační systémy, nové technologie a postupy apod.) jsou pravidelně kontrolována a aktualizována. Každoročně je vypracován plán kontroly souladu s Nařízením. O každé provedené kontrole je proveden zápis. V rámci kontroly se posuzuje a zhodnocuje:
- nakládání s osobními údaji, především z hlediska jejich nezbytnosti a zabezpečení,
- riziko pro práci s osobními údaji a pravděpodobnost jejich výskytu,
- plnění povinnosti ve vztahu k subjektům údajů,
- plnění povinnosti ve vztahu k ÚOOÚ
a přijímají se vhodná technická a organizační opatření pro ochranu osobních údajů, pokud je to nutné.