Zásady zpracování osobních údajů

1. Správce osobních údajů

Správcem osobních údajů ve smyslu čl. 4 odst. 7 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR“) je:
DNA Pharma Consulting s.r.o.
IČO: 23616121
sídlo: 9. května 807, 742 83 Klimkovice
(dále jen „správce“)
Správce je poskytovatelem zdravotních služeb ve smyslu příslušných právních předpisů České republiky.

2. Legislativní rámec zpracování osobních údajů

Zpracování osobních údajů probíhá zejména v souladu s následujícími právními předpisy:

2.1 Evropské právo

  • Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR)

2.2 Česká právní úprava

  • zákon č. 110/2019 Sb., o zpracování osobních údajů
  • zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování
  • vyhláška č. 98/2012 Sb., o zdravotnické dokumentaci
  • zákon č. 373/2011 Sb., o specifických zdravotních službách
  • zákon č. 378/2007 Sb., o léčivech
  • zákon č. 48/1997 Sb., o veřejném zdravotním pojištění
  • zákon č. 258/2000 Sb., o ochraně veřejného zdraví

Tyto právní předpisy upravují zejména poskytování zdravotních služeb, vedení zdravotnické dokumentace a práva a povinnosti pacientů i poskytovatelů .

Zákon č. 372/2011 Sb. stanoví mimo jiné podmínky poskytování zdravotních služeb, práva pacientů a povinnosti poskytovatelů zdravotní péče .

3. Kategorie zpracovávaných osobních údajů

3.1 Běžné osobní údaje

  • identifikační údaje
  • kontaktní údaje

3.2 Zvláštní kategorie osobních údajů dle čl. 9 GDPR

  • údaje o zdravotním stavu
  • anamnéza a diagnózy
  • údaje o medikaci
  • laboratorní výsledky
  • genetické a farmakogenetické údaje

Tyto údaje podléhají zvýšené ochraně a jsou zpracovávány pouze v nezbytném rozsahu.

4. Účely a právní základy zpracování

Osobní údaje jsou zpracovávány zejména za účelem:

  • poskytování zdravotních služeb
  • vedení zdravotnické dokumentace
  • organizace zdravotní péče
  • plnění zákonných povinností

Právní základy zpracování:

  • čl. 6 odst. 1 písm. b) GDPR (plnění smlouvy)
  • čl. 6 odst. 1 písm. c) GDPR (právní povinnost)
  • čl. 9 odst. 2 písm. h) GDPR (poskytování zdravotní péče)
  • čl. 9 odst. 2 písm. a) GDPR (výslovný souhlas)

Zpracování údajů o zdravotním stavu je nezbytné pro poskytování zdravotních služeb a vyplývá rovněž ze zákonných povinností poskytovatele.

5. Zásady zpracování

Správce dodržuje zásady dle čl. 5 GDPR:

  • zákonnost, korektnost a transparentnost
  • účelové omezení
  • minimalizace údajů
  • přesnost
  • omezení uložení
  • integrita a důvěrnost
  • odpovědnost

6. Příjemci osobních údajů

Osobní údaje mohou být zpřístupněny:

  • zdravotnickým pracovníkům
  • smluvním laboratořím
  • zpracovatelům dle čl. 28 GDPR
  • orgánům veřejné moci

Rozsah předávání odpovídá požadavkům právních předpisů a zásadě minimalizace.

7. Předávání do třetích zemí

K předávání osobních údajů mimo EU dochází pouze v odůvodněných případech a za podmínek stanovených kapitolou V GDPR.

8. Doba uchování osobních údajů

Osobní údaje jsou uchovávány:

  • po dobu stanovenou právními předpisy (zejména zdravotnická dokumentace)
  • po dobu trvání smluvního vztahu
  • po dobu nezbytnou pro ochranu právních nároků

9. Technická a organizační opatření

Správce implementoval opatření dle čl. 32 GDPR:

  • šifrování a pseudonymizace
  • řízení přístupových práv
  • logování přístupů
  • pravidelné audity a testování

Zvláštní režim ochrany je uplatňován u genetických a zdravotních údajů.

10. Záznamy o činnostech zpracování (čl. 30 GDPR)

Správce vede záznamy o činnostech zpracování, které obsahují:

  • účely zpracování
  • kategorie údajů a subjektů údajů
  • příjemce údajů
  • lhůty pro výmaz
  • bezpečnostní opatření

Záznamy jsou vedeny v souladu s GDPR a jsou k dispozici dozorovým orgánům.

11. Posouzení vlivu na ochranu osobních údajů (DPIA)

S ohledem na rozsah a povahu zpracování zvláštních kategorií osobních údajů správce provádí posouzení vlivu na ochranu osobních údajů dle čl. 35 GDPR, zejména u genetických a farmakogenetických dat.

12. Pověřenec pro ochranu osobních údajů (DPO)

Správce jmenoval pověřence dle čl. 37 GDPR: PharmDr. Lucie Štěpjáková, MBA

Pověřenec:

  • monitoruje soulad s právními předpisy
  • poskytuje poradenství
  • spolupracuje s dozorovým orgánem
  • je kontaktním místem pro subjekty údajů

13. Práva subjektů údajů

Subjekt údajů má práva dle čl. 15–22 GDPR:

  • právo na přístup
  • právo na opravu
  • právo na výmaz
  • právo na omezení zpracování
  • právo na přenositelnost
  • právo vznést námitku

Dále má právo podat stížnost u Úřadu pro ochranu osobních údajů.

14. Závěrečná ustanovení

Tyto zásady reflektují právní a regulatorní požadavky na zpracování osobních údajů ve zdravotnictví.
Správce pravidelně přezkoumává jejich aktuálnost a soulad s právními předpisy.