Kodex chování dle GDPR pro Zdravotnickou záchrannou službu Středočeského kraje, p.o.

Zdravotnická záchranná služba Středočeského kraje, p.o. (dále jen „ZZS SČK“, nebo „organizace“), jako poskytovatel zdravotních služeb podle zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování, ve znění pozdějších předpisů, a zákona č. 374/2011 Sb., o zdravotnické záchranné službě, ve znění pozdějších předpisů, je správcem osobních údajů. 

Rozsah a platnost

Kodex ochrany osobních údajů (dále jen „Kodex“) je zpracován v souladu s Nařízením Evropského parlamentu a rady 2106/79, tzv. GDPR. Kodex je závazný pro všechny zaměstnance ZZS SČK. Kodex upravuje zásady a požadavky na zpracování osobních údajů a je spravován a dohlížen ZZS SČK.

Shromažďování osobních údajů a jejich předávání orgánům veřejné správy bude vždy prováděno v souladu se závaznými právními předpisy ČR. Kodex nabývá platnost dnem vydání a doba platnosti je na dobu neurčitou.

ZZS SČK zajistí prokazatelné seznámení všech dotčených zaměstnanců ZZS SČK s Kodexem. Obsah Kodexu se bude měnit v návaznosti na změny legislativy EU a ČR. Všechny změny obsahu Kodexu budou publikovány a bude zajištěno, že se s nimi každý zaměstnanec prokazatelně seznámí. 

Subjektům údajů bude trvale umožněn snadný přístup k informacím, týkajícím se náležitého nakládání s jejich osobními údaji, např. prostřednictvím publikace tohoto Kodexu na internetových stránkách organizace. 

Přijetí Kodexu ZZS SČK je aktem dobrovolným, avšak s ohledem na specifika činnosti ZZS SČK jeho přijetí posiluje režim ochrany osobních údajů a je tak aktem nutným a žádoucím.

Definice pojmů

Automatizovaná individuální rozhodnutí jsou rozhodnutí, jež mají pro subjekt údajů právní důsledky či na něj mají významný vliv a jež jsou založena výhradně na automatizovaném zpracování údajů, jehož cílem je vyhodnocení určitých osobních aspektů subjektu údajů, např. jeho pracovní výkon, úvěrová způsobilost, spolehlivost, chování apod. 

Nakládání s osobními údaji je jakákoli operace či soubor operací prováděných s osobními údaji, jako je jejich shromažďování, zaznamenávání, organizace, ukládání, úpravy či změny, vyhledávání, konzultace, použití, zpřístupňování přenosem, šíření či poskytování jiným způsobem, seřazování či kombinování, blokování, mazání či likvidace. To zahrnuje i ruční zpracování osobních údajů ve strukturovaných složkách. 

Osobní údaje jsou veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě (subjektu údajů); identifikovatelná osoba znamená osobu, kterou lze přímo či nepřímo identifikovat, zejména pak pomocí identifikačního čísla či jednoho či více faktorů specifických pro její fyzickou, fyziologickou, mentální, ekonomickou, kulturní či sociální identitu. 

Příjemce je jakákoli fyzická či právnická osoba, orgán veřejné správy, agentura či jakýkoli jiný subjekt, jemuž jsou údaje zpřístupněny, ať již jde o třetí stranu či nikoli. Orgány veřejné správy, které mohou údaje případně obdržet v rámci jednotlivého dotazu, však nejsou za příjemce považovány.

Společnost (organizace) je každý subjekt, který se řídí tímto Kodexem.

Správce údajů je společnost, která sama či společně s dalšími společnostmi určuje účel a prostředky zpracování osobních údajů. 

Subjekt údajů je jakákoli fyzická osoba, s jejímiž osobními údaji Společnost nakládá. 

Zpracovatel údajů je jakákoli fyzická či právnická osoba, orgán veřejné správy, agentura či jakýkoli jiný subjekt zpracovávající osobní údaje jménem správce údajů (zpracování údajů prostřednictvím subdodavatele). 

Zvláštní kategorie údajů jsou údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském či filozofickém přesvědčení, členství v odborech nebo o zdraví či sexuálním životě. 

Třetí strana je jiná osoba či subjekt, než je správce údajů. Mezi třetí strany nepatří subjekty údajů ani osoby či subjekty, které mají povinnost shromažďovat, zpracovávat či využívat osobní údaje v ČR, jiném členském státu Evropské unie či jiném státu, jenž uzavřel Dohodu o evropském hospodářském prostoru. 

Obsah a forma informací

Subjektům údajů musí být adekvátním způsobem poskytnuty následující informace:

  1. informace o identitě správce údajů a kontakt na něj;
  2. informace o zamýšleném rozsahu a účelu shromažďování, zpracování a případně použití osobních údajů; tyto informace by měly zahrnovat bližší určení toho, jaké údaje se zaznamenávají, příp. zpracovávají/používají, proč, za jakým účelem a na jakou dobu;
  3. informace o příjemci, rozsahu a účelu (účelech) předání v případě, že jsou osobní údaje předávány třetím stranám;
  4. informace o způsobu zpracování, příp. použití údajů;
  5. informace o zákonných právech subjektů údajů.

Bez ohledu na zvolené médium by měly být tyto informace subjektům údajů poskytnuty v jasné a snadno srozumitelné formě.

Dostupnost informací

Výše uvedené informace musí být subjektům údajů poskytnuty při jejich prvním shromáždění a následně při každém dalším vyžádání. Není-li shromáždění, zpracování či použití údajů nutné pro účely zahájení či plnění smluvního vztahu či neexistuje-li k tomu žádné jiné oprávnění ze zákona, je nutné získat souhlas subjektu údajů, a to nejpozději při zahájení shromažďování, zpracování či používání údajů.

Kromě výše uvedených informačních povinností je třeba dodržovat následující požadavky na souhlas subjektů údajů:

  • obsah souhlasu – musí jít o souhlas výslovný, dobrovolný a informovaný, tak, aby bylo subjektu údajů zejména zřejmé, v jakém rozsahu souhlas poskytuje a jaké jsou důsledky jeho neposkytnutí. Znění prohlášení o souhlasu musí být dostatečně přesné a musí subjekt údajů informovat o jeho právu vzít tento souhlas kdykoli zpět.
  • forma souhlasu  – souhlas musí být získán v podobě adekvátní okolnostem (obvykle v podobě písemné či elektronické); ve výjimečných případech může jít o souhlas ústní, pokud je dostatečně doloženo jeho poskytnutí a okolnosti, z nichž vyplývá, že ústní souhlas je postačující. 

Osobní údaje nesmí být použity za jiným účelem než za účelem, k němuž byly původně poskytnuty.

Použití služeb či získání produktů, popř. služeb nesmí být podmíněno souhlasem subjektů údajů s použitím jejich údajů pro jiné účely, než je zahájení či plnění smluvního vztahu. To platí pouze tehdy, nemohou-li, či nemohou-li z rozumného hlediska, subjekty údajů využívat srovnatelné služby či srovnatelné produkty.

Souhlas se zpracováním osobních údajů je odvolatelný. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.

ZZS SČK stanovilo režim pro výše uvedené situace shromažďování osobních údajů zvláštními interními předpisy a metodikou – viz www.zachranka.cz.

Zvláštní případy zpracování údajů

Nařízení definuje zvláštní případy zpracování osobních údajů:

a) přímý marketing

b) automatizované individuální rozhodnutí

c) zpracování zvláštní kategorie osobních údajů

Organizace nezpracovává zvláštní kategorie údajů dle písmena a) a b). Organizace zpracovává pouze zvláštní kategorie osobních údajů dle písmena c).

Pro nakládání s osobními údaji zvláštní kategorie dle písmena c) je nutné výslovné oprávnění na právním základě či předchozí souhlas subjektu údajů, popř. Jeho nahrazení na základě zvláštního právního předpisu (zákon o zdravotních službách apod.). Nakládání s osobními údaji zvláštní kategorie je rovněž dovoleno, je-li nutné pro zpracování údajů za účelem naplnění práv a splnění povinností příslušného subjektu v oblasti pracovního práva, dovoluje-li to právo daného státu poskytující příslušné záruky.

Před zahájením shromažďování, zpracovávání či využívání takovýchto údajů je ve všech potřebných případech nutná konzultace se zaměstnancem organizace odpovědným za ochranu údajů. Musí být řádně zohledněna povaha, rozsah, účel, nutnost a právní podklad použití údajů.

Kvalita a přiměřenost osobních údajů

Osobní údaje musí být vždy správné, přesné a v potřebných případech musejí být průběžně aktualizovány (kvalita údajů).

S ohledem na účel, za nímž jsou údaje shromažďovány, zpracovávány či využívány, jsou přijímána odpovídající opatření, aby bylo zajištěno vymazání či případně oprava jakýchkoli nesprávných či neúplných informací.

Osobní údaje musí být s ohledem na jejich použití pro konkrétní účel přiměřené, relevantní a musí mít odpovídající rozsah (přiměřenost). V rámci konkrétního využití smí být údaje zpracovávány pouze tehdy, je-li to nutné (zpracování údajů pouze v nutných případech).

V případech, kdy je to možné a ekonomické, je třeba aplikovat procesy pro vymazání identifikačních znaků subjektů údajů (anonymizace) či jejich nahrazení jinými charakteristikami (využití pseudonymů). Při anonymizaci a využití pseudonymů je třeba postupovat tak, aby nebylo možné zjistit původní identitu subjektů údajů anebo aby to bylo možné pouze při vynaložení neúměrně velkého úsilí. 

Ze strany ZZS SČK jsou aplikována organizační, právní a technická opatření s cílem zamezit zjištění profilů (např. profily pohybu, uživatelské profily, profily spotřeby). Výjimku tvoří případy, kdy to výslovně právní předpisy umožňují či kdy k tomu subjekt údajů poskytl předchozí souhlas v adekvátní formě.

Nakládání s osobními údaji zvláštní kategorie je rovněž dovoleno, je-li nutné pro zpracování údajů za účelem naplnění práv a splnění povinností příslušného subjektu v oblasti pracovního práva.

Archivace osobních údajů

Při vytváření pravidel pro archivaci údajů v režimu zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů, se zohledňují principy zpracování údajů, zejména pak princip přiměřenosti a princip zpracování údajů pouze v nutných případech. Osobní údaje nelze archivovat bez výslovného souhlasu subjektu údajů, s výjimkou případů, kdy je to nutné z provozních důvodů či je to požadováno zákonem. Archivace zdravotnické dokumentace se řídí zvláštním právním předpisem.

Omezení distribuce osobních údajů

Předávání jakýchkoliv osobních údajů třetím stranám je možné pouze na právním základě, například v případech, kdy je to nutné pro splnění smluvního požadavku vůči subjektu údajů či kdy k tomu subjekt údajů poskytl svůj souhlas.

Toto se nevztahuje na případy upravené zvláštními právními předpisy (např. trestní řád apod.), kdy existují národní omezení, zejména z důvodů bezpečnosti státu, národní obrany, veřejného pořádku či prevence, vyšetřování, odhalování a stíhání trestných činů, požadující předávání osobních údajů pro tyto účely.

Odpovědnost

V souladu se všeobecně akceptovanými standardy jsou vždy přijímána příslušná technická a organizační opatření pro zajištění integrity a bezpečnosti údajů během jejich předávání třetí straně. Vedení ZZS SČK jmenuje osobu odpovědnou za ochranu údajů (Data Protection Officer), jejímž úkolem je zajistit prokazatelné poučení zaměstnanců o zákonných požadavcích a/nebo interních požadavcích a o strategii ochrany údajů a soukromí. Mezi další pracovní povinnosti odpovědné osoby patří komunikace se subjekty údajů a s dozorovým úřadem, zvyšování kultury ochrany osobních údajů v organizaci a zejména spolupráce s vedením organizace na ochraně osobních údajů.

Ochrana osobních údajů v rámci organizace

V rámci průběžného monitoringu souladu s GDPR a koncepcemi organizace je prováděna kontrola úrovně ochrany osobních údajů prověřováním nastavení technického zabezpečení u elektronického úložiště osobních údajů, fyzickou kontrolou jednotlivých pracovišť včetně poskytování informací a poradenství, a to za účelem přezkoumání efektivity a úspěšnosti implementovaných technických a organizačních opatření pro ochranu osobních údajů napříč organizací. Takovýto monitoring a prověřování může interně provádět osoba odpovědná za ochranu osobních údajů.

Za účelem objektivního ujištění a posouzení souladu implementace požadavků s GDPR v organizaci bude na základě schválení správce proveden jedenkrát v roce externí audit. 

Technická a organizační opatření ve vztahu k zaměstnancům organizace

Při započetí pracovně-právního vztahu musí být se zaměstnanci v rámci pracovní smlouvy, DPP či DPČ písemně sjednány závazky související se zachováním mlčenlivosti. Kromě toho musí být stanovena příslušná technická a organizační opatření pro nakládání s údaji v souvislosti s procesy v rámci organizace a IT systémy. V rámci takovýchto opatření je:

  1. zamezeno přístupu neoprávněných osob k systémům pro zpracování údajů, v rámci, nichž jsou zpracovávány či využívány osobní údaje (regulace fyzického přístupu);
  2. zajištěno, aby neoprávněné osoby nemohly systémy pro zpracování údajů používat (regulace používání datových systémů);
  3. zajištěno, aby osoby oprávněné k používání systému pro zpracování údajů měly přístup výhradně k údajům, k nimž jsou oprávněny přistupovat, a aby neoprávněné osoby nemohly osobní údaje během zpracovávání či používání či po jejich zaznamenání číst, kopírovat měnit ani mazat (regulace přístupu k údajům);
  4. zajištěno, aby v průběhu elektronického přenosu či předávání či nahrávání údajů na datový nosič nemohly neoprávněné osoby osobní údaje číst, kopírovat, měnit ani mazat a aby bylo možné prozkoumat a stanovit, v jakých případech mají být údaje přenášeny prostředky pro přenos dat (regulace přenosu dat);
  5. zajištěno, aby bylo možné zpětně přezkoumat a zjistit, zda a kým byly osobní údaje do systémů pro zpracovávání údajů zadány, v těchto systémech změněny či z nich odstraněny (kontrola zadávání údajů);
  6. zajištěno, aby osobní údaje zpracovávané subdodavateli byly zpracovávány pouze v souladu s pokyny objednatele (kontrola subdodavatele);
  7. zajištěna ochrana osobních údajů proti náhodnému zničení či ztrátě (zajištění dostupnosti údajů);
  8. zajištěno, aby údaje shromážděné pro různé účely byly zpracovávány odděleně (pravidlo odděleného zpracování údajů). 

Práva subjektů údajů

Každý subjekt údajů je oprávněn kontaktovat zaměstnance organizace odpovědného za ochranu údajů s dotazy a stížnostmi v souvislosti s aplikací tohoto Kodexu.

Pro zjednodušení kontaktu je určeno jediné kontaktní místo:

e-mail:michaela.novakova@zachranka.cz, tel.: 312 256 645

Každý subjekt údajů je oprávněn si kdykoliv od organizace vyžádat informace týkající se:

a) osobních údajů u ní uložených, včetně jejich původu a příjemce (příjemců),

b) jejich zpracování či použití,

c) osob a oddělení, kterým jsou jeho údaje standardně předávány, zejména v případě jejich předávání do zahraničí,

d) ustanovení tohoto Kodexu,

Tyto informace musí být příslušnému subjektu údajů, který o ně projeví zájem, sděleny ve srozumitelné podobě a v přiměřené časové lhůtě a měly by mu být poskytnuty v písemné či elektronické podobě. Pokud je k tomu oprávněn, může příslušný subjekt údajů vznést vůči organizaci námitku proti použití jeho údajů. Toto právo na vznesení námitky se vztahuje i na případy, kdy subjekt údajů s použitím svých údajů dříve souhlasil. Oprávněné žádosti o výmaz či blokování údajů budou bez zbytečného odkladu kladně vyřízeny. Takovéto žádosti jsou oprávněné zejména tehdy, pominou-li právní důvody pro použití údajů. Má-li subjekt údajů na výmaz údajů právo, ale není-li výmaz možný nebo není možný při vynaložení přiměřeného úsilí, budou údaje chráněny proti nepovolenému užití blokováním. Zákonné lhůty pro uchování údajů musí být dodržovány. Subjekt údajů může kdykoli požádat, aby organizace opravila jeho osobní údaje zaznamenané organizací v případě, že tyto údaje jsou neúplné a/nebo nesprávné. V případě tvrzení subjektu údajů, že byla porušena jeho práva v důsledku nezákonného zpracování údajů, zejména pak v případě porušení tohoto Kodexu, objasní organizace bez zbytečného odkladu okolnosti případu. Subjekt údajů je oprávněn se se svými nároky obrátit na Úřad pro ochranu osobních údajů se sídlem v Brně.

Zaměstnanec organizace odpovědný za ochranu údajů koordinuje veškerou příslušnou korespondenci se subjektem údajů. 

Řízení procesu ochrany údajů

Organizace má ve své funkci správce údajů povinnost zajišťovat dodržování požadavků na ochranu údajů a ustanovení tohoto Kodexu, a to zejména ve vztahu k subjektům údajů.

Zaměstnanec organizace odpovědný za ochranu údajů bude vždy bezodkladně informován o jakémkoli porušení (včetně podezření) předpisů o ochraně údajů a ustanovení tohoto Kodexu. 

Osoba odpovědná za ochranu údajů je povinna sledovat, zda jsou dodržovány národní a mezinárodní předpisy upravující ochranu údajů a tento Kodex. V tomto ohledu jsou vedoucí pracovníci organizace povinni informovat příslušnou osobu odpovědnou za ochranu údajů o příslušném vývoji a plánech do budoucna.

Nebudou-li tomu bránit právní překážky, je osoba odpovědná za ochranu údajů oprávněna přímo na místě přezkoumat veškeré mechanizmy pro zpracování dat, při nichž jsou využívány osobní údaje.

Organizace se zavazuje, že bez zbytečného odkladu (nejdéle do jednoho měsíce) a v přiměřeném rozsahu zodpoví dotazy příslušnému orgánu veřejné správy, který je za ně odpovědný či který je případně odpovědný za organizaci předávající údaje, a že se bude řídit doporučeními tohoto orgánu. V případě změny legislativy vztahující se na organizaci, jež by mohla mít zásadně negativní vliv na záruky poskytované tímto Kodexem, oznámí organizace změnu příslušnému orgánu veřejné správy. 

Platnost a účinnost

Tento Kodex nabývá platnosti a účinnosti dnem vydání a vydává se na dobu neurčitou.

MUDr. Jiří Knor, Ph.D.
ředitel ZZS SČK, příspěvková organizace