Záznamy o činnostech zpracování
Kategorie a charakteristiky zpracování osobních údajů
Komentář
Jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů [článek 30 odst. 1 písm. a) GDPR]:
Jméno a kontaktní údaje správce:
Ortholeo s.r.o., se sídlem Piskáčkových 1024/3, Praha 9, 190 00, IČ: 09148701, ID datové schránky: f2yt2k;
Jméno a kontaktní údaje zástupce správce: MDDr. Leona Medůsková, jednatelka; tel.: +420 734 876 520; e-mail: recepce@ortholeo.cz;
Jméno a kontaktní údaje pověřence pro ochranu osobních údajů: pověřenec není jmenován.
Identifikace příslušných zpracování osobních údajů [článek 30 odst. 1 písm. b) GDPR]:
Vedení zdravotnické dokumentace pacientů
Evidence zaměstnanců
Evidence dodavatelů
Provoz společnosti, daně a účetnictví
Obchod a marketing
Proč (za jakým účelem) a na základě jakého právního titulu se osobní údaje v rámci zpracovávání zpracovávají [článek 30 odst. 1 písm. b) GDPR]?
Pacienti: smlouva o poskytování zdravotních a dalších služeb – plnění smlouvy, plnění právních povinností vyplývajících z příslušných právních předpisů (zejména předpisy o poskytování zdravotních služeb)
Zaměstnanci: pracovní smlouva, DPP, DPČ – plnění povinností vyplývajících ze smluv se zaměstnanci a z příslušných právních předpisů (zejména zákoník práce, zákon o zaměstnanosti a právní předpisy o sociálním a zdravotním pojištění)
Dodavatelé: smlouva o poskytování příslušných plnění dodávaných dodavatelem – plnění smlouvy, plnění povinností vyplývajících z příslušných právních předpisů (zejména daňové a účetní předpisy)
Návštěvníci internetových stránek: žádné osobní údaje nebudou shromažďovány (např. cookies)
Návštěvníci prostoru recepce a chodby v 1. podzemním podlaží: oprávněný zájem správce a dalších osob – ochrana práv správce a třetích osob
Jiné třetí osoby: oprávněný zájem správce – plnění smlouvy s pacientem; plnění právních povinností vyplývajících z předpisů upravujících poskytování zdravotních služeb; ochrana práv správce
Jaké osobní údaje jsou zpracovávány v rámci zpracování [článek 30 odst. 1 písm. c) GDPR]?
Pacienti: osobní jméno (popř. další jména) a příjmení (včetně rodného příjmení), pohlaví, akademický titul, datum narození, rodné číslo, státní příslušnost, údaje o zaměstnavateli a pracovním zařazení, údaje o zdravotním nebo cestovním pojištění, číslo průkazu totožnosti nebo cestovního dokladu (pacienti mimo systém veřejného zdravotního pojištění v ČR), údaje o vízech/povolení k pobytu na území ČR, kontaktní údaje (trvalý pobyt/bydliště/místo pobytu, telefonní číslo, e-mailová adresa, ID datové schránky), bankovní spojení, údaje o rodinných poměrech, údaje o zdravotním stavu (vyšetření, diagnózy, další údaje o průběhu a výsledku poskytování zdravotních služeb správcem nebo jiným poskytovatelem, včetně údajů o dalších významných okolnostech souvisejících se zdravotním stavem pacienta a s postupem při poskytování zdravotních služeb), údaje z anamnézy (rodinná, osobní, pracovní, sociální), případně i další údaje zdravotnické dokumentace dle příslušných právních předpisů; v souvislosti s poskytovanými zdravotními službami mohou být zpracovány osobní údaje obdobného rozsahu i o jiné osobě na základě informací sdělených pacientem nebo zjištěných při poskytování zdravotních služeb (např. údaje o příbuzných nebo jiných kontaktních osobách určených pacientem)
Zaměstnanci: osobní jméno (popř. další jména) a příjmení (včetně rodného příjmení), pohlaví, akademický titul, datum narození, rodné číslo, číslo pojištěnce veřejného zdravotního pojištění, kontaktní údaje (trvalý pobyt, bydliště, telefonní číslo, e-mailová adresa, ID datové schránky), evidence pracovní doby, bankovní spojení, údaje o dosaženém vzdělání a odborné kvalifikaci, údaje o manželovi/dětech, údaje o jiném zaměstnavateli a pracovním zařazení
Dodavatelé: osobní jméno (popř. další jména) a příjmení (včetně rodného příjmení), pohlaví, akademický titul, datum narození, IČO, DIČ, údaje o zápisu do veřejného nebo jiného seznamu/rejstříku, kontaktní údaje (trvalý pobyt, bydliště, telefonní číslo, e-mailová adresa, ID datové schránky), bankovní spojení, údaje o dosaženém vzdělání a odborné kvalifikaci
Návštěvníci prostoru recepce a chodby v 1. podzemním podlaží: podoba, lokalizační údaje (datum a čas výskytu v uvedených prostorách)
Jiné třetí osoby: osobní jméno (popř. další jména) a příjmení, akademický titul, datum narození, kontaktní údaje (trvalý pobyt, bydliště, telefonní číslo, e-mailová adresa, ID datové schránky), případně další (předem blíže neurčitelné) údaje nezbytné k dosažení účelu zpracování
Z jakých zdrojů jsou osobní údaje získány [článek 30 odst. 1 písm. c) GDPR]?
Pacienti: subjekty údajů, osoby v příbuzenském nebo obdobném poměru k subjektu údajů, svědci, orgány veřejné moci, zdravotní pojišťovny, veřejně dostupné seznamy a rejstříky
Zaměstnanci: subjekty údajů, osoby v příbuzenském nebo obdobném poměru k subjektu údajů, orgány veřejné moci, zdravotní pojišťovny
Dodavatelé: subjekty údajů, zaměstnanci nebo jiní pracovníci subjektu údajů, orgány veřejné moci, veřejně dostupné seznamy a rejstříky
Návštěvníci prostoru recepce a chodby v 1. podzemním podlaží: kamerový systém
Jiné třetí osoby: pacienti, subjekty údajů, orgány veřejné moci, svědci, veřejně dostupné seznamy a rejstříky
Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích:
- Společní správci navzájem
- Spolupracující lékaři a nelékařští pracovníci v rámci zdravotnického zařízení Ortholeo s.r.o.
- Zdravotní pojišťovny
- Daňoví poradci, účetní
- Právní poradci (advokáti)
- Dodavatelé služeb IT
- Jiní poskytovatelé zdravotních služeb v případech plynoucích z právních předpisů nebo uzavřených smluv
- Orgány veřejné moci v případech plynoucích z právních předpisů nebo uzavřených smluv
- Další osoby, je-li to nezbytné pro poskytnutí příslušné zdravotní služby
V rámci naší činnosti nepředáváme z vlastní iniciativy osobní údaje do třetí země nebo mezinárodním organizacím; výjimečně může k takovému předání dojít zejména ve vztahu ke zdravotnické dokumentaci, a to buď na základě povinnosti uložené právním předpisem, nebo na základě souhlasu či pokynu pacienta anebo jiné oprávněné osoby.
V jakém termínu a jak se osobní údaje likvidují [článek 30 odst. 1 písm. f) GDPR]?
Podle příslušných právních předpisů (předpisy o zdravotních službách, předpisy o účetnictví, pracovněprávní předpisy, předpisy o archivnictví apod.).
Záznamy z kamer se likvidují po 72 hodinách, nebyl-li v této lhůtě zjištěn důvod pro jejich použití; dojde-li k využití těchto záznamů, zlikvidují se až poté, co pomine důvod tohoto použití.
Jakým způsobem se osobní údaje aktualizují [článek 30 odst. 1 písm. g) GDPR]?
Informacemi od subjektů údajů, od třetích stran, případně pomocí veřejných zdrojů (internet, veřejné rejstříky…)
Které listinné a elektronické evidence (spisovny, archivy, IT systémy, datová úložiště) provádějí zpracování [článek 30 odst. 1 písm. g) GDPR]?
Pro komplexní vedení zdravotnické dokumentace používáme informační systém Stomasoft, který je provozován na hardwarovém vybavení dodavatele systému a my do něj přistupujeme prostřednictvím internetu (cloudové řešení). Jedná se o renomovaný a široce rozšířený informační systém pro zubní ordinace a dentální hygienu. Soulad systému Stomasoft s požadavky GDPR a náležitá úroveň zabezpečení dat jsou garantovány dodavatelem systému.
Vybrané elektronické dokumenty (e-mailová komunikace, RTG) mohou být ukládány též na pevných discích našich vlastních počítačů nacházejících se v prostorách našeho sídla nebo pod naší fyzickou kontrolou.
Případná listinná verze zdravotnické dokumentace (je-li takto vedena) a dalších spisů se skladuje v šanonech v jednotlivých kancelářích/ordinacích a v dalším k tomu určených prostorách.
Probíhá pravidelné bezpečnostní testování (zejm. IT systémy)? [článek 30 odst. 1 písm. g) GDPR].
Pravidelné interní testování procesů a systémů nejméně 1x za 12 měsíců.
Jak je zajištěna bezpečnost předání dat při komunikaci [článek 30 odst. 1 písm. g) GDPR]?
Podle konkrétních okolností a povahy předávaných dat doručujeme citlivé informace prostřednictvím osobního předání a v případě elektronické komunikace využíváme šifrování.
Podrobnosti jsou upraveny ve směrnici o nakládání s osobními údaji.
Jak je zajištěna bezpečnost sdílení dat s externími subjekty? Mají všichni externí dodavatelé, zpracovávající osobní údaje, uzavřené smlouvy o zpracování osobních údajů, poskytující odpovídající záruky ochrany [článek 30 odst. 1 písm. g) ve spojení s článkem 28 GDPR]?
Ano. Veškeré smlouvy s našimi externími dodavateli, u nichž dochází ke zpracování osobních údajů, obsahují ujednání nebo doložky zaručující potřebnou úroveň ochrany osobních údajů v souladu s GDPR.
Je zajištěna nevratná likvidace dat v rámci databázového systému [článek 30 odst. 1 písm. g) GDPR]?
Ano, data jsou likvidována, nejen deaktivována.
Je k dispozici procedura k určení práv subjektů údajů a jejich výkon s ohledem na jejich data, která jsou zpracovávána v rámci zpracování?
Každý subjekt údajů má možnost se na nás obrátit libovolným komunikačním kanálem a následně je zajištěno řádné zpracování jeho žádosti.
Podrobnosti jsou upraveny ve směrnici o nakládání s osobními údaji.
Poskytují se oprávněným subjektům údajů předepsané informace, zejména o:
rozsahu a účelu zpracování,
způsobu zpracování osobních dat,
komu mohou být osobní údaje zpřístupněny?
Ano, informace poskytujeme zejména následující formou:
na našich internetových stránkách;
osobně při prvním osobním jednání s příslušným subjektem údajů;
v odpovědích na žádosti subjektů údajů.
Zabraňují nasazené technické prostředky a uplatňovaná organizační opatření nahodilému anebo neoprávněnému přístupu k osobním údajům, jejich změně, zcizení, zneužití, zničení nebo ztrátě [článek 30 odst. 1 písm. g) GDPR]?
Ano, uplatňujeme zejména následující opatření:
- Je uplatňován přísný režim vstupu do prostor obsahujících osobní údaje (hlavní přístupová místa jsou kontinuálně monitorována kamerami a v pracovní době je zde obsazená recepce).
- Do místností, v nichž se nacházejí listinné spisy nebo jiné materiály s osobními údaji, mají přístup pouze příslušní pracovníci společných správců; případné třetí osoby se v těchto místech smějí pohybovat pouze výjimečně a pod dozorem příslušného pracovníka.
- Každý pracovník má přiděleny jeho vlastní přístupové údaje k prostředkům výpočetní techniky a k informačním systémům.
- Veškeré využívané programové vybavení představuje buď standardní a široce využívaný běžný software (produkty Microsoft apod.), nebo se jedná o speciální na míru vyvinuté aplikace přizpůsobené k zajištění maximální ochrany.
- IT systém je pravidelně testován a udržován externím dodavatelem, se kterým jsme uzavřeli smlouvu o zpracování osobních údajů.
Podrobnosti jsou upraveny ve směrnici o nakládání s osobními údaji.
Jsou zpracovávané osobní údaje přenášeny do zahraničí nebo jsou přístupné ze zahraničí [článek 30 odst. 1 písm. e) GDPR]?
Ano, výjimečně (předávání zdravotnické dokumentace v případech vyžadovaných právními předpisy, komunikace s poskytovatelem zdravotního/cestovního pojištění apod.).
Jsou pracovníci, mající přístup k osobním údajům v rámci zpracování osobních údajů, proškoleni? Mají tito pracovníci ve svých smlouvách sjednánu povinnost mlčenlivosti ve vztahu ke zpracovávaným osobním údajům [článek 30 odst. 1 písm. g) GDPR]?
Ano, proškolení probíhá při nástupu do zaměstnání a následně je znalost periodicky ověřována nejméně jednou za 12 měsíců.
Ano, pracovníci, mají v pracovních smlouvách nebo jiných smlouvách závazek mlčenlivosti.
V Praze dne 01.12.2020
