Záznamy o činnostech zpracování

Kategorie a charakteristiky zpracování osobních údajů

Komentář

Jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů [článek 30 odst. 1 písm. a) GDPR]:

Jméno a kontaktní údaje správce:

Ortholeo s.r.o., se sídlem Piskáčkových 1024/3, Praha 9, 190 00, IČ: 09148701, ID datové schránky: f2yt2k;

Jméno a kontaktní údaje zástupce správce: MDDr. Leona Medůsková, jednatelka; tel.: +420 734 876 520; e-mail: recepce@ortholeo.cz;

Jméno a kontaktní údaje pověřence pro ochranu osobních údajů: pověřenec není jmenován.

Identifikace příslušných zpracování osobních údajů [článek 30 odst. 1 písm. b) GDPR]:

Vedení zdravotnické dokumentace pacientů 

Evidence zaměstnanců 

Evidence dodavatelů 

Provoz společnosti, daně a účetnictví 

Obchod a marketing 

Proč (za jakým účelem) a na základě jakého právního titulu se osobní údaje v rámci zpracovávání zpracovávají [článek 30 odst. 1 písm. b) GDPR]?

Pacienti: smlouva o poskytování zdravotních a dalších služeb – plnění smlouvy, plnění právních povinností vyplývajících z příslušných právních předpisů (zejména předpisy o poskytování zdravotních služeb) 

Zaměstnanci: pracovní smlouva, DPP, DPČ – plnění povinností vyplývajících ze smluv se zaměstnanci a z příslušných právních předpisů (zejména zákoník práce, zákon o zaměstnanosti a právní předpisy o sociálním a zdravotním pojištění) 

Dodavatelé: smlouva o poskytování příslušných plnění dodávaných dodavatelem – plnění smlouvy, plnění povinností vyplývajících z příslušných právních předpisů (zejména daňové a účetní předpisy) 

Návštěvníci internetových stránek: žádné osobní údaje nebudou shromažďovány (např. cookies) 

Návštěvníci prostoru recepce a chodby v 1. podzemním podlaží: oprávněný zájem správce a dalších osob – ochrana práv správce a třetích osob 

Jiné třetí osoby: oprávněný zájem správce – plnění smlouvy s pacientem; plnění právních povinností vyplývajících z předpisů upravujících poskytování zdravotních služeb; ochrana práv správce 

Jaké osobní údaje jsou zpracovávány v rámci zpracování [článek 30 odst. 1 písm. c) GDPR]?

Pacienti: osobní jméno (popř. další jména) a příjmení (včetně rodného příjmení), pohlaví, akademický titul, datum narození, rodné číslo, státní příslušnost, údaje o zaměstnavateli a pracovním zařazení, údaje o zdravotním nebo cestovním pojištění, číslo průkazu totožnosti nebo cestovního dokladu (pacienti mimo systém veřejného zdravotního pojištění v ČR), údaje o vízech/povolení k pobytu na území ČR, kontaktní údaje (trvalý pobyt/bydliště/místo pobytu, telefonní číslo, e-mailová adresa, ID datové schránky), bankovní spojení, údaje o rodinných poměrech, údaje o zdravotním stavu (vyšetření, diagnózy, další údaje o průběhu a výsledku poskytování zdravotních služeb správcem nebo jiným poskytovatelem, včetně údajů o dalších významných okolnostech souvisejících se zdravotním stavem pacienta a s postupem při poskytování zdravotních služeb), údaje z anamnézy (rodinná, osobní, pracovní, sociální), případně i další údaje zdravotnické dokumentace dle příslušných právních předpisů; v souvislosti s poskytovanými zdravotními službami mohou být zpracovány osobní údaje obdobného rozsahu i o jiné osobě na základě informací sdělených pacientem nebo zjištěných při poskytování zdravotních služeb (např. údaje o příbuzných nebo jiných kontaktních osobách určených pacientem)

Zaměstnanci: osobní jméno (popř. další jména) a příjmení (včetně rodného příjmení), pohlaví, akademický titul, datum narození, rodné číslo, číslo pojištěnce veřejného zdravotního pojištění, kontaktní údaje (trvalý pobyt, bydliště, telefonní číslo, e-mailová adresa, ID datové schránky), evidence pracovní doby, bankovní spojení, údaje o dosaženém vzdělání a odborné kvalifikaci, údaje o manželovi/dětech, údaje o jiném zaměstnavateli a pracovním zařazení

Dodavatelé: osobní jméno (popř. další jména) a příjmení (včetně rodného příjmení), pohlaví, akademický titul, datum narození, IČO, DIČ, údaje o zápisu do veřejného nebo jiného seznamu/rejstříku, kontaktní údaje (trvalý pobyt, bydliště, telefonní číslo, e-mailová adresa, ID datové schránky), bankovní spojení, údaje o dosaženém vzdělání a odborné kvalifikaci

Návštěvníci prostoru recepce a chodby v 1. podzemním podlaží: podoba, lokalizační údaje (datum a čas výskytu v uvedených prostorách)

Jiné třetí osoby: osobní jméno (popř. další jména) a příjmení, akademický titul, datum narození, kontaktní údaje (trvalý pobyt, bydliště, telefonní číslo, e-mailová adresa, ID datové schránky), případně další (předem blíže neurčitelné) údaje nezbytné k dosažení účelu zpracování

Z jakých zdrojů jsou osobní údaje získány [článek 30 odst. 1 písm. c) GDPR]?

Pacienti: subjekty údajů, osoby v příbuzenském nebo obdobném poměru k subjektu údajů, svědci, orgány veřejné moci, zdravotní pojišťovny, veřejně dostupné seznamy a rejstříky

Zaměstnanci: subjekty údajů, osoby v příbuzenském nebo obdobném poměru k subjektu údajů, orgány veřejné moci, zdravotní pojišťovny

Dodavatelé: subjekty údajů, zaměstnanci nebo jiní pracovníci subjektu údajů, orgány veřejné moci, veřejně dostupné seznamy a rejstříky

Návštěvníci prostoru recepce a chodby v 1. podzemním podlaží: kamerový systém

Jiné třetí osoby: pacienti, subjekty údajů, orgány veřejné moci, svědci, veřejně dostupné seznamy a rejstříky

Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích:

  • Společní správci navzájem 
  • Spolupracující lékaři a nelékařští pracovníci v rámci zdravotnického zařízení Ortholeo s.r.o. 
  • Zdravotní pojišťovny 
  • Daňoví poradci, účetní 
  • Právní poradci (advokáti) 
  • Dodavatelé služeb IT 
  • Jiní poskytovatelé zdravotních služeb v případech plynoucích z právních předpisů nebo uzavřených smluv 
  • Orgány veřejné moci v případech plynoucích z právních předpisů nebo uzavřených smluv 
  • Další osoby, je-li to nezbytné pro poskytnutí příslušné zdravotní služby 

V rámci naší činnosti nepředáváme z vlastní iniciativy osobní údaje do třetí země nebo mezinárodním organizacím; výjimečně může k takovému předání dojít zejména ve vztahu ke zdravotnické dokumentaci, a to buď na základě povinnosti uložené právním předpisem, nebo na základě souhlasu či pokynu pacienta anebo jiné oprávněné osoby. 

V jakém termínu a jak se osobní údaje likvidují [článek 30 odst. 1 písm. f) GDPR]?

Podle příslušných právních předpisů (předpisy o zdravotních službách, předpisy o účetnictví, pracovněprávní předpisy, předpisy o archivnictví apod.).

Záznamy z kamer se likvidují po 72 hodinách, nebyl-li v této lhůtě zjištěn důvod pro jejich použití; dojde-li k využití těchto záznamů, zlikvidují se až poté, co pomine důvod tohoto použití.

Jakým způsobem se osobní údaje aktualizují [článek 30 odst. 1 písm. g) GDPR]?

Informacemi od subjektů údajů, od třetích stran, případně pomocí veřejných zdrojů (internet, veřejné rejstříky…)

Které listinné a elektronické evidence (spisovny, archivy, IT systémy, datová úložiště) provádějí zpracování [článek 30 odst. 1 písm. g) GDPR]?

Pro komplexní vedení zdravotnické dokumentace používáme informační systém Stomasoft, který je provozován na hardwarovém vybavení dodavatele systému a my do něj přistupujeme prostřednictvím internetu (cloudové řešení). Jedná se o renomovaný a široce rozšířený informační systém pro zubní ordinace a dentální hygienu. Soulad systému Stomasoft s požadavky GDPR a náležitá úroveň zabezpečení dat jsou garantovány dodavatelem systému.

Vybrané elektronické dokumenty (e-mailová komunikace, RTG) mohou být ukládány též na pevných discích našich vlastních počítačů nacházejících se v prostorách našeho sídla nebo pod naší fyzickou kontrolou.

Případná listinná verze zdravotnické dokumentace (je-li takto vedena) a dalších spisů se skladuje v šanonech v jednotlivých kancelářích/ordinacích a v dalším k tomu určených prostorách.

Probíhá pravidelné bezpečnostní testování (zejm. IT systémy)? [článek 30 odst. 1 písm. g) GDPR].

Pravidelné interní testování procesů a systémů nejméně 1x za 12 měsíců.

Jak je zajištěna bezpečnost předání dat při komunikaci [článek 30 odst. 1 písm. g) GDPR]?

Podle konkrétních okolností a povahy předávaných dat doručujeme citlivé informace prostřednictvím osobního předání a v případě elektronické komunikace využíváme šifrování.

Podrobnosti jsou upraveny ve směrnici o nakládání s osobními údaji.

Jak je zajištěna bezpečnost sdílení dat s externími subjekty? Mají všichni externí dodavatelé, zpracovávající osobní údaje, uzavřené smlouvy o zpracování osobních údajů, poskytující odpovídající záruky ochrany [článek 30 odst. 1 písm. g) ve spojení s článkem 28 GDPR]? 

Ano. Veškeré smlouvy s našimi externími dodavateli, u nichž dochází ke zpracování osobních údajů, obsahují ujednání nebo doložky zaručující potřebnou úroveň ochrany osobních údajů v souladu s GDPR.

Je zajištěna nevratná likvidace dat v rámci databázového systému [článek 30 odst. 1 písm. g) GDPR]?

Ano, data jsou likvidována, nejen deaktivována.

Je k dispozici procedura k určení práv subjektů údajů a jejich výkon s ohledem na jejich data, která jsou zpracovávána v rámci zpracování?

Každý subjekt údajů má možnost se na nás obrátit libovolným komunikačním kanálem a následně je zajištěno řádné zpracování jeho žádosti.

Podrobnosti jsou upraveny ve směrnici o nakládání s osobními údaji.

Poskytují se oprávněným subjektům údajů předepsané informace, zejména o:

rozsahu a účelu zpracování,

způsobu zpracování osobních dat,

komu mohou být osobní údaje zpřístupněny?

Ano, informace poskytujeme zejména následující formou:

na našich internetových stránkách;

osobně při prvním osobním jednání s příslušným subjektem údajů;

v odpovědích na žádosti subjektů údajů.

Zabraňují nasazené technické prostředky a uplatňovaná organizační opatření nahodilému anebo neoprávněnému přístupu k osobním údajům, jejich změně, zcizení, zneužití, zničení nebo ztrátě [článek 30 odst. 1 písm. g) GDPR]?

Ano, uplatňujeme zejména následující opatření: 

  • Je uplatňován přísný režim vstupu do prostor obsahujících osobní údaje (hlavní přístupová místa jsou kontinuálně monitorována kamerami a v pracovní době je zde obsazená recepce). 
  • Do místností, v nichž se nacházejí listinné spisy nebo jiné materiály s osobními údaji, mají přístup pouze příslušní pracovníci společných správců; případné třetí osoby se v těchto místech smějí pohybovat pouze výjimečně a pod dozorem příslušného pracovníka. 
  • Každý pracovník má přiděleny jeho vlastní přístupové údaje k prostředkům výpočetní techniky a k informačním systémům. 
  • Veškeré využívané programové vybavení představuje buď standardní a široce využívaný běžný software (produkty Microsoft apod.), nebo se jedná o speciální na míru vyvinuté aplikace přizpůsobené k zajištění maximální ochrany. 
  • IT systém je pravidelně testován a udržován externím dodavatelem, se kterým jsme uzavřeli smlouvu o zpracování osobních údajů 

Podrobnosti jsou upraveny ve směrnici o nakládání s osobními údaji.

Jsou zpracovávané osobní údaje přenášeny do zahraničí nebo jsou přístupné ze zahraničí [článek 30 odst. 1 písm. e) GDPR]?

Ano, výjimečně (předávání zdravotnické dokumentace v případech vyžadovaných právními předpisy, komunikace s poskytovatelem zdravotního/cestovního pojištění apod.).

Jsou pracovníci, mající přístup k osobním údajům v rámci zpracování osobních údajů, proškoleni? Mají tito pracovníci ve svých smlouvách sjednánu povinnost mlčenlivosti ve vztahu ke zpracovávaným osobním údajům [článek 30 odst. 1 písm. g) GDPR]?

Ano, proškolení probíhá při nástupu do zaměstnání a následně je znalost periodicky ověřována nejméně jednou za 12 měsíců.

Ano, pracovníci, mají v pracovních smlouvách nebo jiných smlouvách závazek mlčenlivosti.

 

V Praze dne 01.12.2020

 

Přejeme Vám krásné prožití Vánoc a pohodový vstup do nového roku! 

V naší ordinaci se na pacienty budeme opět těšit 2. ledna 2025.

V případě potíží prosíme použijte primárně vosk na rovnátka, který máte od nás. Akutní případy (bolestivé, ne upadlé zámky či attachementy) ošetří Váš zubní lékař či Městská poliklinika Praha na adrese Spálená 15, Praha 1.