Záznamy o činnostech zpracování

Kategorie a charakteristiky zpracování osobních údajů

Komentář

Jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů [článek 30 odst. 1 písm. a) GDPR]:

Jméno a kontaktní údaje správce:

Ortholeo s.r.o., se sídlem Piskáčkových 1024/3, Praha 9, 190 00, IČ: 09148701, ID datové schránky: f2yt2k;

Jméno a kontaktní údaje zástupce správce: MDDr. Leona Medůsková, jednatelka; tel.: +420 734 876 520; e-mail: recepce@ortholeo.cz;

Jméno a kontaktní údaje pověřence pro ochranu osobních údajů: pověřenec není jmenován.

Identifikace příslušných zpracování osobních údajů [článek 30 odst. 1 písm. b) GDPR]:

Vedení zdravotnické dokumentace pacientů 

Evidence zaměstnanců 

Evidence dodavatelů 

Provoz společnosti, daně a účetnictví 

Obchod a marketing 

Proč (za jakým účelem) a na základě jakého právního titulu se osobní údaje v rámci zpracovávání zpracovávají [článek 30 odst. 1 písm. b) GDPR]?

Pacienti: smlouva o poskytování zdravotních a dalších služeb – plnění smlouvy, plnění právních povinností vyplývajících z příslušných právních předpisů (zejména předpisy o poskytování zdravotních služeb) 

Zaměstnanci: pracovní smlouva, DPP, DPČ – plnění povinností vyplývajících ze smluv se zaměstnanci a z příslušných právních předpisů (zejména zákoník práce, zákon o zaměstnanosti a právní předpisy o sociálním a zdravotním pojištění) 

Dodavatelé: smlouva o poskytování příslušných plnění dodávaných dodavatelem – plnění smlouvy, plnění povinností vyplývajících z příslušných právních předpisů (zejména daňové a účetní předpisy) 

Návštěvníci internetových stránek: žádné osobní údaje nebudou shromažďovány (např. cookies) 

Návštěvníci prostoru recepce a chodby v 1. podzemním podlaží: oprávněný zájem správce a dalších osob – ochrana práv správce a třetích osob 

Jiné třetí osoby: oprávněný zájem správce – plnění smlouvy s pacientem; plnění právních povinností vyplývajících z předpisů upravujících poskytování zdravotních služeb; ochrana práv správce 

Jaké osobní údaje jsou zpracovávány v rámci zpracování [článek 30 odst. 1 písm. c) GDPR]?

Pacienti: osobní jméno (popř. další jména) a příjmení (včetně rodného příjmení), pohlaví, akademický titul, datum narození, rodné číslo, státní příslušnost, údaje o zaměstnavateli a pracovním zařazení, údaje o zdravotním nebo cestovním pojištění, číslo průkazu totožnosti nebo cestovního dokladu (pacienti mimo systém veřejného zdravotního pojištění v ČR), údaje o vízech/povolení k pobytu na území ČR, kontaktní údaje (trvalý pobyt/bydliště/místo pobytu, telefonní číslo, e-mailová adresa, ID datové schránky), bankovní spojení, údaje o rodinných poměrech, údaje o zdravotním stavu (vyšetření, diagnózy, další údaje o průběhu a výsledku poskytování zdravotních služeb správcem nebo jiným poskytovatelem, včetně údajů o dalších významných okolnostech souvisejících se zdravotním stavem pacienta a s postupem při poskytování zdravotních služeb), údaje z anamnézy (rodinná, osobní, pracovní, sociální), případně i další údaje zdravotnické dokumentace dle příslušných právních předpisů; v souvislosti s poskytovanými zdravotními službami mohou být zpracovány osobní údaje obdobného rozsahu i o jiné osobě na základě informací sdělených pacientem nebo zjištěných při poskytování zdravotních služeb (např. údaje o příbuzných nebo jiných kontaktních osobách určených pacientem)

Zaměstnanci: osobní jméno (popř. další jména) a příjmení (včetně rodného příjmení), pohlaví, akademický titul, datum narození, rodné číslo, číslo pojištěnce veřejného zdravotního pojištění, kontaktní údaje (trvalý pobyt, bydliště, telefonní číslo, e-mailová adresa, ID datové schránky), evidence pracovní doby, bankovní spojení, údaje o dosaženém vzdělání a odborné kvalifikaci, údaje o manželovi/dětech, údaje o jiném zaměstnavateli a pracovním zařazení

Dodavatelé: osobní jméno (popř. další jména) a příjmení (včetně rodného příjmení), pohlaví, akademický titul, datum narození, IČO, DIČ, údaje o zápisu do veřejného nebo jiného seznamu/rejstříku, kontaktní údaje (trvalý pobyt, bydliště, telefonní číslo, e-mailová adresa, ID datové schránky), bankovní spojení, údaje o dosaženém vzdělání a odborné kvalifikaci

Návštěvníci prostoru recepce a chodby v 1. podzemním podlaží: podoba, lokalizační údaje (datum a čas výskytu v uvedených prostorách)

Jiné třetí osoby: osobní jméno (popř. další jména) a příjmení, akademický titul, datum narození, kontaktní údaje (trvalý pobyt, bydliště, telefonní číslo, e-mailová adresa, ID datové schránky), případně další (předem blíže neurčitelné) údaje nezbytné k dosažení účelu zpracování

Z jakých zdrojů jsou osobní údaje získány [článek 30 odst. 1 písm. c) GDPR]?

Pacienti: subjekty údajů, osoby v příbuzenském nebo obdobném poměru k subjektu údajů, svědci, orgány veřejné moci, zdravotní pojišťovny, veřejně dostupné seznamy a rejstříky

Zaměstnanci: subjekty údajů, osoby v příbuzenském nebo obdobném poměru k subjektu údajů, orgány veřejné moci, zdravotní pojišťovny

Dodavatelé: subjekty údajů, zaměstnanci nebo jiní pracovníci subjektu údajů, orgány veřejné moci, veřejně dostupné seznamy a rejstříky

Návštěvníci prostoru recepce a chodby v 1. podzemním podlaží: kamerový systém

Jiné třetí osoby: pacienti, subjekty údajů, orgány veřejné moci, svědci, veřejně dostupné seznamy a rejstříky

Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích:

  • Společní správci navzájem 
  • Spolupracující lékaři a nelékařští pracovníci v rámci zdravotnického zařízení Ortholeo s.r.o. 
  • Zdravotní pojišťovny 
  • Daňoví poradci, účetní 
  • Právní poradci (advokáti) 
  • Dodavatelé služeb IT 
  • Jiní poskytovatelé zdravotních služeb v případech plynoucích z právních předpisů nebo uzavřených smluv 
  • Orgány veřejné moci v případech plynoucích z právních předpisů nebo uzavřených smluv 
  • Další osoby, je-li to nezbytné pro poskytnutí příslušné zdravotní služby 

V rámci naší činnosti nepředáváme z vlastní iniciativy osobní údaje do třetí země nebo mezinárodním organizacím; výjimečně může k takovému předání dojít zejména ve vztahu ke zdravotnické dokumentaci, a to buď na základě povinnosti uložené právním předpisem, nebo na základě souhlasu či pokynu pacienta anebo jiné oprávněné osoby. 

V jakém termínu a jak se osobní údaje likvidují [článek 30 odst. 1 písm. f) GDPR]?

Podle příslušných právních předpisů (předpisy o zdravotních službách, předpisy o účetnictví, pracovněprávní předpisy, předpisy o archivnictví apod.).

Záznamy z kamer se likvidují po 72 hodinách, nebyl-li v této lhůtě zjištěn důvod pro jejich použití; dojde-li k využití těchto záznamů, zlikvidují se až poté, co pomine důvod tohoto použití.

Jakým způsobem se osobní údaje aktualizují [článek 30 odst. 1 písm. g) GDPR]?

Informacemi od subjektů údajů, od třetích stran, případně pomocí veřejných zdrojů (internet, veřejné rejstříky…)

Které listinné a elektronické evidence (spisovny, archivy, IT systémy, datová úložiště) provádějí zpracování [článek 30 odst. 1 písm. g) GDPR]?

Pro komplexní vedení zdravotnické dokumentace používáme informační systém Stomasoft, který je provozován na hardwarovém vybavení dodavatele systému a my do něj přistupujeme prostřednictvím internetu (cloudové řešení). Jedná se o renomovaný a široce rozšířený informační systém pro zubní ordinace a dentální hygienu. Soulad systému Stomasoft s požadavky GDPR a náležitá úroveň zabezpečení dat jsou garantovány dodavatelem systému.

Vybrané elektronické dokumenty (e-mailová komunikace, RTG) mohou být ukládány též na pevných discích našich vlastních počítačů nacházejících se v prostorách našeho sídla nebo pod naší fyzickou kontrolou.

Případná listinná verze zdravotnické dokumentace (je-li takto vedena) a dalších spisů se skladuje v šanonech v jednotlivých kancelářích/ordinacích a v dalším k tomu určených prostorách.

Probíhá pravidelné bezpečnostní testování (zejm. IT systémy)? [článek 30 odst. 1 písm. g) GDPR].

Pravidelné interní testování procesů a systémů nejméně 1x za 12 měsíců.

Jak je zajištěna bezpečnost předání dat při komunikaci [článek 30 odst. 1 písm. g) GDPR]?

Podle konkrétních okolností a povahy předávaných dat doručujeme citlivé informace prostřednictvím osobního předání a v případě elektronické komunikace využíváme šifrování.

Podrobnosti jsou upraveny ve směrnici o nakládání s osobními údaji.

Jak je zajištěna bezpečnost sdílení dat s externími subjekty? Mají všichni externí dodavatelé, zpracovávající osobní údaje, uzavřené smlouvy o zpracování osobních údajů, poskytující odpovídající záruky ochrany [článek 30 odst. 1 písm. g) ve spojení s článkem 28 GDPR]? 

Ano. Veškeré smlouvy s našimi externími dodavateli, u nichž dochází ke zpracování osobních údajů, obsahují ujednání nebo doložky zaručující potřebnou úroveň ochrany osobních údajů v souladu s GDPR.

Je zajištěna nevratná likvidace dat v rámci databázového systému [článek 30 odst. 1 písm. g) GDPR]?

Ano, data jsou likvidována, nejen deaktivována.

Je k dispozici procedura k určení práv subjektů údajů a jejich výkon s ohledem na jejich data, která jsou zpracovávána v rámci zpracování?

Každý subjekt údajů má možnost se na nás obrátit libovolným komunikačním kanálem a následně je zajištěno řádné zpracování jeho žádosti.

Podrobnosti jsou upraveny ve směrnici o nakládání s osobními údaji.

Poskytují se oprávněným subjektům údajů předepsané informace, zejména o:

rozsahu a účelu zpracování,

způsobu zpracování osobních dat,

komu mohou být osobní údaje zpřístupněny?

Ano, informace poskytujeme zejména následující formou:

na našich internetových stránkách;

osobně při prvním osobním jednání s příslušným subjektem údajů;

v odpovědích na žádosti subjektů údajů.

Zabraňují nasazené technické prostředky a uplatňovaná organizační opatření nahodilému anebo neoprávněnému přístupu k osobním údajům, jejich změně, zcizení, zneužití, zničení nebo ztrátě [článek 30 odst. 1 písm. g) GDPR]?

Ano, uplatňujeme zejména následující opatření: 

  • Je uplatňován přísný režim vstupu do prostor obsahujících osobní údaje (hlavní přístupová místa jsou kontinuálně monitorována kamerami a v pracovní době je zde obsazená recepce). 
  • Do místností, v nichž se nacházejí listinné spisy nebo jiné materiály s osobními údaji, mají přístup pouze příslušní pracovníci společných správců; případné třetí osoby se v těchto místech smějí pohybovat pouze výjimečně a pod dozorem příslušného pracovníka. 
  • Každý pracovník má přiděleny jeho vlastní přístupové údaje k prostředkům výpočetní techniky a k informačním systémům. 
  • Veškeré využívané programové vybavení představuje buď standardní a široce využívaný běžný software (produkty Microsoft apod.), nebo se jedná o speciální na míru vyvinuté aplikace přizpůsobené k zajištění maximální ochrany. 
  • IT systém je pravidelně testován a udržován externím dodavatelem, se kterým jsme uzavřeli smlouvu o zpracování osobních údajů 

Podrobnosti jsou upraveny ve směrnici o nakládání s osobními údaji.

Jsou zpracovávané osobní údaje přenášeny do zahraničí nebo jsou přístupné ze zahraničí [článek 30 odst. 1 písm. e) GDPR]?

Ano, výjimečně (předávání zdravotnické dokumentace v případech vyžadovaných právními předpisy, komunikace s poskytovatelem zdravotního/cestovního pojištění apod.).

Jsou pracovníci, mající přístup k osobním údajům v rámci zpracování osobních údajů, proškoleni? Mají tito pracovníci ve svých smlouvách sjednánu povinnost mlčenlivosti ve vztahu ke zpracovávaným osobním údajům [článek 30 odst. 1 písm. g) GDPR]?

Ano, proškolení probíhá při nástupu do zaměstnání a následně je znalost periodicky ověřována nejméně jednou za 12 měsíců.

Ano, pracovníci, mají v pracovních smlouvách nebo jiných smlouvách závazek mlčenlivosti.

 

V Praze dne 01.12.2020