Zpracování osobních údajů
Vnitřní směrnice společnosti IVF Czech Republic s. r. o. o zpracování a ochraně osobních údajů
Vnitřní směrnice o zpracování a ochraně osobních údajů řeší implementaci NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení o GDPR“) ve společnosti IVF Czech Republic s. r. o. (dále jen „Společnost“). Řeší tedy závazky Společnosti na poli GDPR, jednání a postavení Společnosti v roli správce osobních údajů.
1. SPRÁVCE A ZPRACOVATEL OSOBNÍCH ÚDAJŮ
Správcem osobních údajů je společnost IVF Czech Republic s. r. o., IČ 255 94 575, se sídlem Grohova 117/21, 602 00 BRNO zapsaná u Krajského soudu v Brně pod spisovou značkou C 36412. Správce určuje, jak budou osobní údaje zpracovávány, za jakým účelem a po jak dlouhou dobu, pokud to nevyplývá z právních předpisů. Správce má právo vybírat případné další zpracovatele, kteří mu se zpracováním osobních údajů budou pomáhat.
Pověřenec pro ochranu osobních údajů
Dotazy a připomínky týkající se zpracování osobních údajů včetně odvolání výslovného písemného souhlasu můžete zasílat písemně na korespondenční adresu Klinika reprodukční medicíny a gynekologie Zlín, U Lomu 638, 760 01 Zlín, nebo e-mailem na adresu Lenka.Brazdilova@ivfzlin.cz.
Pověřenec pro ochranu osobních údajů není v žádném střetu zájmů v souvislosti s funkcí pověřence.
2. OSOBNÍ ÚDAJ
Jedná se o veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě (tj. osoba, kterou lze na základě souboru údajů přímo nebo nepřímo identifikovat). Osobní údaje mohou být slovní (např. jméno, rodné číslo, telefon), obrazové (např. fotografie) a síťové identifikátory (např. IP adresa, cookies).
Rozlišujeme také zvláštní kategorie osobních údajů. Jedná se o tzv. citlivé údaje jako jsou rasový původ, náboženské vyznání, sexuální orientace, biometrické údaje apod.
3. SUBJEKT ÚDAJŮ
Subjektem údajů je fyzická osoba, jejíž osobní údaje Společnost zpracovává (uchazeči o zaměstnání, zaměstnanci, pacienti, návštěvníci kliniky, dodavatelé a smluvní partneři).
4. ZÁSADY A PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ
Veškeré osobní údaje Společnost zpracovává v souladu s platnými a obecně závaznými právními předpisy České republiky a v souladu s Nařízením o GDPR.
Všichni zaměstnanci Společnosti jsou seznámeni s pravidly v oblasti ochrany dat, nakládání s daty a jejich zabezpečení. Jsou vázáni mlčenlivostí a dalšími interními pravidly. Ve Společnosti jsou pravidelně prováděny interní audity, které mj. sledují i dodržování pravidel pro práci s osobními údaji a naplňování politiky ochrany osobních údajů. Všechny přístupy k osobním údajům jsou řízené a založené na právech jednotlivých zaměstnanců dle vykonávaných pracovních pozic.
Informační systém (lékařský program SmartMEDIX®)
Každý uživatel má přiděleno heslo a specifická práva, která přiděluje pouze administrátor. Informační systém mohou používat pouze zaměstnanci, kteří obdrželi heslo opravňující vstoupit do systému (lékaři, zdravotní sestry, pracovníci IVF laboratoře, koordinátorky, manažer kvality a další pracovníci). Povinností každého zaměstnance je přihlásit se do programu pod svým uživatelským jménem a heslem a po skončení práce se odhlásit. Jakýkoliv záznam do zdravotnické dokumentace je jednoznačně idenfitikován. V historii přístupů lze dohledat informaci o uživateli, který k jednotlivým záznamům přistupoval, čas přístupu a stanici, ze které bylo do dat vstupováno. Pozdější smazání již uložených dat může provést pouze administrátor.
Informační systém je pravidelně aktualizován tak, aby byla zajištěna integrita dat, je ve shodě s národními požadavky na ochranu dat (Zákon č. 181/2014 Sb., o kybernetické bezpečnosti) a ve shodě s ČSN EN ISO 15189:2013 (kapitola 5.10 Řízení informací v laboratoři).
Veškeré dokumenty a záznamy, včetně zdravotnické dokumentace vedené ve SmartMedixu, které jsou uloženy na interní síti, jsou každodenně zálohovány na serveru Společnosti a jednou týdně u externí společnosti pomocí vzdálené správy sítě. Záloha serveru probíhá každou noc na dvě místa – na externí USB disk a síťový NAS disk. Protokol o provedení zálohy je e-mailem odesílán administrátorovi.
Na všech klientských stanicích je nainstalována síťová verze AVG. Antivirová ochrana je nastavena automaticky pro příjem e-mailu a otevírání datových souborů.
5. KATEGORIE SUBJEKTŮ ÚDAJŮ
V souladu s Nařízením o GDPR Společnost omezuje zpracování osobních dat na údaje, které jsou přiměřené a relevantní pro příslušný obchodní účel. Jedná se o osobní údaje, pomocí nichž Společnost osoby identifikuje a může s nimi komunikovat, dále zvláštní kategorie osobních údajů, které jsou potřebné pro obchodní činnost Společnosti. Další osobní údaje Společnost zpracovává za účelem poskytování zdravotních služeb.
5.1 Uchazeči o zaměstnání
5.1.1 Účel a právní důvod zpracovávání osobních údajů
- Osobní údaje nezbytné k realizace výběrového řízení na určitou pracovní pozici – zpracování je nezbytné pro splnění smlouvy
- Ochrana osob, zdraví a majetku (kamerový systém) – zpracování je nezbytné pro účel oprávněného zájmu Společnosti
5.1.2 Kategorie osobních údajů
- Údaje sloužící k přesné, jednoznačné a nezaměnitelné identifikaci subjektu údajů (např. jméno, příjmení, tituly, datum narození, adresa trvalého bydliště atd.)
- Údaje kontaktní (mobil, telefon, e-mail atd.)
- Vizuální údaje z kamerového systému
5.1.3 Zdroje osobních údajů
- Osobní údaje získané dobrovolně od uchazečů o zaměstnání
- Záznamy z kamerového systému
5.1.4 Přijatá technická a organizační opatření
Uzamčené kanceláře, uzamčené skříně s osobními údaji uchazečů.
Vstup i výstup ve II. a III. patře je řízený – osoba zazvoní na zvonek u dveří a pracovník recepce ji vpustí dovnitř či ven, vstup do administrativní části II. patra je oddělen dveřmi bez kliky, pohyb cizích osob v prostorách Společnosti je možný pouze v doprovodu zaměstnance.
Zálohování dat, antivirová ochrana, přihlašování do informačního systému pod vlastním jménem a heslem, odhlašování po skončení práce.
Dodržování vnitřní směrnice a nastavených pracovních procesů.
Odesílání dopisů s osobními údaji doporučeně včetně archivace podacích lístků.
Omezení okruhu osob s přístupem k osobním údajům (personalistka, vedení Společnosti).
Kromě případů uložených nebo umožněných zákonem nebo dohodnutých s uchazečem nesdělujeme informace o osobních údajích třetím osobám.
5.1.5 Plánované lhůty pro výmaz osobních údajů
Po skončení výběrového řízení, pokud nebude uchazeč o zaměstnání přijat do pracovního poměru, budou jeho osobní údaje řádně zlikvidovány v souladu se zákonem, vyjma případů, kdy od uchazeče obdržíme výslovný písemný souhlas, že mohou být jeho osobní údaje uchovávány v personální databázi. Pokud bude chtít uchazeč souhlas se zpracováním svých osobních údajů odvolat, je to možné písemně na e-mailové adrese Ludmila.Presnajderova@ivfzlin.cz nebo na korespondenční adrese Klinika reprodukční medicíny a gynekologie Zlín, U Lomu 638, 760 01 ZLÍN.
Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.
5.2 Zaměstnanci
5.2.1 Účel, kategorie a právní důvod zpracovávání osobních údajů
- Kontaktní údaje – telefon, mobilní telefon, e-mail – zpracování je nezbytné pro splnění smlouvy nebo pro účel oprávněného zájmu Společnosti
- Ze zákona zpracovávané osobní údaje – zpracování je nezbytné pro splnění právní povinnosti
- Údaje k vedení docházkového systému – zpracování je nezbytné pro účel oprávněného zájmu Společnosti
- Ochrana života, zdraví, majetku zaměstnanců a prevence nežádoucích činů prostřednictvím kamerových systémů – zpracování je nezbytné pro účel oprávněného zájmu Společnosti
Ze zákona zpracovávané osobní údaje
- Při nástupu do zaměstnání je nutné uzavřít pracovní smlouvu (ev. dohodu o pracovní činnosti nebo dohodu o provedení práce). Dle zákoníku práce smlouva obsahuje identifikační údaje (v rozsahu jméno, příjmení, datum narození, místo trvalého pobytu).
- Pro evidenční listy důchodového pojištění zasílaných na OSSZ (dle § 37 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení) datum a místo narození, všechna dřívější příjmení, rodné číslo, místo trvalého pobytu. Byl – li občan účasten důchodového pojištění v cizině, rovněž údaj o názvu a adrese cizozemského nositele pojištění a cizozemském čísle pojištění.
- Pro správný výpočet mzdy vzdělání a eventuálně předchozí praxe.
- Za účelem hlášení zaměstnávání cizinců státní občanství. Cizí státní příslušníci, kteří na území ČR dlouhodobě pobývají je dle § 117a zákona č. 326/1999 Sb., o pobytu cizinců na území České republiky, vydáván průkaz o povolení k pobytu. V tomto dokladu, kterým cizinci prokazují svoji totožnost, je uveden také údaj o státní příslušnosti. Zaměstnavatel nezpracovává údaje o národnostním původu žádného svého zaměstnance.
- Dle zákona č. 280/2009 Sb., daňový řád, pokud zaměstnanec uplatňuje daňové zvýhodnění a manžel/ka je zaměstnán/a jméno a příjmení manžela/ky, název a adresa zaměstnavatele. Pokud zaměstnanec uplatňuje zvýhodnění na vyživované dítě jméno a příjmení dítěte a jeho rodné číslo.
- Dle § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění pro placení zdravotního pojištění zdravotní pojišťovnu.
- Dle zákona č. 280/2009 Sb., daňový řád pro výpočet měsíčních záloh na daně druh pobíraného důchodu.
- Dle zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení pro zjištění přesného data nároku na odchod do starobního důchodu počet dětí u žen.
- Pro plnění povinného podílu osob se zdravotním postižením na celkovém počtu zaměstnanců (dle zákona č. 435/2004 Sb., o zaměstnanosti) zdravotní znevýhodnění zaměstnance.
- Potvrzení lékaře nebo zdravotnického zařízení (vstupní, preventivní, mimořádné a výstupní lékařské prohlídky) o tom, zda pracovník je nebo není schopen vykonávat svoji práci (dle zákona č. 372/2011 Sb., o zdravotních službách).
- Vedení a evidence pracovních úrazů (záznam o úraze, zpráva lékaře).
- Výpis z rejstříku trestů pro ověření způsobilosti pro výkon určitého typu zaměstnání (je –li vyžadováno zákonem, např. u lékařských profesí).
Docházkový systém
Zaměstnavatel je povinen v souladu s § 96 zákona č. 262/2006 Sb., zákoníku práce vést u jednotlivých zaměstnanců evidenci pracovní doby průkazným a přehledným způsobem. Společnost za tímto účelem využívá elektronický systém ACS-line, který pracuje na principu biometrické identifikace. Při načtení otisku prstu čtečkou je vytvořena datová šablona. Z této šablony lze otisk prstu zpětně rekonstruovat pouze částečně. Při identifikaci se porovnává shoda klíčových znaků načtené šablony se šablonami v databázi. Při zjištění shody je rozpoznána procházející osoba.
Dle stanoviska ÚOOÚ došlo ke změně v hodnocení úrovně právní ochrany biometrických údajů mj. z důvodu proměn a rychlého rozvoje technologií. Čl. 9 Nařízení EP a Rady, č. 2016/679 upravuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby. Tato úprava přináší podstatnou změnu v právním pohledu na technologie zpracovávající biometrické údaje, mj. také v tom, že uchovávání biometrických šablon a jejich zpracování za účelem identifikace osob považuje za zpracování zvláštní kategorie osobních údajů.
5.2.2 Zdroje osobních údajů
- Osobní údaje získané přímo od zaměstnanců
- Osobní údaje získané v souvislosti s komunikací s úřady
- Záznamy z kamerového systému
5.2.3 Přijatá technická a organizační opatření
Většina osobních údajů zaměstnanců je součástí osobního spisu. Osobní spisy jsou uloženy v uzamčené kartotéce, ke které mají přístup pouze oprávněné osoby stanovené zaměstnavatelem ve vnitřním předpise (personalistka, vedoucí ekonomického oddělení, vedení Společnosti). V souladu se zákoníkem práce jsou součástí osobního spisu jen dokumenty, které jsou nezbytné pro výkon práce (životopis, pracovní posudek od předchozího zaměstnavatele, karta zaměstnance, pracovní smlouva, mzdový výměr, potvrzení o dosaženém vzdělání, absolvovaných kurzech, školeních, dohoda o hmotné odpovědnosti, náplň práce atp.). Informace o mzdě a odměnách jsou osobní údaje, které nejsou zpřístupňovány třetím osobám.
K osobním údajům, které jsou elektronicky zpracovány, má přístup rovněž úzký okruh oprávněných osob (personalistka, vedoucí ekonomického oddělení, vedení Společnosti). Přístup do systému je zaheslován, hesla nejsou sdílena. Po skončení práce se zaměstnanci z informačního systému odhlašují. Data jsou zálohována a zabezpečena antivirovou ochranou.
Dopisy s osobními údaji jsou posílány doporučeně, podací lístky se archivují.
Vstup i výstup ve II. a III. patře je řízený – osoba zazvoní na zvonek u dveří a pracovník recepce ji vpustí dovnitř či ven, vstup do administrativní části II. patra je oddělen dveřmi bez kliky, pohyb cizích osob v prostorách Společnosti je možný pouze v doprovodu zaměstnance.
5.2.4 Plánované lhůty pro výmaz osobních údajů
Společnost zpracovává osobní údaje po dobu nezbytně nutnou ke splnění daného účelu a v souladu se lhůtami uvedenými v příslušných právních předpisech České republiky pro skartaci a archivaci dokumentů, případně tak dlouho, jak je potřebuje k vypořádání vzájemných práv a povinností zaměstnavatele a zaměstnance.
Po skončení pracovního poměru Společnost zpracovává osobní údaje zaměstnance pouze v omezeném rozsahu. Jedná se o údaje, jejichž uchování je stanoveno platnými právními předpisy (např. pro účely důchodového a sociálního pojištění) a k jejich uchování tedy není třeba výslovného souhlas zaměstnance.
Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.
5.3 Pacienti
Osobní údaje pacientů a potenciálních pacientů zpracovává Společnost v takovém rozsahu, v jakém mu byly poskytnuty subjektem údajů v souvislosti s poskytováním zdravotních služeb dle zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách), jeho prováděcími předpisy, dále zákonem č. 373/2011 Sb., o specifických zdravotních službách v platném znění, vyhláškou č. 98/2012 Sb., o zdravotnické dokumentaci, zákonem č. 296/2008 Sb., o zajištění jakosti a bezpečnosti lidských tkání a buněk určených k použití u člověka a o změně souvisejících zákonů (zákon o lidských tkáních a buňkách) v platném znění a dalšími přepisy upravujícími poskytování zdravotních služeb.
Vedle toho Společnost zpracovává také osobní údaje, které získá při poskytování zdravotních služeb (např. výsledky vyšetření).
5.3.1 Účel a právní důvod zpracovávání osobních údajů
- Poskytování zdravotních služeb – zpracování je nezbytné pro účel poskytování zdravotní péče
- Určení, výkon nebo obhajoba právních nároků
- Poskytnutí osobních údajů v rozsahu nezbytně nutném pro právní, ekonomické a daňové poradce a auditory, a to za účelem poskytování poradenských služeb Společnosti – zpracování je nezbytné pro účel oprávněného zájmu Společnosti
- Ochrana života, zdraví, majetku pacientů a prevence nežádoucích činů prostřednictvím kamerových systémů – zpracování je nezbytné pro účel oprávněného zájmu Společnosti
5.3.2 Kategorie osobních údajů
- Údaje sloužící k přesné, jednoznačné a nezaměnitelné identifikaci subjektu údajů (např. jméno, příjmení, datum narození, rodné číslo, adresa trvalého bydliště atd.)
- Údaje kontaktní (mobil, telefon, adresa přechodného bydliště, e-mail atd.)
- Bankovní spojení
- Údaje získané za účelem poskytování zdravotní péče (údaje o zdravotním stavu)
- Vizuální údaje z kamerového systému
5.3.3 Kategorie příjemců osobních údajů
- Zdravotní pojišťovny a další veřejné instituce
- Zpracovatelé na základě smlouvy se Společností, a to v nezbytném rozsahu (např. poskytovatel systému pro vedení elektronické zdravotní dokumentace)
- Státní orgány při plnění zákonných povinností
- Právní poradci
- Poskytovatelé zdravotních služeb (např. zdravotnické laboratoře)
- Ostatní poskytovatelé zdravotních služeb při rozšiřující nebo navazující zdravotní péči
5.3.4 Zdroje osobních údajů
- Osobní údaje získané přímo od pacientů
- Osobní údaje získané v souvislosti s poskytováním zdravotních služeb
- Záznamy z kamerového systému
5.3.5 Přijatá technická a organizační opatření
V souladu s platnou legislativou České republiky jsou osobní údaje pacientů (potenciálních pacientů) zpracovávány zejména ve zdravotnické dokumentaci. Zpracovávány jsou manuálně v listinné a elektronické podobě, ev. automatizovaně prostřednictvím výpočetní techniky. Zdravotní karty jsou uloženy ve zvláštních odděleních kartotéky, pouze současný rok je uložen na recepci. Kanceláře se uzamykají, skříně se zdravotními kartami rovněž. Pracovníci recepce dbají na to, aby obsah karet nebyl viděn jinými osobami, je-li karta odnášena do ambulance, je vložena do neprůhledných desek a předána ošetřujícímu lékaři. Při vyšetření na stole zůstává jen karta daného pacienta, ostatní karty lékař předá zdravotní sestře nebo je uloží do pracovního stolu. Po skončení pracovní doby neleží na pultu recepce žádné karty, všechny jsou zařazeny do kartotéky.
Konzultace s pacienty probíhají v uzavřené místnosti, v průběhu konzultace nejsou brány telefonní hovory. Výsledky vyšetření se nesdělují telefonicky, dopisy s osobními údaji jsou odesílány doporučeně a podací lístky se archivují.
Vstup i výstup ve II. a III. patře je řízený – osoba zazvoní na zvonek u dveří a pracovník recepce ji vpustí dovnitř či ven. Vstup do administrativní části II. patra je oddělen dveřmi bez kliky. Pohyb cizích osob v prostorách Společnosti je možný pouze v doprovodu zaměstnance.
Zálohování dat, antivirová ochrana, aktualizace informačního systému, přístup do zdravotnického programu až po autentizaci, odhlašování z informačního systému po skončení práce, historie přístupů, mazání uložených dat pouze administrátorem.
Dodržování vnitřní směrnice a nastavených pracovních procesů, omezení okruhu osob s přístupem k osobním údajům (lékaři, sestry, koordinátorky, další zdravotnický personál, ekonomické oddělení, manažerka, vedení Společnosti).
Kromě případů uložených nebo umožněných zákonem nebo dohodnutých s pacientem nesdělujeme informace o osobních údajích třetím osobám.
5.3.6 Plánované lhůty pro výmaz osobních údajů
Společnost zpracovává osobní údaje po dobu nezbytně nutnou ke splnění daného účelu a v souladu se lhůtami uvedenými v příslušných právních předpisech České republiky pro skartaci a archivaci dokumentů, případně tak dlouho, jak je potřebuje pro určení, výkon nebo obhajobu svých právních nároků.
Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.
5.4 Návštěvníci kliniky (včetně návštěvníků webových stránek)
5.4.1 Účel a právní důvod zpracovávání osobních údajů
- Ochrana osob, zdraví a majetku (kamerový systém) – zpracování je nezbytné pro účel oprávněného zájmu Společnosti
- Získání nového klienta, pacienta, dodavatele apod. – zpracování je nezbytné pro účel oprávněného zájmu Společnosti
- Zlepšení služeb pro návštěvníky webových stránek (www.ivfzlin.cz, www.darovatvajicka.cz, www.ivf.travel a Facebooku – zpracování je nezbytné pro účel oprávněného zájmu Společnosti
5.4.2 Kategorie osobních údajů
- Osobně – jméno, příjmení, telefon, mobil
- Cookies – IP adresa, typ prohlížeče, nastavený jazyk, operační systém, poskytovatel internetového připojení, termín a doba pobytu návštěvníka na uvedených stránkách. Cookies pro účely direct marketingu budou zpracovávány jen na základě souhlasu subjektu údajů. Webové stránky lze procházet také v režimu, který neumožňuje sbírání osobních údajů.
- Služby Google Analytics – sledování počtu návštěvníků a jejich chování na webových stránkách
- V případě vyplnění webového formuláře – jméno, příjmení, e-mail, telefon
- Vizuální údaje z kamerového systému
5.4.3 Kategorie příjemců osobních údajů
- Státní orgány při plnění zákonných povinností (např. Policie ČR při podezření ze spáchání přestupku nebo trestného činu)
- Právní poradci
5.4.4 Zdroje osobních údajů
- Osobní kontakt s návštěvníkem
- Údaje z webových stránek a Facebooku
- Záznamy z kamerového systému
Webové stránky
Společnost provozuje webové stránky www.ivfzlin.cz, www.darovatvajicka.cz, www.ivf.travel, současně působí na sociálních sítích (Facebook atd.) a v rámci svého podnikání zpracovává osobní údaje subjektů údajů.
Osobní údaje získané během návštěv na těchto webových stránkách zpracovává Společnost v souladu s platnou legislativou. Pro optimalizaci webových stránek z hlediska využitelnosti, systémového výkonu a poskytování užitečných informací o službách ukládá a shromažďuje informace zejména o IP adrese, typu prohlížeče, nastaveném jazyce, operačním systému, poskytovateli internetového připojení a o termínu a době pobytu na stránkách.
Dále může Společnost získat osobní údaje v případě vyplnění webového formuláře. Jedná se minimálně o tyto osobní údaje: jméno, příjmení, e-mail, telefon. Webový formulář je doručen do e-mailové schránky zaměstnance Společnosti, který následně komunikuje s odesílatelem e-mailu. Osobní údaje zájemce mohou být dále zpracovávány ve výše uvedeném rozsahu v elektronické databázi Společnosti, popř. zpracovatelem, se kterým Společnost uzavře příslušnou smlouvu. Veškerá data jsou ukládána v digitální formě po dobu nezbytně nutnou.
Požádá-li návštěvník o informaci o zpracování svých osobních údajů, je mu Společnost povinna tuto informaci bez zbytečného odkladu předat. Společnost má právo za poskytnutí informace požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.
Pokud návštěvník zjistí, že Společnost provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života návštěvníka nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel zpracování, může požádat o vysvětlení nebo požadovat, aby Společnost tento stav odstranila.
Návštěvník má dále právo se svými oprávněnými žádostmi obrátit na Úřad pro ochranu osobních údajů.
Obsahují-li webové stránky odkazy na jiné webové stránky, které nejsou ve vlastnictví či správě Společnosti, tato pravidla se na ně nevztahují.
Webové stránky Společnosti využívají technologie retargetingu od služby Sklik provozované společností Seznam.cz, a. s. Ta umožňuje ukázat návštěvníkům, kteří již projevili zájem o produkty Společnosti, reklamy v reklamní síti společnosti Seznam.cz, a. s.
Cookies a jejich využívání
Obecně lze cookies definovat jako datové soubory malého rozměru, které jsou při návštěvě webové stránky bez aktivního jednání ze strany uživatele ukládány do prohlížeče zařízení, kterým je v daný okamžik připojen k internetu (počítač, tablet, smartphone apod.). Odtud pak s jejich pomocí dochází ke shromažďování různých dat o uživateli, mezi jinými i dat o jeho chování na internetu. Data získaná pomocí cookies jsou využívána jednak k samotnému poskytnutí internetové služby, resp. k usnadnění jejího dalšího užívání (např. využívání e-mailu, automatického přihlašování či předvyplnění některých údajů při online nákupu), ale také pro vytváření jakéhosi profilu uživatele internetu, pomocí kterého lze daleko účinněji cílit reklamu.
Při procházení webových stránek zaznamenává Společnost IP adresu, dobu prohlížení stránky a ze které stránky návštěvník přichází. Používání cookies pro měření návštěvnosti webu a přizpůsobení zobrazení webových stránek vnímá Společnost jako svůj oprávněný zájem, díky němuž může nabídnout návštěvníkům ještě lepší služby.
Cookies pro účely direct marketingu budou zpracovávány jen na základě výslovného souhlasu návštěvníka. Webové stránky lze procházet také v režimu, který neumožňuje sbírání osobních údajů. Používání cookies lze na počítači v internetovém prohlížeči zakázat, a to užitím stanové lišty, která upozorňuje, že stránky cookies užívají.
Pro sledování počtu návštěvníků na webových stránkách a jejich chování Společnost užívá také služby Google Analytics.
5.4.5 Přijatá technická a organizační opatření
Uzamčené kanceláře, vstup i výstup ve II. a III. patře je řízený – osoba zazvoní na zvonek u dveří a pracovník recepce ji vpustí dovnitř či ven, vstup do administrativní části II. patra je oddělen dveřmi bez kliky, pohyb cizích osob v prostorách Společnosti je možný pouze v doprovodu zaměstnance, kamerový systém.
Zálohování dat, antivirová ochrana, aktualizace informačního systému, přihlašování do počítače pod vlastním jménem a heslem, odhlašování z počítače po skončení práce, historie přístupů.
Odesílání dopisů s osobními údaji doporučeně včetně archivace podacích lístků.
Dodržování vnitřní směrnice a nastavených pracovních procesů, omezení okruhu osob s přístupem k osobním údajům dle typu zpracovávaného osobního údaje.
Kromě případů uložených nebo umožněných zákonem nebo dohodnutých s návštěvníkem nesdělujeme informace o osobních údajích třetím osobám.
5.4.6 Plánované lhůty pro výmaz
Osobní údaje zpracovává Společnost po dobu nezbytně nutnou ke splnění daného účelu a v souladu se lhůtami uvedenými v obecně závazných právních předpisech České republiky, ev. tak dlouho, jak je to nutné pro určení, výkon nebo obhajobu právních nároků.
Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.
5.5 Dodavatelé a smluvní partneři
Osobní údaje Společnost zpracovává v takovém rozsahu, v jakém mu byly subjektem údajů poskytnuty v souvislosti s uzavřením smlouvy. Dále zpracovává údaje, které jsou volně přístupné ve veřejných registrech.
5.5.1 Účel a právní důvod zpracování osobních údajů
- Uzavření smluvního vztahu – zpracování je nezbytné pro splnění smlouvy
- Plnění smlouvy mezi Společností a smluvním partnerem (evidence, kontrola činnosti, statistické účely…) – zpracování je nezbytné pro splnění smlouvy
- Určení, výkon nebo obhajoba právních nároků
- Plnění zákonných povinností z platných právních předpisů (účetnictví, regulace reklamy, daňové povinnosti...) – zpracování je nezbytné pro splnění právní povinnosti
- Zasílání obchodního sdělení (direct marketing) – zpracování je nezbytné pro účel oprávněného zájmu Společnosti
- Ochrana osob, zdraví a majetku (záznamy z kamerového systému) – zpracování je nezbytné pro účel oprávněného zájmu Společnosti
5.5.2 Kategorie osobních údajů
- Údaje pro jednoznačnou, nezaměnitelnou a přesnou identifikaci subjektů údajů (jméno, příjmení, název společnosti, IČ...)
- Kontaktní údaje (telefon, mobil, e-mail, adresa)
- Ostatní údaje uvedené ve smlouvě, na fakturách
- Rodné číslo pouze v případech, kdy ho subjekt údajů sám dobrovolně sdělí, nebo tak vyžaduje zákon. Dobrovolný souhlas může být zpracováván pouze za účely výše uvedenými a může být kdykoli písemně odvolán na adrese Klinika reprodukční medicíny a gynekologie Zlín, U Lomu 638, 760 01 Zlíne nebo prostřednictvím e-mailu Lenka.Brazdilova@ivfzlin.cz.
- Technické údaje z komunikace se subjektem údajů (IP adresa, čas komunikace)
- Vizuální údaje z kamerového systému
5.5.3 Kategorie příjemců osobních údajů
- Státní orgány při plnění zákonných povinností
- Veřejné instituce (např. zdravotní pojišťovny)
- Právní, ekonomičtí a daňoví poradci a auditoři za účelem poskytování poradenských služeb
- Zpracovatelé na základě smlouvy v přiměřeném rozsahu
5.5.4 Zdroje osobních údajů
- Při jednání o uzavření smlouvy
- Při plnění podmínek z již uzavřených smluv
- Při vyřizování stížností od subjektů údajů
- Záznamy z kamerového systému
5.5.5 Přijatá technická a organizační opatření
Uzamčené kanceláře, uzamčené skříně se smlouvami dodavatelů a smluvních partnerů.
Zálohování dat, antivirová ochrana, přihlašování do počítače pod vlastním jménem a heslem, odhlašování z počítače po skončení práce.
Odesílání dopisů s osobními údaji doporučeně včetně archivace podacích lístků.
Vstup i výstup ve II. a III. patře je řízený – osoba zazvoní na zvonek u dveří a pracovník recepce ji vpustí dovnitř či ven, vstup do administrativní části II. patra je oddělen dveřmi bez kliky, pohyb cizích osob v prostorách Společnosti je možný pouze v doprovodu zaměstnance.
Dodržování vnitřní směrnice a nastavených pracovních procesů, omezení okruhu osob s přístupem k osobním údajům (ekonomické oddělení, vedení Společnosti).
Kromě případů uložených nebo umožněných zákonem nebo dohodnutých se smluvním partnerem nesdělujeme informace o osobních údajích třetím osobám.
5.5.6 Plánované lhůty pro výmaz
Osobní údaje zpracovává Společnost po dobu nezbytně nutnou ke splnění daného účelu a v souladu se lhůtami uvedenými v obecně závazných právních předpisech České republiky, ev. tak dlouho, jak je to nutné pro určení, výkon nebo obhajobu právních nároků.
Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.
6. POUČENÍ O PRÁVECH SUBJEKTŮ ÚDAJŮ
Subjekt údajů má právo požádat Společnost o informaci, zda jsou nebo nejsou osobní údaje, které se subjektu údajů týkají, zpracovávány a o přístup k těmto osobním údajům.
Subjekt údajů má dále právo na opravu svých osobních údajů (v případě nepřesných osobních údajů a doplnění neúplných osobních údajů).
Pokud je dán jeden z těchto důvodů, má právo na výmaz osobních údajů:
- osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovávány
- subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro jejich zpracování
- subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování
- osobní údaje byly zpracovány protiprávně
- osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie (EU) nebo právu ČR, které se na Společnost vztahuje.
V případech popsaných v čl. 17 odst. 3 písm. a) – e) Nařízení o GDPR se právo neuplatní.
Právo na omezení zpracování je možno použít v případě, že:
- subjekt údajů popře přesnost na dobu potřebnou k tomu, aby bylo možno přesnost osobních údajů ověřit
- zpracování je protiprávní a subjekt údajů žádá místo výmazu osobních údajů omezení jejich použití
- osobní údaje již Společnost nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků
- subjekt údajů vznese námitku proti zpracování osobních údajů. Zpracování osobních údajů bude probíhat v omezeném rozsahu, dokud nebude ověřeno, zda oprávněné důvody Společnosti převažují nad oprávněnými důvody subjektu údajů.
Právo na přenositelnost znamená, že lze požádat Společnost o získání/předání osobních údajů v případě, že zpracování osobních údajů je založeno na souhlasu (dle Nařízení o GDPR čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b)) a zpracování se provádí automatizovaně.
V případě osobních údajů, které jsou zpracovávány na základě souhlasu, má subjekt údajů právo tento svůj souhlas odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházející ze souhlasu, který byl dán před jeho odvoláním. Odvolání výslovného souhlasu lze učinit zasláním požadavku na korespondenční adresu Klinika reprodukční medicíny a gynekologie Zlín, U Lomu 638, 760 01 Zlín nebo prostřednictvím e-mailu pověřence pro ochranu osobních údajů Lenka.Brazdilova@ivfzlin.cz.
Subjekt údajů má právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.
V případě, že dojde v rámci zpracování osobních údajů Společností k porušení zabezpečení těchto údajů, které bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí Společnost toto porušení bez zbytečného odkladu ÚOOÚ a na svých webových stránkách.
7. ZÁKLADNÍ PRÁVNÍ PŘEDPISY UPRAVUJÍCÍ PROBLEMATIKU OSOBNÍCH ÚDAJŮ
- Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) s účinností od 25.5.2018
- Zákon č. 110/2019 Sb., o zpracování osobních údajů
- Zákon č. 111/2019 Sb., zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů