Směrnice o ochraně Osobních údajů

(dále jen „Směrnice“)

 

Preambule a účel Směrnice

 

  1. Společnost Klinika NAU s.r.o, IČO: 193 17 611, společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Ostravě, oddíl C, vložka 92540 (dále jen „Klinika“) je Správcem a případně může být i Zpracovatelem Osobních údajů.
  2. Klinika tímto stanovuje v souladu s čl. 30, 32, 35 a dalšími GDPR tuto Směrnici upravující procesy pro zpracování Osobních údajů na Klinice a obecná technicko-organizační opatření k zabezpečení ochrany Osobních údajů.
  3. Zpracovávat Osobní údaje při působení v rámci Kliniky je možné pouze v souladu s GDPR, případně dalšími relevantními právními předpisy a při současném šetření práv osob, jejichž údaje jsou zpracovávány.
  4. Tato Směrnice slouží zejména Partnerům a jiným spolupracovníkům a zaměstnancům Kliniky pro stanovení postupu při nakládání s Osobními údaji v rámci působení na Klinice.

 

 

Čl. 1 Definice použité ve Směrnici

 

1.1. Pojmy používané v této Směrnici s velkým počátečním písmenem budou mít pro účely této Směrnice níže uvedený význam:

 

„Citlivý údaj“
Zvláštní kategorii Osobních údajů – Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, zdravotnických, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
 
„GDPR“ či „Nařízení“
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním Osobních údajů a o volném pohybu těchto údajů a o zrušení Směrnice 95/46/ES (obecné nařízení o ochraně Osobních údajů).
 
„Osobní údaj“
Veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
 
„Partner Kliniky“
Osoba ve smluvním vztahu, ať již na základě pracovní smlouvy, smlouvy o pracích konaných mimo pracovní poměr, či na základě smlouvy o spolupráci s Klinikou.
 
„Pověřená osoba“
Osoba pověřená zpracováním Osobních údajů v rámci Kliniky vzhledem k jejímu pracovnímu zařazení, či osoba písemně pověřená Klinikou.
 
„Pověřenec“
Pověřenec pro ochranu osobních údajů ve smyslu čl. 37 GDPR.
 
„Směrnice“
Znamená tato Směrnice Kliniky č. 1/2023, o ochraně Osobních údajů.
 
„Klinika“
Společnost Klinika NAU s.r.o, IČO: 193 17 611, společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Ostravě, oddíl C, vložka 92540.
 
„Správce“
Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování Osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.
 
„Subjekt údajů“
Fyzická osoba, k níž se Osobní údaje vztahují.
 
„Zákon o občanských průkazech“
Zákon č. 328/1999 Sb. o občanských průkazech.
 
„Zákon o zpracování Osobních údajů“
Zákon o zpracování Osobních údajů, který je adaptovaný na Nařízení a nahradil zákon č. 101/2000 Sb., o ochraně Osobních údajů.
 
„Zákon o svobodném přístupu k informacím“
Zákon č. 106/1999 Sb. o svobodném přístupu k informacím.
 
„Zákon o zaměstnanosti“
Zákon č. 435/2004 Sb., o zaměstnanosti.
 
„Zákon o zdravotních službách“
Zákon č. 372/2011 Sb., o zdravotních službách.
 
„Zákoník práce“
Zákon č. 262/2006 Sb., zákoník práce.
 
„Vyhláška o zdravotnické dokumentaci“
Vyhláška č. 98/2012 Sb., o zdravotnické dokumentaci.
 
„Zodpovědná osoba“
Osobou zodpovědnou v rámci Kliniky za ochranu Osobních údajů je MUDr. Bc. Karel Fousek, jednatel Kliniky.
 
„Zpracovatel“
Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává Osobní údaje pro správce, a to včetně Partnerů Kliniky.
 
„Zpracování“
Jakákoliv operace nebo soubor operací s Osobními údaji nebo soubory Osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

 

1.2. Nevyplývá-li z kontextu něco jiného, pojmy užité v této Směrnici mají shodný význam jako v Nařízení.

 

 

Čl. 2 Úvodní ustanovení

 

2.1. Tato Směrnice předepisuje požadavky a postupy nutné pro řádné nakládání s Osobními údaji všech Partnerů Kliniky a dalších osob, které pro Kliniku vykonávají práci, uchazečů o zaměstnání a případně dalších spolupracujících osob, jejichž Osobní údaje Klinika zpracovává. Tato Směrnice dále definuje odpovědnost, pravomoci a povinnosti osob, které jsou ze svého pracovního či smluvního zařazení pověřeny s Osobními údaji nakládat. Ve Směrnici předepsaná pravidla se vztahují na zpracování Osobních údajů Klinikou jako Správcem údajů i jako Zpracovatelem údajů, není-li dále stanoveno jinak.

 

2.2. Naplňování povinností Kliniky v oblasti ochrany Osobních údajů je nedílnou součástí plnění smluvních a pracovních povinností všech zaměstnanců a Partnerů Kliniky. Všechny osoby, které v rámci své činnosti pro Kliniku přijdou do styku s Osobními údaji, jsou povinny takové údaje využít pouze pro účely, pro něž byly shromážděny a jsou povinny zachovávat mlčenlivost o těchto údajích, a to jak vůči třetím osobám, tak vůči zaměstnancům a jiným Partnerům Kliniky, kteří je nezbytně nepotřebují k výkonu své práce. Stejná povinnost platí ohledně technicko-organizačních opatření realizovaných na Klinice za účelem ochrany Osobních údajů. Všechny osoby, které v rámci své činnosti pro Kliniku přijdou do styku s Osobními údaji, jsou povinny také dodržovat veškerá aplikovaná bezpečnostní opatření a pokyny. Povinnost mlčenlivosti trvá bez časového omezení i po zániku smluvního vztahu příslušné osoby ke Klinice.

 

2.3. Tento pokyn je závazný pro všechny Partnery Kliniky, stejně jako pro zaměstnance a jiné pracovníky Kliniky. Tito jsou povinni se s tímto pokynem seznámit a dodržovat veškerá ustanovení v něm obsažená.

 

2.4. Porušení jakékoli povinnosti dle tohoto pokynu ze strany Partnera Kliniky bude považováno za závažné porušení smluvních povinností či povinností vyplývající z právních předpisů vztahujících se k vykonávané práci a příslušná osoba bude odpovídat za škodu vzniklou v důsledku porušení povinnosti.

 

 

Čl. 3 Pravidla zpracování Osobních údajů

 

3.1. S Osobními údaji Subjektů údajů jsou oprávněny nakládat a zpracovávat je výhradně osoby, u kterých nutnost zpracování Osobních údajů vyplývá z jejich smluvního či pracovního zařazení v rámci Kliniky nebo jiné osoby písemně pověřené Klinikou (dále jen „Pověřené osoby“). Jiné než Pověřené osoby nesmějí s Osobními údaji Subjektů údajů žádným způsobem nakládat.

 

3.2. Pověřené osoby mají povinnost dodržovat veškeré povinnosti vyplývající pro Kliniku, jako Správce nebo Zpracovatele Osobních údajů, z GDPR a dalších obecně závazných právních předpisů.

 

3.3. Právní základem (důvodem) pro zpracování Osobních údajů Subjektů údajů mohou být v souladu s článkem 6 GDPR zejména, tedy Osobní údaje je možné zpracovávat zejména, v následujících případech:

a) Zpracování Osobních údajů je nezbytné pro uzavření nebo plnění smlouvy se Subjektem údajů;

b) Zpracování Osobních údajů je nezbytné pro splnění právní povinnosti, která se na Kliniku vztahuje (např. podle Zákoníku práce, Zákona o zdravotních službách, Vyhlášky o zdravotnické dokumentaci, nebo právních předpisů o sociálním zabezpečení atd.);

c) Zpracování je nezbytné pro účely oprávněných zájmů Kliniky či třetí strany (např. ochrana majetku);

d) Zpracování je nezbytné pro účely poskytnutí zdravotnických a jiných obdobných služeb Klinikou či ze strany Partnerů Kliniky;

e) Subjekt údajů udělil souhlas se zpracováním svých Osobních údajů pro jeden či více konkrétních účelů. Zpracování Osobních údajů na základě souhlasu Subjektu údajů by mělo být využíváno pouze v případě, že nelze Osobní údaje zpracovávat na základě jiného důvodu. Subjekt údajů musí udělit souhlas pro jeden či více konkrétních účelů a musí mít možnost jej kdykoliv odvolat. Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný. Pokud je souhlas udělován zaškrtnutím políčka, musí být políčko zaškrtnuté a uživatel musí toto políčko sám aktivně zaškrtnout.

 

Před zahájením nové činnosti zpracování Osobních údajů na základě jiného právního důvodu než důvodu uvedeného výše pod písm. a) a v případě pochybností a přípustnosti právního důvodu nové činnost zpracování Osobních údajů je Pověřená osoba povinna kontaktovat Zodpovědnou osobu nebo případně jiného nadřízeného vedoucího zaměstnance.

 

3.4. Účelem zpracování Osobních údajů Subjektů údajů je zejména:

 

a) u uchazečů o zaměstnání, Partnerů Kliniky, zaměstnanců či jiných pracovníků:

I. výběr uchazečů o zaměstnání a vedení související personální agendy;

II. vedení mzdové a personální agendy zaměstnanců či jiných pracovníků včetně uzavření a plnění pracovní smlouvy, dohody o pracovní činnosti, dohody o provedení práce, popř. smlouvy o dílo, mandátní či jiné smlouvy,

III. ednání o změně smlouvy, výkon práv a povinností Kliniky vyplývajících z těchto smluv a z obecně závazných právních předpisů, zejména ze Zákoníku práce, Zákona o zaměstnanosti, Zákona o poskytování zdravotních služeb, předpisů o sociálním zabezpečení, daňových předpisů a zákona o archivnictví;

IV. kontrola plnění pracovních povinností,

V. kontrola plnění smlouvy, na základě které Partner spolupracuje s Klinikou;

VI. ochrana majetku Kliniky a podnikatelská činnost Kliniky;

 

b) u dalších osob vč. Klientů Kliniky:

I. uzavření a plnění smluv, zejména v podobě poskytování zdravotnických a jiných obdobných služeb ze strany Kliniky či ze strany Partnerů Kliniky;

II. vymáhání práv ze smluv;

III. oprávněné zájmy Kliniky (např. vytváření interních statistik a reportů);

IV. ochrana majetku.

 

3.5. Zpracování Osobních údajů k jinému než výše uvedenému účelu je možné pouze za předpokladu, že Klinika takový účel zpracování údajů určí. V případě, že je k takovému zpracování nezbytný souhlas Subjektu údajů, určí jeho obsah v konkrétním případě Zodpovědná osoba. Osobní údaje Subjektů údajů zpracovávané k účelu uvedenému v bodech výše uvedených nesmějí být sdružovány s Osobními údaji získanými Klinikou k rozdílným účelům. Před zahájením nové činnosti zpracování Osobních údajů k jinému účelu výše uvedenému nebo v případě pochybností o přípustnosti zpracování Osobních údajů k jinému účelu je Pověřená osoba povinna kontaktovat Zodpovědnou osobu nebo případně jiného nadřízeného vedoucího zaměstnance.

 

3.6. Zpracovávány mohou být Osobní údaje odpovídající pouze Klinikou stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu. Citlivé údaje mohou být zpracovávány jen v nezbytně nutných případech a při poskytování zdravotních a jiných obdobných služeb ze strany Kliniky.

 

3.7. Pověřené osoby jsou oprávněny zpracovávat Osobní údaje pouze v rozsahu, který vyplývá z pracovního zařazení příslušné Pověřené osoby. V případě pochybností o rozsahu oprávnění je Pověřená osoba povinna kontaktovat Zodpovědnou osobu nebo případně jiného nadřízeného vedoucího zaměstnance.

 

3.8. Pověřené osoby jsou povinny zpracovávat Osobní údaje pouze prostředky a způsoby stanovenými Klinikou a podle pokynů Zodpovědné osoby nebo případně jiného nadřízeného vedoucího zaměstnance. Jsou povinny zpracovávat pouze přesné Osobní údaje, které byly získány v souladu se stanoveným účelem zpracování. Dále jsou povinny Osobní údaje aktualizovat na základě změn a doplnění nahlášených příslušným Subjektem údajů nebo na základě pokynu nadřízeného.

 

 

Čl. 4 Zahájení zpracování a vedení záznamů o činnostech zpracování

 

4.1. Pověřená osoba musí předem konzultovat se Zodpovědnou osobou nebo případně jiným nadřízeným vedoucím zaměstnancem jakoukoliv novou činnost nebo změnu činnosti zpracování Osobních údajů (například zpracování Osobních údajů za jiným než určeným účelem, uchování Osobních údajů na delší dobu, zpracování Osobních údajů jinými prostředky nebo předání Osobních údajů jinému subjektu – Zpracovateli či Správci údajů apod.).

 

4.2. Za tímto účelem bude před zahájením zpracování k jinému než výše uvedenému účelu (tedy účelu podle čl. 3.4 této Směrnice) vyhotoven Zodpovědnou osobou Záznam o činnosti zpracování Osobních údajů, který Klinika vede pro jednotlivé činnosti zpracování Osobních údajů. Náležitosti záznamu o činnosti zpracování naplňuje například Vzor tohoto záznamu o činnosti zpracování, který je přílohou této Směrnice. Tento záznam lze vést i v elektronické podobě. V případě, že Klinika zpracovává údaje jako správce údajů, vyplní Zodpovědná osoba záznam o činnosti zpracování pro Správce údajů. V případě, že Klinika zpracovává údaje jako zpracovatel údajů, vyplní Zodpovědná osoba záznam o činnosti zpracování pro Zpracovatele údajů.

 

4.3. V případě kontroly ze strany příslušného dozorového úřadu (Úřadu pro ochranu osobních údajů) si může úřad tyto záznamy od Kliniky vyžádat, proto Zodpovědné osoby dbají ve spolupráci s Pověřenými osobami na rádné vedení těchto záznamů.

 

 

Čl. 5 Práva Subjektů údajů a plnění korespondujících povinností kliniky

 

5.1. Právo na informace. Informační povinnost dle Nařízení plní Klinika prostřednictvím sdělení na webu Kliniky nau.clinic, a to v rámci Zásad ochrany osobních údajů na tomto webu zveřejněných.

 

5.2. Pokud tyto informace nebudou Subjektu údajů poskytnuty dle předchozího článku této Směrnice, poskytne příslušná Pověřená osoba při shromažďování Osobních údajů Subjektu údajů alespoň následující informace v souladu s článkem 13 odst. 1 GDPR:

a) Identifikační a kontaktní údaje Kliniky, případně odpovědného zástupce;

b) Účely zpracování, pro které jsou Osobní údaje určeny a právní základ (důvod) pro zpracování;

c) Oprávněné zájmy Kliniky jako správce údajů nebo třetí strany v případě, že je zpracování založeno na tomto právním základě (důvodu);

d) Příjemce nebo kategorie příjemců Osobních údajů (tzn. zejména zpracovatele údajů, kterým jsou Osobní údaje předány ke zpracování);

e) Případný úmysl předat Osobní údaje mimo EU (budou-li údaje předávány mimo EU);

 

5.3. Pokud tyto informace nebudou Subjektu údajů poskytnuty jinak, příslušná Pověřená osoba při shromažďování Osobních údajů poskytne Subjektů údajů i tyto další informace v souladu s článkem 13 odst. 2 GDPR („je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování Osobních údajů“):

a) Doba, po kterou budou Osobní údaje uloženy, nebo alespoň kritéria použitá pro stanovení této doby;

b) Poučení o existenci práv Subjektů údajů včetně práva podat stížnost u dozorového úřadu;

c) Poučení o existenci práva odvolat kdykoli souhlas, pokud bylo zpracování Osobních údajů založeno na souhlasu uděleném Subjektem údajů;

d) Skutečnost, zda má subjekt údajů povinnost Osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;

e) Skutečnost, že dochází k automatizovanému rozhodování, včetně profilování a informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

 

5.4. Výše popsaná informační povinnosti se vztahuje pouze na zpracování Osobních údajů, kdy Klinika zpracovává údaje jako Správce údajů. V případě, že Klinika zpracovává údaje jako zpracovatel údajů, plní informační povinnost správce údajů, kterým může být za určitých okolností Partner Kliniky, ledaže smlouva o zpracování Osobních údajů uzavřená mezi Klinikou a správcem údajů stanoví jinak. V takovém případě musí Pověřená osoba plnit informační povinnost vůči Subjektu údajů v rozsahu sjednaném dle smlouvy o zpracování Osobních údajů uzavřené mezi Klinikou a správcem údajů.

 

5.5. Právo na přístup k Osobním údajům a jejich přenositelnost. Klinika umožní Subjektu údajů přístup k Osobním údajům, které se ho týkají a které Klinika zpracovává, stejně tak jako k dalším níže uvedeným informacím, na webových stránkách Kliniky:

a) účely zpracování;

b) kategorie dotčených Osobních údajů;

c) příjemci nebo kategorie příjemců, kterým Osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

d) plánovaná doba, po kterou budou Osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

e) existence práva požadovat od správce opravu nebo výmaz Osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování, anebo vznést námitku proti tomuto zpracování;

f) právo podat stížnost u dozorového úřadu;

g) veškeré dostupné informace o zdroji Osobních údajů, pokud nejsou získány od subjektu údajů;

h) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

 

5.6. Klinika poskytne Subjektu údajů na jeho žádost kopii zpracovávaných Osobní údajů prostřednictvím e-mailového kontaktu s Klinikou v běžném, strojově čitelném formátu (např. .xls, .cvs, .xml).

 

5.7. Právo na opravu. Subjekt údajů má právo na to, aby Klinika bez zbytečného odkladu opravila nepřesné Osobní údaje či provedla jejich doplnění. Tento úkon provádí zejména Pověřené osoby.

 

5.8. Právo na výmaz („právo být zapomenut“). Subjekt údajů má právo na to, aby Klinika bez zbytečného odkladu vymazala Osobní údaje, které se daného subjektu údajů týkají. Každou takovouto žádostí se Pověřená osoba musí zabývat a prověřit, jestli je Klinika povinna jí vyhovět.

 

5.9. Klinika má povinnost Osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

a) Osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

b) Subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování;

c) Subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování pro účely přímého marketingu;

d) Osobní údaje byly zpracovány protiprávně;

e) Osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Evropské Unie nebo členského státu, které se na správce vztahuje;

f) Osobní údaje byly shromážděny na základě souhlasu v souvislosti s nabídkou služeb Kliniky dítěti mladšímu 16 let, a současně, nebyl dán souhlas zákonného zástupce s takovým shromážděním.

 

5.10. Klinika informuje Zpracovatele, kteří tyto Osobní údaje zpracovávají, že je Subjekt údajů žádá, aby veškeré Osobní údaje vymazali.

 

5.11. Právo na výmaz Subjektu údajů nepřísluší, zejména pokud je zpracování nezbytné pro výkon práva na svobodu projevu a informace, pro splnění právní povinnosti, z důvodů veřejného zájmu či pro určení, výkon nebo obhajobu právních nároků.

 

5.12. Právo na omezení zpracování. Subjekt údajů má právo na to, aby Klinika omezila zpracování, v kterémkoli z těchto případů:

a) subjekt údajů popírá přesnost Osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost Osobních údajů ověřit;

b) zpracování je protiprávní a subjekt údajů odmítá výmaz Osobních údajů a žádá místo toho o omezení jejich použití;

c) správce již Osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;

d) subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody Kliniky převažují nad oprávněnými důvody Subjektu údajů.

 

5.13. Pokud bylo zpracování omezeno dle předchozího odstavce, mohou být tyto Osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem Subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu. Subjekt údajů, který dosáhl omezení zpracování, je Klinikou předem upozorněn na to, že bude omezení zpracování zrušeno.

 

5.14. Oznamovací povinnost. S výjimkou případů, kdy je to nemožné či by to vyžadovalo nepřiměřené úsilí, se jakýmkoliv příjemcům Osobních údajů oznamuje každá oprava, výmaz či omezení zpracování dle tohoto článku Směrnice.

 

5.15. Právo vznést námitku. Subjekt údajů má z důvodů týkajících se jeho situace právo vznést námitku proti určitým zpracováním jeho Osobních údajů. Vyřizování jednotlivých námitek přísluší jednateli Kliniky, který může tuto povinnost převést na Pověřence.

 

 

Čl. 6 Doba uchování Osobních údajů

 

6.1. Před vznikem pracovního poměru či jiného smluvního vztahu, na základě kterého má dojít ke spolupráci Partnera s Klinikou, mohou Osobní údaje uchazečů o zaměstnání a jiných osob v obdobném postavení shromažďovat a zpracovávat zaměstnanci osoby provádějící výběrové řízení. Zpracovávány mohou být pouze Osobní údaje, které bezprostředně souvisejí s uzavřením pracovní či jiné smlouvy. Nesmějí být vyžadovány informace uvedené v § 12 odst. 2 Zákona o zaměstnanosti. Po obsazení příslušného pracovního místa budou Osobní údaje neúspěšných uchazečů bezodkladně vráceny těmto uchazečům nebo zlikvidovány.

 

6.2. Za trvání pracovněprávního vztahu či jiného smluvního vztahu mezi Klinikou a Subjektem údajů mohou Osobní údaje Subjektů údajů zpracovávat přímí nadřízení Subjektů údajů a případně zaměstnanci pověření personální či mzdovou agendou. Zpracovávány mohou být pouze Osobní údaje nezbytné pro plnění pracovní smlouvy, dohody o pracovní činnosti, dohody o provedení práce, popř. smlouvy o dílo, mandátní či jiné smlouvy vč. smlouvy o spolupráci, jednání o změně smlouvy, výkon práv a povinností Kliniky vyplývajících z těchto smluv a z obecně závazných právních předpisů nebo jiné další účely a důvody nezbytné ke zpracování Osobních údajů anebo případně se souhlasem Subjektů údajů, nelze-li Osobní údaje zpracovávat na základě jiného důvodu.

 

6.3. Po skončení pracovněprávního vztahu či jiného smluvního vztahu mezi Klinikou a Subjektem údajů mohou být Osobní údaje Subjektů údajů uchovávány, popř. jinak zpracovávány pouze po nezbytnou dobu a v rozsahu nezbytném ke splnění povinností Kliniky podle obecně závazných právních předpisů nebo uplatňování práv Klinikou, popř. jiné osoby v soudním či správním řízení. Doba uchování jednotlivých kategorií Osobních údajů je stanovena v příloze této Směrnice.

 

6.4. Osobní údaje Subjektů údajů, kteří byli zachyceni kamerovým systémem, mohou být uchovávány, popř. jinak zpracovávány pouze po dobu 3 dní, případně po nezbytnou dobu s ohledem ke splnění povinností Kliniky podle obecně závazných právních předpisů nebo uplatňování práv Kliniky, popř. jiné osoby v soudním či správním řízení.

 

6.5. Osobní údaje zpracovávané na základě souhlasu lze zpracovávat nejdéle do doby odvolání tohoto souhlasu, což může Subjekt údajů učinit kdykoliv. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Odvolání souhlasu též nemá vliv na zpracování Osobních údajů, které Klinika zpracovává na základě jiného právního základu, než je souhlas (tj. zejména je‐li zpracování nezbytné pro splnění smlouvy, právní povinnosti či z jiných důvodů uvedených v platných právních předpisech).

 

 

Čl. 7 Osoby oprávněné nakládat s Osobními údaji a pověřenec pro ochranu osobních údajů

 

7.1. S dokumenty obsahujícími Osobní údaje Subjektů údajů, je oprávněna nakládat zejména Pověřená osoba, tedy osoba pověřená zpracováním Osobních údajů v rámci Kliniky vzhledem k jejímu pracovnímu zařazení, či osoba písemně pověřená Klinikou.

 

7.2. Osobní údaje mohou být zpracovávány manuálním i automatizovaným způsobem. Pravidla pro nakládání s Osobními údaji obsažená v tomto dokumentu se vztahují na všechny prostředky zpracování Osobních údajů.

 

7.3. Osobní spisy Subjektů údajů mohou obsahovat pouze Osobní údaje nezbytné pro výkon práce se Subjekty údajů. Nakládat s Osobními spisy mohou jen Pověřené osoby, jež byly pověřeny vedením Osobních spisů, a nadřízený příslušného Subjektu údajů. Uvedené Pověřené osoby vedou evidenci spisů či zdravotnické dokumentace. Zdravotnická dokumentace nesmí být zpřístupněna jiné osobě, která podle příslušné právní úpravy není oprávněna nakládat se zdravotnickou dokumentací. Údaje ze zdravotnické dokumentace mohou být poskytnuty také osobám, které nejsou z titulu své profese oprávněny nakládat se zdravotnickou dokumentací, pokud k tomu Subjekt údaje udělil souhlas.

 

7.4. Pověřené osoby nejsou oprávněny předávat Osobní údaje Subjektů údajů třetím osobám, a to ani uvnitř Kliniky, ani mimo ní, s výjimkou případů, kdy je to nezbytné ke splnění právní povinnosti Kliniky, zejména v případě stanovených právní úpravou v oblasti poskytování zdravotních služeb, zejména potom tehdy, je-li takové poskytnutí nezbytné s ohledem na stanovení optimálního léčebného postupu.

 

7.5. Pověřené osoby nejsou oprávněny Osobní údaje Subjektů údajů kopírovat, upravovat, odstraňovat apod., s výjimkou případů, kdy je to nezbytné ke splnění právní povinnosti Kliniky.

 

7.6. Pověřené osoby jsou povinny dokumenty obsahující Osobní údaje určené k likvidaci skartovat a jiné druhy nosičů Osobních údajů přiměřeným způsobem zničit. O výmazu nebo zničení Osobních údajů jsou pověřené osoby povinny sepsat záznam.

 

7.7. Pověřené osoby jsou oprávněny pořizovat a uchovávat kopie Osobních dokladů (občanské průkazy, pasy, řidičské průkazy atd.) pouze s předchozím souhlasem Subjektu údajů, nebo pokud je pořízení takové kopie stanoveno obecně závazným právním předpisem. Pořízení kopie Osobního dokladu musí být vždy v souladu s účelem zpracování Osobních údajů; pokud některé Osobní údaje obsažené v Osobním dokladu nejsou z hlediska účelu zpracování nezbytné, nebudou takové údaje dále zpracovávány.

 

7.8. Pověřené osoby jsou povinny zajistit souhlas Subjektu údajů se zpracováním osobních údajů, a to při zahájení jakéhokoliv zpracování osobních údajů Subjektu údajů v rámci působení na Klinice, tedy jak při zahájení čerpání služeb ze strany nového klienta, kterým je Subjekt údajů, tak v případě, že Pověřená osoba vkládá již dříve získané osobní údaje Subjektu údajů do systému Kliniky.

 

7.9. Pověřenec v rámci zpracovávání Osobních údajů vykonává zejména tyto činnosti:

a) poskytuje informace a poradenství Pověřeným osobám a jinému personálu Kliniky, kteří provádějí zpracování Osobních údajů či s Osobními údaji jiným způsobem nakládají, a to kdykoliv na vyžádání personálu Kliniky;

b) monitoruje soulad zpracování Osobních údajů v rámci působení na Klinice s podmínkami stanovenými právní úpravou;

c) výlučně zajišťuje spolupráci s dozorovým úřadem;

d) působí jako kontaktní místo pro dozorový úřad týkající se jakéhokoliv zpracování Osobních údajů.

 

7.10. Personál Kliniky je povinen řídit se v oblasti nakládání s Osobními údaji pokyny Pověřence, ledaže jsou takové pokyny v rozporu s právní úpravou.

 

 

Čl. 8 Kontrola zpracování Osobních údajů

 

8.1. Jednatel Kliniky provádí pravidelnou kontrolu dodržování povinností Pověřených osob při nakládání s Osobními údaji, o výsledku kontroly vede písemné záznamy, ukládá Pověřeným osobám opatření k nápravě a kontroluje plnění takových opatření. Jednatel může tuto povinnost převést na jakéhokoliv člena personálu Kliniky.

 

8.2. V případě zjištění porušení nebo hrozícího porušení opatření na ochranu Osobních údajů Subjektů údajů je každá osoba, která zjistí takové porušení nebo hrozící porušení, povinna okamžitě informovat svého přímého nadřízeného či Pověřence. Přímý nadřízený této osoby či Pověřenec je následně povinen okamžitě provést opatření potřebná k zabránění porušení nebo dalšího porušování a nápravě jeho následků a informovat o této skutečnosti jednatele Kliniky. Jednatel Kliniky je povinen ověřit účinnost přijatých opatření a případně uložit další opatření a zajistit jejich provedení.

 

 

Čl. 9 Obecná pravidla zabezpečení Osobních údajů

 

9.1. Pověřené osoby jsou povinny dodržovat technická a organizační opatření k zajištění odpovídající úrovně zabezpečení zpracování Osobních údajů, a to s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody Subjektů údajů. Při posuzování vhodné úrovně bezpečnosti zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných Osobních údajů, nebo neoprávněný přístup k nim.

 

9.2. Zejména v případě, kdy vedoucí zaměstnanec vyhodnotí, že některá činnost zpracování Osobních údajů by mohla mít za následek riziko pro práva a svobody Subjektů údajů anebo pro Kliniku, zpracuje ve spolupráci s IT pracovníky, případně právními poradci, záznam o bezpečnostních opatřeních k zajištění zabezpečení této činnosti zpracování Osobních údajů. Vzor záznamu o bezpečnostních opatřeních k zabezpečení zpracování Osobních údajů je přílohou této Směrnice.

 

9.3. Klinika vnitřním předpisem či pokynem jednatele Kliniky stanoví konkrétní způsob uchovávání Osobních údajů, který musí respektovat podmínky uvedené v této Směrnici, zejména se může jednat o interní systém Kliniky. Pokud je takový předpis vydán či pokyn sdělen, je každý člen personálu Kliniky povinen se jím řídit a Osobní údaje uchovávat výlučně v souladu s ním, zejména je povinen využívat interní systém Kliniky a vést obdobným způsobem také zdravotnickou dokumentaci.

Pověřené osoby nesmějí sdělit jiné osobě, a to ani jiné Pověřené osobě, přístupová hesla k systémům pro automatizované zpracování Osobních údajů, hesla k zabezpečovacím zařízením apod.

 

 

Čl. 10 Mlčenlivost

 

10.1. Pověřené osoby jsou povinny zachovávat mlčenlivost o Osobních údajích. Pověřené osoby, jakož i zaměstnanci Kliniky a jiné osoby spolupracující s Klinikou na smluvním základě, jsou povinny zachovávat mlčenlivost o bezpečnostních opatřeních k jejich ochraně, jejichž zveřejnění či zpřístupnění třetí osobě by mohlo ohrozit zabezpečení Osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo prací prováděných pro Kliniku. Mlčenlivost zahrnuje také mlčenlivost v souladu s příslušnou profesní úpravou, zejména lékařskou mlčenlivost u těch Partnerů a zaměstnanců Kliniky, na které se z podstaty výkonu jejich profese vztahuje.

 

 

Čl. 11 Ohlašování případů porušení zabezpečení Osobních údajů

 

11.1. Pověřené osoby jsou povinny informovat nadřízeného vedoucího zaměstnance a Pověřence o jakémkoliv porušení zabezpečení Osobních údajů ihned poté, co se o něm dozvěděli. Nadřízený vedoucí zaměstnanec či Pověřenec ve spolupráci s IT pracovníky, případně právními poradci, a dotčenými Pověřenými osobami sepíšou o tomto porušení zabezpečení Osobních údajů záznam, jehož vzor je přílohou této Směrnice.

 

11.2. Nadřízený vedoucí zaměstnanec či Pověřenec neprodleně vyhodnotí, zda je pravděpodobné, že by toto porušení zabezpečení Osobních údajů mělo za následek riziko pro práva a svobody dotčených Subjektů údajů. Pokud dospěje k závěru, že toto riziko je pravděpodobné, tak ve spolupráci s IT pracovníky a právními poradci bez zbytečného odkladu (nejpozději do 72 hodin od okamžiku, kdy se o případu porušení dozvěděla Pověřená osoba), ohlásí toto porušení dozorovému úřadu (Úřadu pro ochranu Osobních údajů) v souladu s článkem 33 GDPR. Ohlášení bude obsahovat alespoň tyto informace: popis povahy daného případu porušení zabezpečení Osobních údajů, včetně kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů Osobních údajů (je-li to možné); jméno a kontaktní údaje osoby, které poskytne bližší informace; popis pravděpodobných důsledků porušení zabezpečení Osobních údajů; popis přijatých opatření s cílem vyřešit (odstranit) porušení zabezpečení Osobních údajů a zmírnit možné nepříznivé dopady. Pokud tyto informace nebude možné poskytnout ve lhůtě do 72 hodin, budou poskytnuty dozorovému úřadu postupně bez dalšího zbytečného odkladu.

 

11.3. Nadřízený vedoucí zaměstnanec či Pověřenec současně neprodleně vyhodnotí, zda je pravděpodobné, že by toto porušení zabezpečení Osobních údajů mělo za následek vysoké riziko pro práva a svobody fyzických osob. Pokud dospěje k závěru, že toto vysoké riziko je pravděpodobné, tak ve spolupráci s IT pracovníky a právním oddělením bez zbytečného odkladu oznámí toto porušení Subjektům údajů v souladu s článkem 34 GDPR. Oznámení Subjektu údajů bude jasné a srozumitelné a bude obsahovat alespoň tyto informace: povaha porušení zabezpečení Osobních údajů; jméno a kontaktní údaje osoby, která poskytne bližší informace; popis pravděpodobných důsledků porušení zabezpečení Osobních údajů; popis přijatých opatření s cílem vyřešit (odstranit) porušení zabezpečení Osobních údajů a zmírnit možné nepříznivé dopady. Oznámení Subjektu údajů není nutné provést (po konzultaci s právním oddělením a IT pracovníky), bude-li splněna některá z těchto podmínek:

a) Klinika zavedla náležitá technická a organizační ochranná opatření a tato opatření byla použita u Osobních údajů dotčených porušením zabezpečení Osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;

b) Klinika přijala následná opatření, která zajistí, že vysoké riziko pro práva a svobody Subjektů údajů se již pravděpodobně neprojeví;

b) Pokud by oznámení Subjektům údajů vyžadovalo nepřiměřené úsilí. V takovém případě musí být Subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

 

11.4. Výše popsané povinnosti ohlásit a oznámit případy porušení ochrany Osobních údajů se nevztahují na zpracování Osobních údajů Klinikou jako zpracovatelem údajů. V případě, že se Pověřená osoba dozví o porušení zabezpečení Osobních údajů zpracovávaných Klinikou jako zpracovatelem údajů, je povinna ihned informovat Zodpovědnou osobu, Pověřence či jiného nadřízeného vedoucího zaměstnance a tato osoba ve spolupráci s IT pracovníky, případně právními poradci, a dotčenými Pověřenými osobami sepíšou o tomto porušení zabezpečení Osobních údajů záznam, jehož vzor je přílohou této Směrnice, a zároveň o tomto informují příslušného správce údajů, pro kterého Klinika Osobní údaje zpracovává.

 

 

Čl. 12 Posouzení vlivu na ochranu Osobních údajů

 

12.1. Před zpracováním Osobních údajů, které by mohlo mít za následek vysoké riziko pro práva a svobody Subjektů údajů (zejména vzhledem k použitým technologiím, povaze, rozsahu, kontextu a účelu zpracování) vyhodnotí nadřízený vedoucí zaměstnanec či Pověřenec ve spolupráci s IT pracovníky a právními poradci, zda je nutné provést posouzení vlivu na ochranu Osobních údajů v souladu s článkem 35 GDPR. Posouzení vlivu je nutné zpracovat především v těchto případech:

a)systematické a rozsáhlé vyhodnocování Osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad (např. rozhodují o tom, zda Klinika uzavře s touto osobou smlouvu nebo ji poskytne plnění či nikoliv);

b) rozsáhlé zpracování citlivých údajů; nebo

c) rozsáhlé systematické monitorování veřejně přístupných prostorů.

 

12.2. V případě, že nadřízený vedoucí zaměstnanec ve spolupráci s IT pracovníky a právními poradci vyhodnotí, že bude nutné u daného zpracování Osobních údajů zpracovat posouzení vlivu, tak tyto osoby zpracují záznam o posouzení vlivu, který bude obsahovat alespoň:

a) systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů Kliniky;

b) posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;

c) posouzení rizik pro práva a svobody Subjektů údajů vzhledem k použitým technologiím, povaze, rozsahu, kontextu a účelu zpracování; a

d) plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany Osobních údajů a k doložení souladu s GDPR, s přihlédnutím k právům a oprávněným zájmům Subjektů údajů a dalších dotčených osob.

 

12.3. Pokud z tohoto posouzení vlivu na ochranu Osobních údajů vyplývá, že by dané zpracování mělo za následek vysoké riziko, pokud by Klinika nepřijala opatření ke zmírnění tohoto rizika, nadřízený vedoucí zaměstnanec či Pověřenec ve spolupráci s IT pracovníky a právními poradci kontaktuje dozorový úřad (Úřad pro ochranu Osobních údajů) za účelem předchozí konzultace v souladu s článkem 36 GDPR.

 

12.4. Povinnost zpracovat posouzení vlivu na ochranu Osobních údajů se nevztahuje na zpracování Osobních údajů Klinikou jako zpracovatelem údajů.

 

 

Čl. 13 Závěrečná ustanovení

 

13.1. Nakládání s Osobními údaji prováděné přede dnem účinnosti tohoto dokumentu musí být uvedeno v souladu s tímto pokynem neprodleně po nabytí jeho účinnosti.

 

13.2. Tato Směrnice se vydává na dobu neurčitou.

 

13.3. Klinika je oprávněna tuto Směrnici kdykoliv změnit. O změně bude Klinika včas a předem informovat.

 

Dne 2. 9. 2023 v Ostravě

 

za Kliniku

 

MUDr. Karel Fousek, jednatel