Zpracování osobních údajů v ZP 211

Informační memorandum GDPR

Informace o zpracování osobních údajů

Zdravotní pojišťovna Ministerstva vnitra ČR v souvislosti s nařízením Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen „GDPR“) tímto jako správce osobních údajů poskytuje široké veřejnosti obecnou informaci o tom, jakým způsobem zpracovává osobní údaje. 

Pro jednotlivé kategorie subjektů údajů či pro skupiny zpracování pak správce poskytuje podrobnější informace o zpracování osobních údajů.

Správce má povinnost zpracovávat osobní údaje vždy na základě alespoň jednoho právního titulu, který je uveden v čl. 6 odst. 1 GDPR. Pokud by tak nečinil, jednalo by se o nezákonné zpracování osobních údajů, neboť zajištění právního titulu zpracování je základní předpoklad pro možnost osobní údaje zpracovávat 

Správce zpracovává osobní údaje na základě různých právních titulů a za různými účely. Nejčastějším důvodem pro zpracování je plnění právní povinnosti správce, plnění smluvních povinností a plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci. V některých případech jsou osobní údaje zpracovávány rovněž na základě uděleného souhlasu či na základě oprávněného zájmu správce. 

Správce zpracovává osobní údaje na základě těchto právních titulů:

1. souhlas ve smyslu čl. 6 odst. 1 písm. a) GDPR,
2. splnění smlouvy ve smyslu čl. 6 odst. 1 písm. b) GDPR,
3. splnění právní povinnosti ve smyslu čl. 6 odst. 1 písm. c) GDPR,
4. splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci ve smyslu čl. 6 odst. 1 písm. e) GDPR a 
5. oprávněný zájem správce na základě čl. 6 odst. 1 písm. f) GDPR. 

1) Kdo je správcem Vašich osobních údajů?

Správcem osobních údajů je Zdravotní pojišťovna ministerstva vnitra České republiky se sídlem Vinohradská 2577/178, 130 00 Praha 3, IČO: 471 14 304 (dále jen „správce“). Správce zpracovává Vaše osobní údaje jak automatizovaně ve svých systémech, tak i neautomatizovaným způsobem, avšak nedochází při tom k profilování ani automatizovanému rozhodování. 

2) Jak můžete správce kontaktovat?

Správce je možné kontaktovat v jeho klientských centrech, jejichž seznam je uveden na webové stránce https://www.zpmvcr.cz/pracoviste. Správce je možné kontaktovat rovněž prostřednictvím provozovatele poštovních služeb na výše uvedené adrese nebo též prostřednictvím elektronické pošty na gdpr@zpmvcr.cz či prostřednictvím datové schránky ID: 9swaix3.

3) Má správce pověřence pro ochranu osobních údajů?

Pověřence pro ochranu osobních údajů je zaměstnanec správce, kterého můžete kontaktovat prostřednictvím elektronické pošty na gdpr@zpmvcr.cz.

4) Proč správce zpracovává Vaše osobní údaje?

Obecně je možné říci, že ve většině případů správce zpracovává Vaše osobní údaje proto, že mu tuto povinnost ukládají právní předpisy v oblasti veřejného zdravotního pojištění (např. povinnost zveřejňovat smlouvy s poskytovateli zdravotních služeb) případně též proto, aby mohl plnit smluvní povinnosti vyplývající ze vztahu pojišťovna a pojištěnec. Pokud není zpracování osobních údajů nařízeno jako výslovná právní povinnost, avšak je nutné, aby k dosažení cílů stanovených právním předpisem byly osobní údaje zpracovány, dochází k tomuto zpracování na základě úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen (např. povinnost kontrolní činnosti dle § 42 zákona č. 48/1997 Sb.).

V některých případech dochází ke zpracování rovněž na základě Vámi uděleného souhlasu či na základě oprávněného zájmu správce (např. při využití kamerového systému, odpovědi na dotazy apod.). 

V oblasti zasílání newsletterů správce postupuje v souladu se zákonem č. 480/2004 Sb. a zasílá Vám informace o novinkách buď na základě Vámi uděleného souhlasu nebo na základě vztahu pojišťovna – pojištěnec. V každé takto doručené e-mailové zprávě máte možnost newslettery odmítnout. 

5) Jaké osobní údaje správce zpracovává?

Správce zpracovává tyto kategorie osobních údajů:

a) identifikační a kontaktní – např.: titul, jméno, příjmení, adresa trvalého pobytu, případně adresa doručovací, e-mailová adresa, telefonní číslo, IČO, či IČP

b) platební – číslo bankovního účtu, předepsané odvody zdravotního pojištění, částky úhrad tzv. nadlimitů apod.

c) popisné – např.: vztah ke zdravotní pojišťovně (plátce x pojištěnec), 

d) zvláštní – údaje o poskytnutých zdravotních službách, které vypovídají o zdravotním stavu, 

6) Čí osobní údaje správce zpracovává?

Správce zpracovává osobní údaje především svých pojištěnců, zaměstnanců, poskytovatelů zdravotních služeb, účastníků marketingových soutěží a v případě kamerových systémů též osob, které se vyskytnout v záběru kamerového systému.

7) Jakým způsobem jsou osobní údaje pořizovány?

Osobní údaje jsou zpracovány v systémech správce automatizovaně, v některých případech též manuálně. 

8) Komu jsou osobní údaje dále předávány?

Na základě právními předpisy uložených povinností předává správce osobní údaje dalším státním orgánům. Příjemci osobních údajů jsou rovněž zpracovatelé, kteří pro správce některá zpracování vykonávají. 

9) Jak dlouho jsou osobní údaje zpracovávány?

Osobní údaje jsou zpracovávány po dobu, po kterou tak stanoví právní předpisy. Pokud pro některé zpracování není lhůta určena právním předpisem, pak je zpracování omezeno na dobu, po kterou trvá účel, za kterým byly osobní údaje shromážděny. Pokud je zpracování založena na souhlasu subjektu údajů, trvá zpracování po dobu, na kterou bylo souhlas udělen, nejdéle však do jeho odvolání. 

10) Odkud správce mé osobní údaje získal?

Správce získává osobní údaje především přímo od subjektů údajů na základě vztahu pojišťovna – pojištěnec případně na základě vztahu pojišťovna – poskytovatel zdravotních služeb. Správce je rovněž oprávněn získávat osobní údaje ze základních registrů státu.

11) Jaká mám jako subjekt údajů práva?

a) právo odvolat souhlas – toto právo náleží pouze tomu subjektu údajů, který udělil souhlas se zpracováním svých osobních údajů. Odvolání souhlasu nesmí být a není ze strany správce negativně hodnoceno;

b) právo požadovat přístup k osobním údajům – každý subjekt údajů může u správce žádat přístup ke svým osobním údajům, a to v rozsahu a za podmínek stanovených čl. 15 GDPR;

c) právo na opravu – každý subjekt údajů má právo žádat u správce opravu svých osobních údajů, a to na základě čl. 16 GDPR;

d) právo na výmaz – subjekt údajů má právo žádat správce o výmaz svých osobních údajů, a to za podmínek uvedených v čl. 17 GDPR;

e) omezení zpracování – každý subjekt údajů má právo obrátit se na správce a za podmínek uvedených v čl. 18 GDPR žádat o omezení zpracování svých osobních údajů;

f) přenositelnost osobních údajů – subjekt údajů má právo získat od správce osobní údaje, které se ho týkají, a to v případě, že je zpracování založeno na souhlasu [čl. 6 odst. 1 písm. a) GDPR], nebo na smlouvě [čl. 6 odst. 1 písm. b) GDPR] a provádí se automatizovaně; toto právo se však neuplatní na zpracování osobních údajů nezbytných pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen (k tomu viz čl. 20 GDPR);

g) námitka – pokud jsou osobní údaje subjektu údajů zpracovávány pro splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci [čl. 6 odst. 1 písm. e) GDPR] či pro účely oprávněných zájmů [čl. 6 odst. 1 písm. f) GDPR], má subjekt údajů právo vznést proti takovému zpracování v souladu s čl. 21 GDPR námitku; na tuto námitku rovněž navazují právo na výmaz [čl. 17 odst. 1 písm. c) GDPR] a omezení zpracování [čl. 18 odst. 1 písm. d) GDPR];

h) podání stížnosti – každý subjekt údajů má právo podat stížnost dozorovému orgánu; v České republice je dozorovým orgánem Úřad pro ochranu osobních údajů se sídlem Pplk. Sochora 27, 170 00 Praha 7, e-mail: posta@uoou.cz, ID datové schránky: qkbaa2n; dozorový orgán má povinnost informovat stěžovatele o pokroku v řešení stížnosti a o jeho výsledku (čl. 77 GDPR), 
a to každé tři měsíce (čl. 78 odst. 2 GDPR), v opačném případě má subjekt údajů právo na účinnou soudní ochranu.