Ochrana osobních údajů (GDPR)

Autor: Ing. Zdeněk Vitásek, MBA

Informace subjektu údajů o zpracování osobních údajů

Správce osobních údajů Zaměstnanecká pojišťovna Škoda, Husova 302, Mladá Boleslav, IČO 46354182 (dále jen „správce“ či „ZPŠ“) poskytuje v souladu s čl. 12 a násl. Nařízení[1] subjektům údajů níže uvedené informace o zpracování osobních údajů.

Subjektem údajů se rozumí fyzické osoby, jejichž osobní údaje správce zpracovává, zejména se jedná o pojištěnce, poskytovatele zdravotních služeb, plátce pojistného na veřejné zdravotní pojištění.

V případě potřeby se mohou subjekty údajů obrátit na správce na níže uvedených kontaktech:

doručovací adresa:                        Zaměstnanecká pojišťovna Škoda

                                                          Husova 302, 293 01 Mladá Boleslav

adresa datové schránky:               5kpadkp

e-mailová adresa:                           zpskoda@zpskoda.cz

telefon:                                             326 579 111 v čase úředních hodin

Správce jmenoval pověřence pro ochranu osobních údajů. Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení. Kontaktní údaje pověřence pro ochranu osobních údajů:

e-mailová adresa:                             zpskoda@viavis.cz

Zpracování osobních údajů je prováděno zejména za účelem administrace registru pojištěnců, registru smluvních partnerů a registru plátců pojistného, dále pak za účelem vyúčtování, kontroly a řádné úhrady poskytovaných zdravotních služeb pojištěncům ZPŠ, kontroly odvedeného pojistného, řádného vedení předepsaných agend a plnění právních předpisů v dalších oblastech, zejména v agendě daní,  účetnictví a veřejného zdravotního pojištění.

Zpracováním osobních údajů správcem založených na právním základě zpracování podle čl. 6 odst. 1 písm. f) Nařízení sleduje v nezbytně nutném rozsahu obhajobu svých právních nároků při plnění úkolů souvisejících s fyzickou a kybernetickou bezpečností. Zpracování osobních údajů na základě souhlasu subjektu údajů je prováděno výhradně za účelem v souhlasu vyjádřeným, s nímž je subjekt údajů vždy seznámen před jeho udělením.

Právním základem zpracování jsou skutečnosti uvedené v čl. 6 odst. 1 písm. a), b), c), d), e) a f) a v čl. 9 odst. 2 písm. b), c), e), f), g) a h).

Správce zpracovává následující kategorie osobních údajů:

  • identifikační údaje pojištěnců,
  • identifikační údaje smluvních partnerů a jejich zaměstnanců, jejichž kvalifikační předpoklady jsou určující pro nastavení rozsahu smluvního vztahu,
  • údaje o vykázaných zdravotních službách smluvních partnerů a o předepsaných a vydaných léčivých prostředcích, zdravotních pomůckách apod.,
  • údaje o zdravotním stavu pojištěnců pro posouzení nároku na oprávněnost čerpání specifických zdravotních služeb a pro možnost kontroly,
  • identifikační údaje zaměstnavatelů - fyzických osob,
  • identifikační údaje spolupracujících externích fyzických osob,
  • popisné údaje z kamerových systémů,
  • osobní údaje vyjádřené v souhlasu subjektu údajů se zpracováním osobních údajů.

Osobní údaje jsou získávány od subjektu údajů, ze Základních registrů, z veřejných zdrojů (např. obchodní rejstřík, ARES - zejména pro ověření správnosti již zpracovávaných osobních údajů) a z jiných zdrojů (zejména od poskytovatelů zdravotních služeb, zaměstnavatelů, Centrálního registru pojištěnců, informačních systémů soudů ČR, ČSSZ, ÚP, FÚ, OÚ, MÚ, MV ČR a zdravotních pojišťoven).

Příjemci osobních údajů jsou subjekty, jimž je správce povinen poskytovat osobní údaje na základě příslušných obecně závazných právních předpisů, dále pak externí auditor, Dozorčí a Správní rada ZPŠ, Výbor pro audit ZPŠ, kontrolní orgány, Rozhodčí orgán ZPŠ, externí vymáhací společnost, exekutoři, orgány veřejné moci, insolvenční správci, plátci pojistného, ČSSZ, FÚ, ÚP, smluvní partneři, komerční pojišťovny, odborová organizace OS KOVO, Kancelář zdravotního pojištění, VZP ČR, ostatní ZP (české i zahraniční), lékaři pracovnělékařských služeb, lékaři záchranné služby, Policie ČR, instituce systému sociálního zabezpečení EU, Státní úřad inspekce práce, auditor ISO, ŠKODA AUTO a. s., Česká kancelář pojistitelů, příp. další oprávněné subjekty s ohledem na specifická zpracování. Příjemcem osobních údajů nejsou subjekty, jejichž činnost nesouvisí s činnostmi a poskytovanými službami správce, ledaže by s tím subjekt údajů vyslovil souhlas.

Osobní data pojištěnců jsou v rámci Evropy (EU, EHP + CH) a smluvních států (Albánie, Černá Hora, Makedonie, Srbsko, Tunisko a Turecko) používána mezi institucemi zajišťujícími koordinaci sociálního zabezpečení k naplnění nároků pojištěnců na základě Nařízení EP a Rady (ES) č. 883/2004 a 987/2009 a příslušné vládní smlouvy sjednané mezi ČR a smluvním státem.

Osobní údaje jsou uloženy po dobu, kterou stanoví spisový a skartační řád ZPŠ, který vychází z příslušných obecně závazných právních předpisů, pokud takové zpracování ukládají nebo umožňují. V ostatních případech je doba uložení osobních údajů stanovena jako doba potřebná k uplatnění práv nebo oprávněných zájmů subjektu údajů, správce nebo třetích osob nebo jako doba potřebná k obhajobě právních nároků správce, příp. třetích osob. Při stanovení doby uložení osobních údajů jsou zohledňovány veškeré aspekty daného zpracování a zájmy subjektu údajů.

V případech, kdy je zpracování osobních údajů založeno na plnění právních povinností a jejich poskytování je zákonným požadavkem, je subjekt údajů povinen osobní údaje poskytnout. V případě neposkytnutí osobních údajů nelze naplnit zákonné požadavky, což může vést ke zmaření prováděných úkonů. Pokud je poskytování osobních údajů smluvním požadavkem nebo požadavkem, který je nutno uvést do smlouvy (a nejde o plnění právních povinností), může dojít v případě odmítnutí poskytnout osobní údaje subjektem údajů k situaci, kdy smlouva nebude moci být uzavřena. Správce však nepodmiňuje uzavření smlouvy poskytnutím těch osobních údajů od subjektu údajů, které nejsou pro řádné uzavření smlouvy nezbytné. 

V rámci zpracování osobních údajů nedochází k automatizovanému rozhodování.

Profilování je správcem využíváno v případě adresného zvaní, kdy se na základě jednoznačně zadaných algoritmů, které předalo Ministerstvo zdravotnictví ČR, periodicky identifikují a oslovují pojištěnci s pozvánkou na preventivní prohlídku.

Správce nezpracovává osobní údaje přímo sdělené subjektem údajů pro jiné účely, než pro ty, které byly subjektu údajů sděleny v okamžiku jejich předání. Pokud hodlá správce zpracovávat tyto osobní údaje pro jiné účely než správci zákon ukládá či umožňuje, poskytne subjektu údajů informace o tomto jiném účelu, jakož i další informace nezbytné k uplatnění jeho práv.

Při uplatňování práv je třeba vzít v potaz právní základ, na základě kterého jsou osobní údaje zpracovávány. Právní základ může významným způsobem omezit uplatnění níže uvedených práv subjektu údajů:

  • V případech, kdy je zpracování založeno na čl. 6 odst. 1 písm. a) Nařízení nebo čl. 9 odst. 2 písm. a) Nařízení, tedy zpracování osobních údajů je prováděno se souhlasem subjektu údajů, má subjekt údajů právo odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním.
  • Podat stížnost u dozorového úřadu.
  • Podle čl. 15 Nařízení právo na přístup k osobním údajům a právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a informace o jejich zpracování.
  • Podle čl. 16 Nařízení právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají, nebo doplnil neúplné osobní údaje.
  • Právo na to, aby správce bez zbytečného odkladu za podmínek uvedených v čl. 17 Nařízení vymazal osobní údaje, které se daného subjektu údajů týkají.
  • Právo na to, aby správce omezil za podmínek uvedených v čl. 18 Nařízení zpracování jeho osobních údajů.
  • Pokud to subjekt údajů požaduje, je správce povinen informovat subjekt údajů o příjemcích osobních údajů podle čl. 19 Nařízení.
  • Za podmínek uvedených v čl. 20 Nařízení získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci.
  • Za podmínek uvedených v čl. 21 Nařízení kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají.
  • Za podmínek uvedených v čl. 22 Nařízení nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.

Správce musí podle čl. 34 odst. 1 Nařízení subjektu údajů oznámit případ porušení zabezpečení jeho osobních údajů, který bude mít za následek vysoké riziko pro jeho práva a svobody. Tuto povinnost správce nemá, pokud se uplatní některá z podmínek uvedená v čl. 34 odst. 3 Nařízení.


[1] NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)