Zpracovávání osobních údajů ve VZP
Ochrana osobních údajů je pro Všeobecnou zdravotní pojišťovnu ČR se sídlem: Orlická 2020/4, 130 00 Praha 3 – Vinohrady, Česká republika; IČ: 41197518 (dále jen „VZP ČR“) nedílnou součástí plnění povinností vůči pojištěncům i dalším fyzickým osobám (dále jen „subjekt údajů“). Ochraně osobních údajů se věnujeme dlouhodobě, systematicky, s pozorností, kterou si tato problematika vyžaduje, a vždy v souladu s platným legislativním rámcem České republiky, zejména s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „Obecné nařízení“) a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
Zde naleznete informace o tom, jaké osobní údaje o subjektech údajů zpracováváme, za jakým účelem, na základě jakého právního titulu jsou tyto osobní údaje zpracovávány, dále komu mohou být osobní údaje předávány a také jaká práva v souladu s příslušnou legislativou můžete uplatnit.
Obsah:
Jaké osobní údaje zpracováváme?
Proč osobní údaje zpracováváme a na základě jakého oprávnění?
Kdo vaše údaje zpracovává a komu vaše údaje předáváme?
Z jakých zdrojů vaše osobní údaje získáváme?
Jak dlouho osobní údaje uchováváme?
Jaká můžete uplatnit základní práva v oblasti ochrany osobních údajů?
Jaké osobní údaje zpracováváme?
VZP ČR zpracovává následující osobní údaje:
- adresní a identifikační údaje – jméno, příjmení, datum a místo narození, pohlaví, rodinný stav, rodné číslo, číslo pojištěnce, státní příslušnost, adresa trvalého bydliště, údaje týkající se oprávnění k pobytu v ČR, číslo a doba platnosti osobního dokladu, datum a místo úmrtí,
- kontaktní údaje – e-mailová adresa, telefonní číslo, adresa pro doručování,
- zvláštní kategorie osobních údajů – údaje o vašem zdravotním stavu,
- popisné údaje – vzdělání, počet dětí, předchozí zaměstnání, údaj o předchozí zdravotní pojišťovně, bankovní spojení apod.,
- údaje o jiné osobě – např. adresní a identifikační údaje člena rodiny, manžel/manželka, dítě, zákonný zástupce apod.,
- ostatní údaje – údaje související s poskytováním zdravotní péče pojištěnci a plněním veřejného zdravotního pojištění v rozsahu dokumentace vedené Všeobecnou zdravotní pojišťovnou ČR dle platných právních předpisů,
- ostatní relevantní údaje – např. údaje o soudních sporech, dědických řízeních, exekučních řízeních, osobních bankrotech, údaje související s plněním zákonných povinností dané osoby,
- videozáznamy z kamerového systému a audiozáznamy hovorů call-centra, osobní data zpracovávaná v rámci on-line styku, např. cookies, IP adresy.
Proč osobní údaje zpracováváme a na základě jakého oprávnění?
Zpracování osobních údajů na základě zákona
VZP ČR jako správce osobních údajů je oprávněna zpracovávat osobní údaje na základě právních předpisů pro zajištění plnění veřejného zdravotního pojištění. Osobní údaje pojištěnců, plátců pojistného, případně jejich zástupců či pověřených osob, zpracovává zejména na základě zákona České národní rady č. 551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, zákona č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, zákona České národní rady č. 592/1992 Sb., o pojistném na veřejné zdravotní pojištění. V souladu s příslušnými právními normami je subjekt údajů, za účelem výkonu veřejného zdravotního pojištění, povinen osobní údaje poskytnout. Dále může VZP ČR zpracovávat osobní údaje za účelem plnění právní povinnosti na základě právních předpisů ČR upravujících oblast účetnictví a finanční kontroly.
Zpracování osobních údajů na základě oprávněného zájmu
VZP ČR jako správce osobních údajů zpracovává také osobní údaje subjektu údajů ve smyslu čl. 6 odst. 1 písm. f) Obecného nařízení, a to provozováním kamerového systému za účelem zajištění ochrany majetku a osob, bezpečnosti zaměstnanců a klientů. Kamerový systém zpracovává a krátkodobě ukládá osobní údaje v rozsahu obrazového záznamu osob, které se pohybují v blízkosti nebo uvnitř objektů VZP ČR. Každá budova s monitorovacím systémem je označena v souladu s Obecným nařízením.
Dále VZP ČR v oprávněném zájmu zpracovává údaje, které klienti poskytují dobrovolně, a to za účelem zefektivnění komunikace během trvání pojistného vztahu a zároveň pro účely přímého marketingu představujícího např. zasílání pravidelného newsletteru nebo občasných e-mailů s informacemi souvisejícími s činností VZP ČR.
Zpracování osobních údajů na základě splnění smlouvy
VZP ČR jako správce osobních údajů zpracovává osobní údaje subjektu údajů ve smyslu čl. 6 odst. 1 písm. b) Obecného nařízení, a to za účelem zřízení a provozování služby zabezpečené elektronické komunikace mezi subjektem údajů a VZP ČR prostřednictvím aplikace e-VZP a dále pro účely plnění závazků externích dodavatelů služeb a majetku.
Zpracovávání osobních údajů na základě souhlasu
Ve smyslu čl. 6 odst. 1 písm. a) Obecného nařízení VZP ČR zpracovává osobní údaje na základě souhlasu subjektu údajů uděleného na stanovený rozsah zpracovávaných osobních údajů a účel zpracování. VZP ČR je oprávněna tyto osobní údaje zpracovávat po dobu, na kterou byl souhlas udělen, nebo do jeho odvolání.
Zpracování zvláštních kategorií osobních údajů
VZP ČR v rámci adresného zvaní pojištěnců na screeningové programy zpracovává zvláštní kategorie osobních údajů ve smyslu čl. 9 odst. 2 písm. i) Obecného nařízení, neboť zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví.
Doplňující informace ke zpracování osobních údajů
Kdo vaše údaje zpracovává a komu vaše údaje předáváme?
Ve většině případů jsou vaše osobní údaje zpracovávány přímo VZP ČR. To znamená, že VZP ČR stanovuje shora vymezené účely, pro které vaše osobní údaje shromažďuje, určuje prostředky zpracování a odpovídá za jejich řádné provedení.
Vaše osobní údaje může VZP ČR předávat ke zpracování také dalším subjektům a to jsou:
- orgány státní správy, případně osoby, které v rámci povinné součinnosti vymezuje právní řád ČR,
- smluvní partneři zajišťující pro VZP ČR obchody a služby v pozici zpracovatele, především v následujících oblastech:
- zajištění poštovních služeb,
- zajištění výroby průkazů pojištěnce,
- zajištění ozdravných pobytů,
- zajištění konferencí a školení,
- zajištění služeb v oblasti bezpečnosti,
- zajištění služeb pro ICT.
Smluvní partnery, včetně zpracovatelů dle GDPR, lze dohledat na https://smlouvy.gov.cz/.
VZP ČR jakožto správce osobních údajů má se všemi zpracovateli písemně definován a deklarován výkon zpracovatelské činnosti tak, aby byl zajištěn soulad s Obecným nařízením a dosaženo maximální zabezpečení zpracovávaných osobních údajů.
VZP ČR nepředává vaše osobní údaje do třetích zemí ani mezinárodních organizací. Pokud by takové předání bylo nezbytné, VZP ČR v konkrétním případě poskytne zvláštní informaci.
Z jakých zdrojů vaše osobní údaje získáváme?
Osobní údaje získáváme od/z:
- klientů/pojištěnců,
- dalších fyzických osob (např. účastníků soutěží),
- příslušných registrů občanů ČR,
- přímo od subjektů údajů,
- od státních aj. orgánů v rámci plnění zákonných povinností stanovených příslušnými právními předpisy,
- poskytovatelů zdravotních služeb,
- z veřejně přístupných rejstříků, seznamů a evidencí.
Jak dlouho osobní údaje uchováváme?
Zpracovávané osobní údaje ukládá VZP ČR po dobu nezbytně nutnou i po skočení pojistného vztahu v souladu se lhůtami uvedenými ve Spisovém řádu VZP ČR a v příslušných právních předpisech.
Jaká můžete uplatnit základní práva v oblasti ochrany osobních údajů?
Právo na přístup k osobním údajům
Máte právo žádat potvrzení, zda jsou, či nejsou vaše osobní údaje zpracovávány. Pokud ano, máte právo žádat o identifikaci, jaké údaje a v jakém rozsahu jsou o vás zpracovávány, a to v rozsahu: kategorie zpracovávaných osobních údajů, účelu zpracování, doby uchovávání, informace o příjemcích, kterým jsou osobní údaje zpřístupněny, veškerých dostupných informací o zdroji osobních údajů a informace o tom, zda dochází k automatizovanému rozhodování, včetně profilování.
VZP ČR jako správce velkého množství informací může využít možnosti před poskytnutím informací požádat subjekt údajů o uvedení konkrétních informací nebo činností, kterých se jeho žádost týká.
Právo na opravu či doplnění
V případě, že máte podezření, že údaje zpracovávané VZP ČR jsou nesprávné, máte právo požádat o opravu nebo doplnění vašich osobních údajů.
Právo na přenositelnost
Subjekt údajů má právo žádat správce, aby (pokud je to technicky proveditelné) předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správci.
Právo na výmaz
V některých případech máte právo, aby vaše osobní údaje byly vymazány. Vaše osobní údaje bez zbytečného odkladu vymažeme, pokud:
- vaše osobní údaje již nepotřebujeme pro účely, pro které jsme je zpracovávali,
- odvoláte souhlas se zpracováním osobních údajů, přičemž se jedná o údaje, k jejichž zpracování je váš souhlas nezbytný a zároveň nemáme jiný důvod, proč tyto údaje potřebujeme nadále zpracovávat,
- došlo k ukončení poskytování služby na základě uzavřeného smluvního vztahu,
- domníváte se, že námi prováděné zpracování osobních údajů přestalo být v souladu s obecně závaznými předpisy.
Právo na výmaz se neuplatní v případě, že zpracování vašich osobních údajů je i nadále nezbytné pro splnění právní povinnosti VZP ČR nebo určení, výkon či obhajobu jejích právních nároků.
Právo na omezení zpracování
V některých případech můžete kromě práva na výmaz využít právo na omezení zpracování osobních údajů. Toto právo vám umožňuje požadovat, aby došlo k označení vašich osobních údajů a tyto údaje nebyly předmětem žádných dalších operací zpracování – v tomto případě však nikoliv navždy (jako u práva na výmaz), ale po omezenou dobu. Zpracování osobních údajů musíme omezit když:
- popíráte přesnost osobních údajů, než se dohodneme, jaké údaje jsou správné,
- vaše osobní údaje zpracováváme bez dostatečného právního základu (např. nad rámec toho, co zpracovávat musíme), ale vy budete před výmazem takových údajů upřednostňovat pouze jejich omezení,
- vaše osobní údaje již nepotřebujeme pro účely zpracování, ale vy je požadujete pro určení, výkon nebo obhajobu svých právních nároků.
Právo na vznesení námitky proti zpracování
Máte právo vznést námitku proti zpracování osobních údajů, k němuž dochází na základě oprávněného zájmu VZP ČR. Pokud vznesete námitku proti zpracování pro účely marketingových aktivit, nebudeme již více vaše osobní údaje pro dané účely zpracovávat. V ostatních případech tak učiníme, pokud nebudeme mít závažné oprávněné důvody pro to, abychom v takovém zpracování pokračovali.
Právo na odvolání souhlasu
Váš souhlas se zpracováním osobních údajů můžete kdykoliv odvolat. Odvoláním souhlasu však není dotčena zákonnost zpracování založeného na souhlasu před jeho odvoláním. Odvolání souhlasu také nemá žádný vliv na případný vzájemný smluvní vztah.
Právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, včetně profilování
Máte právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaným zpracováním, včetně profilování, s výjimkou případů, kdy je rozhodnutí:
- nezbytné k uzavření nebo plnění smlouvy mezi vámi a správcem údajů,
- povoleno právem Evropské unie nebo ČR,
- založeno na vašem výslovném souhlasu.
Právo na stížnost
V případě údajného porušení platných právních předpisů na ochranu osobních údajů můžete uplatnit toto právo. Stížnost proti zpracování osobních údajů prováděnému VZP ČR můžete podat dozorovému úřadu, resp. Úřadu pro ochranu osobních údajů, který sídlí na adrese Pplk. Sochora 27, 170 00 Praha 7.
Jak můžete svá práva uplatnit?
Veškeré vaše žádosti bude ve VZP ČR vyřizovat pověřenec pro ochranu osobních údajů, jimž je Mgr. Renáta Alexejevová, e-mailové spojení viz níže.
Uplatnit svá práva můžete kdykoliv podáním žádosti:
poštou na adresu: Pověřenec pro ochranu osobních údajů – VZP ČR, Orlická 2020/4, 130 00 Praha 3
e-mailem: poverenec@vzp.cz
datovou schránkou: i48ae3q
telefonicky: 952 220 773.
Lhůta pro vyřízení žádostí je 30 dnů od jejího doručení.
Verze dokumentu 1.0, Aktualizace – září 2020