Ochrana osobních údajů

Úvod

Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. OZP dodržuje všechny legislativní požadavky a ráda by Vám tímto poskytla informace o zpracování Vašich osobních údajů.

Oborová zdravotní pojišťovna zaměstnanců bank, pojišťoven a stavebnictví, se sídlem Praha 4, Roškotova 1225/1, PSČ 140 00, IČO: 47114321, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, spisová značka A 7232, (dále jen "OZP"), je správcem Vašich osobních údajů. To znamená, že určuje účel a prostředky zpracování, provádí zpracování Vašich osobních údajů a odpovídá za něj.

Kontaktní údaje pověřence pro ochranu osobních údajů OZP jsou: email: dpo@ozp.cz, telefon: 261 105 196, adresa: Praha 4, Roškotova 1225/1, PSČ 140 00. Pověřenec pro ochranu osobních údajů je primárním kontaktním místem pro výkon Vašich práv a pro Vaše případné dotazy ohledně zpracování osobních údajů.

Základními právními předpisy upravujícími ochranu osobních údajů jsou Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen "GDPR"), a zákon č. 110/2019 Sb., o zpracování osobních údajů, v platném znění. Ochrana osobnosti je upravena v § 81 a násl. zákona č. 89/2012 Sb., občanský zákoník, v platném znění.

Osobní údaje

Osobní údaje jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Základní zásady ochrany osobních údajů

Osobní údaje musejí být

  1. ve vztahu k Vám, coby subjektu údajů, zpracovávány korektně, zákonným a transparentním způsobem (zákonnost, korektnost a transparentnost),
  2. shromažďovány pro určité, výslovně vyjádřené a legitimní účely, (účelové omezení),
  3. přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány (minimalizace údajů),
  4. přesné a v případě potřeby aktualizované (přesnost) - proto Vás OZP žádá o nahlášení veškerých změn Vašich osobních údajů, využít můžete též zabezpečený portál VITAKARTA,
  5. uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší než je nezbytné pro účely, pro které jsou zpracovávány (omezení uložení),
  6. zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováváním a před náhodnou ztrátou, zničením nebo poškozením (integrita a důvěrnost).

Všechny výše uvedené zásady OZP pečlivě dodržuje.

Právní základ a účel zpracování osobních údajů

Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány na základě právního důvodu (základu) stanoveného právními předpisy. OZP zpracovává osobní údaje na základě následujících právních důvodů:

OZP provádí zpracování Vašich osobních údajů především za účelem provádění veřejného zdravotního pojištění, včetně výběru pojistného, kontroly platebních povinností a zajištění úhrad za poskytnuté zdravotní služby podle zákona č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, v platném znění, zákona č. 592/1992 Sb., o pojistném na veřejné zdravotní pojištění, v platném znění, a zákona č. 280/1992 Sb., o resortních, oborových, podnikových a dalších zdravotních pojišťovnách, v platném znění.

Osobní údaje zvláštní kategorie (původně označované jako citlivé osobní údaje, zejména údaje o zdravotním stavu) podléhají zpracování především pro účely realizace úhrad za zdravotní služby poskytnuté pojištěncům OZP ze strany poskytovatelů zdravotních služeb.

OZP Vám na smluvní bázi poskytuje vybrané programy preventivní péče. V tomto ohledu se jedná o plnění smlouvy uzavřené mezi Vámi a OZP. Stejně tak je tomu v případě dalších smluv uzavíraných s OZP, typicky u smluv dodavatelských.

Ve smlouvě a v rámci jejího plnění jsou zpracovávány pouze takové osobní údaje, které jsou nezbytné pro plnění a evidenci této smlouvy, tj. zejména identifikační údaje smluvní strany, nezbytné kontaktní údaje a údaje vyžadované příslušnými právními předpisy.

Na základě recitálu (47) GDPR a publikovaného stanoviska Úřadu pro ochranu osobních údajů je zpracování osobních údajů pro účely přímého marketingu zpracování z důvodu oprávněného zájmu OZP. OZP Vám nezasílá obtěžující komerční sdělení, ale informace a novinky o své činnosti a službách zaměřených na podporu Vašeho zdraví a z oblasti prevence v přiměřené frekvenci tak, abyste nebyli zahlceni a mohli efektivně čerpat výhody, které Vám OZP nabízí. OZP zjišťuje spokojenosti pojištěnců se svými službami a výhodami. OZP také provádí retenční hovory u svých bývalých pojištěnců s cílem zjistit, zda mají zájem vrátit se k OZP, protože OZP neustále zlepšuje své služby, uvádí nové preventivní aktivity a akce na podporu a ochranu zdraví svých pojištěnců.

V tomto ohledu máte právo vznést kdykoli námitku proti zpracování Vašich osobních údajů. Pokud námitku vznesete, nebudou již Vaše osobní údaje pro tyto účely využívány.

Co se týká monitorovaného verifikačního hovoru za účelem potvrzení zájmu klienta o změnu zdravotní pojišťovny, OZP jej provádí na základě oprávněného zájmu na ochranu osobních údajů budoucího klienta proti zneužití, kterému lze efektivně a včas telefonickým ověřením zabránit.

Účelem nahrávání hovorů Telefonního informačního centra OZP, (dále jen "TIC OZP"), je

OZP Vás navíc informuje o provedení nahrávaného hovoru s TIC OZP před uskutečnění samotného hovoru a dává Vám možnost v případě Vašeho nesouhlasu využít jiné formy komunikace s OZP.

Účelem nahrávání hovorů Asistenční službou OZP je kontrola a zvyšování kvality poskytované služby a případné řešení stížností klienta.

Oprávněným zájmem OZP při provozování kamerového systému je účelové zajištění bezpečnosti a ochrany osob, ochrany majetku před poškozováním, krádežemi apod., a to v minimálním rozsahu snímání pláště budovy a prostoru recepce.

Souhlas je dán jednoznačným potvrzením, které je vyjádřením Vašeho svobodného, konkrétního, informovaného a jednoznačného svolení ke zpracování osobních údajů, které se Vás týkají. Váš souhlas a jeho podmínky jsou vždy vyjádřeny

OZP žádá Váš souhlas především pro účely zasílání nabídek zboží a služeb partnerů OZP na podporu Vašeho zdraví. Seznam partnerů OZP je zveřejněn na těchto webových stránkách.

Práva subjektů údajů

Vaše osobní údaje OZP zpracovává pouze v rozsahu nezbytném pro daný účel a po dobu, která je nezbytná pro splnění daného účelu.

Máte právo

Ve smyslu článku 34 GDPR, pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro Vaše práva a svobody, oznámí OZP Vám toto porušení bez zbytečného odkladu s výjimkami stanovenými v odstavci 3 tohoto článku GDPR.

Tam, kde se jedná o zákonný právní základ pro zpracování osobních údajů, máte povinnost osobní údaje poskytnout (v případě neposkytnutí osobních údajů by ze strany OZP nebylo možné uskutečňovat primární účel zpracování osobních údajů, kterým je provádění veřejného zdravotního pojištění), elektronické kontaktní údaje můžete poskytnout dobrovolně. V případě smluvního právního základu pro zpracování osobních údajů nemáte zákonnou povinnost své osobní údaje OZP poskytnout (v případě neposkytnutí osobních údajů ze strany OZP však nebude možné konkrétní smlouvu s Vámi sjednat). Udělení souhlasu je zcela dobrovolné a v případě zpracování osobních údajů z důvodu oprávněného zájmu máte právo vznést námitku proti zpracování.

Rozsah osobních údajů

Vždy jste předem informován/informována o tom, jaké osobní údaje o Vás budeme zpracovávat. Rozsah osobních údajů pak plně koresponduje s účelem jejich zpracování.

Jedná se především o identifikační a adresní údaje jako je jméno, příjmení, akademický titul, datum narození, případně rodné číslo, pohlaví a adresa trvalého bydliště a dále elektronické kontaktní údaje v rozsahu telefonní číslo a emailová adresa, údaje o vykázaných zdravotních službách smluvních partnerů a o předepsaných a vydaných léčivých prostředcích, zdravotních prostředcích, údaje o zdravotním stavu pojištěnců pro posouzení nároku na oprávněnost čerpání specifických zdravotních služeb a pro možnost kontroly identifikační údaje zaměstnavatelů - fyzických osob.

V rámci kamerového systému je zpracovávána fyzická podoba osob.

Rozsah zpracovaných osobních údajů v rámci nahrávek TIC OZP je stanoven v kategoriích identifikační a kontaktní údaje, obsah hovoru dle široké škály dotazů o činnosti a službách OZP, které spočívají v provádění veřejného zdravotního pojištění, speciálních a preventivních programech OZP na podporu zdraví klientů, akcí pro zaměstnavatele i poskytovatele zdravotních služeb apod. Součástí zpracovávaných osobních údajů nejsou údaje o výši dlužného pojistného na zdravotním pojištění, citlivé kontaktní údaje, ani číslo bankovního účtu. Údaje o zdravotním stavu jsou zpracovávány pouze v případě, že klient sám aktivně vznese na toto téma dotaz a sám takové údaje v rámci hovoru uvede. OZP následně odpovídá. Audio záznam hovoru volajícího a operátora TIC OZP.

Rozsah zpracovaných osobních údajů v rámci nahrávek Asistenční služby OZP je stanoven v kategoriích identifikační a kontaktní údaje, obsah hovoru týkající se zejména medicínských požadavků a objednání k lékaři.

Osobní data pojištěnců jsou v rámci Evropy (EU, EHP + CH) a smluvních států (Albánie, Černá Hora, Makedonie, Srbsko, Tunisko a Turecko) používána mezi institucemi zajišťujícími koordinaci sociálního zabezpečení k naplnění nároků pojištěnců na základě Nařízení EP a Rady (ES) č. 883/2004 a 987/2009 a příslušné vládní smlouvy sjednané mezi ČR a smluvním státem.

Osobní údaje jsou získávány od subjektu údajů (typicky přihláška pojištěnce), z veřejných zdrojů (např. obchodní rejstřík, ARES - zejména pro ověření správnosti již zpracovávaných osobních údajů) a z jiných zdrojů (zejména od poskytovatelů zdravotních služeb, zaměstnavatelů, Centrálního registru pojištěnců, informačních systémů soudů České republiky atd.). OZP je rovněž na základě zákona uživatelem referenčních údajů registru obyvatel, informačního systému evidence obyvatel, registru rodných čísel, informačního systému cizinců a registru pojištěnců veřejného zdravotního pojištění.

Kamerový systém

Kamery se záznamem jsou umístěny na plášti budov OZP na těchto adresách:

resp. ve vstupních prostorách těchto budov (prostor recepce, kde se nacházejí chráněná aktiva, například PC a další majetek OZP. Nastavení parametrů kamerového systému se odvíjí od centrály OZP. Režim kamer je nepřetržitý. Sledování je omezeno pouze na nezbytné údaje sloužící pro účel zpracování. Kamerové body a sledované prostory jsou zvoleny tak, aby nebylo zasahováno do soukromí osob a jen v nezbytném rozsahu vzhledem k účelu monitorování. Použití osobních údajů získaných kamerovým systém je oprávněným zájmem OZP podle článku 6 odst. 1 písm. f) GDPR. Příjemci, kterým mohou být osobní údaje zpřístupněny či sdělovány, jsou v odůvodněných případech orgány činné v trestním řízení a jiné zainteresované subjekty (pojišťovna). Nejsou plánovány příjemci v třetích zemích. Není dán žádný zpracovatel. Servis je prováděn bez vazby na pořízené záznamy. Opatření k zajištění ochrany jsou tyto: zabezpečení kamer před neoprávněným přístupem (bezpečnostní kryt zařízení), zabezpečení přenosových cest před neoprávněným přístupem, zabezpečení záznamového zařízení a datového uložiště, prostřednictvím řízeného přístupu k datům, zálohováním dat a ochrany nosičů dat. Přístup k datům má pouze oprávněný personál OZP prostřednictvím přístupových práv, přístup k monitoru mají pouze pracovníci recepce za recepčním pultem, logování operací se záznamy, pravidelné kontroly funkčnosti technickoorganizačních opatření.

Nahrávání hovorů TIC OZP a AS OZP

Nahrávky, společně s odpovídajícími metadaty, jsou uchovávány na samostatném zabezpečeném serveru v sídle OZP po dobu 3 let od uskutečnění hovoru, přičemž jsou přístupné pouze supervizorům TIC OZP. Každý operátor si může vyslechnout nahrávky hovorů, které vedl on sám.

Přestože OZP hovory nahrává a zpracovává na základě svého oprávněného zájmu podle článku 6 odst. 1 písm. f) GDPR, částečně také pro splnění právní povinnosti, která se na OZP vztahuje na základě článku 6 odst. odst. 1 písm. c) GDPR. Na začátku hovoru má každý volající možnost volbou přepojení na operátora souhlasit s vedením nahrávaného hovoru. V případě nesouhlasu je možné obrátit se na OZP písemně, a to elektronicky nebo v listinné formě. Důvodem tohoto řešení je skutečnost, že OZP musí mít k dispozici jakkoli zachycenou komunikaci s ohledem na účely zpracování osobních údajů.

Správné, řádné a kvalitní provádění veřejného zdravotního pojištění a poskytování informací o činnosti a službách OZP v souladu s právními předpisy představuje jeden ze základních stavebních kamenů fungování OZP jakožto zdravotní pojišťovny a zvyšuje důvěru dotazujících se osob ve správnost, vstřícnost a řádný servis poskytovaný ze strany OZP. Vstřícná, promptní a profesionální komunikace vedená na základě potřebných znalostí a komunikačních kvalit operátorů TIC OZP navenek zásadním způsobem reprezentuje OZP. OZP zpracovává při této činnosti zvláštní kategorie osobních údajů pouze na dotaz volajícího.

Zpracování osobních údajů nemá žádné negativní důsledky pro dotčené subjekty údajů, a to i s ohledem na skutečnost, že osobní údaje nebudou zpřístupněny jakýmkoli třetím osobám (pokud tak nestanoví zákon).

Podobně je tomu i u Asistenční služby OZP zaměřené na zodpovídání medicinských dotazů klientů OZP a objednání k lékaři. Účelem nahrávání hovorů je kontrola a zvyšování kvality poskytované služby a případné řešení stížností klienta. K nahrávkám mají v OZP přístup pouze odpovědní zaměstnanci odboru asistenčního centra OZP.

Doba, po kterou budou osobní údaje u OZP uloženy

Pro zajištění primárního účelu zpracování osobních údajů, kterým je provádění veřejného zdravotní pojištění, budou Vaše osobní údaje uchovávány po dobu trvání pojistného/smluvního vztahu a dále po dobu minimálně 10 let od ukončení pojištění a uzavření všech spisů, smluvního vztahu, resp. od vyrovnání všech vzájemných závazků, a to na základě ustanovení § 16 zákona č. 592/1992 Sb., o pojistném na veřejné zdravotní pojištění, v platném znění, a dále po dobu nezbytně nutnou pro účely evidence hrazených zdravotních služeb.

Další relevantní dobou uchování osobních údajů se odvíjí od doby trvání promlčecích lhůt, kdy je OZP oprávněna uplatňovat nebo obhajovat své právní nároky. Skartační lhůta stanovené pro účetní dokumenty a podklady je stanovena na 10 let počínajících koncem účetního období, kterého se týkají, podle § 31 zákona č. 563/1991 Sb., o účetnictví, v platném znění.

OZP je povinným subjektem podle zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, v platném znění, a na jeho základě vydaného Spisového řádu OZP.

Kamerové záznamy jsou uchovávány po dobu 5 dnů a nahrávky hovorů TIC OZP a AS OZP po dobu 3 let od uskutečnění hovoru, resp. vyřešení případné stížnosti.

Prostředky zpracování

Při zpracování Vašich osobních údajů OZP postupuje vždy tak, aby Vaše osobní údaje byly maximálně zabezpečeny a nemohly být zneužity.

Zpracování Vašich osobních údajů je prováděno převážně prostřednictvím zaměstnanců OZP. Osobní údaje jsou zpracovávány elektronicky v informačním systému OZP nebo v listinné podobě. Osobní údaje v elektronické podobě jsou zpracovávány pomocí prostředků výpočetní techniky. Osobní údaje v listinné podobě jsou zpracovávány manuálně. Osobní údaje v listinné podobě jsou uloženy zejména v sídle OZP. Je zde zamezen přístup nepovolaným osobám prostředky, jako jsou uzamykatelné prostory, dohled vedoucích zaměstnanců, přítomnost pracovníků recepce. Vstup do budovy je zajištěn prostřednictvím čipových karet a/nebo zámků. Přístup k osobním údajům v listinné podobě mají pouze oprávnění zaměstnanci v rámci plnění svých pracovních povinností a pouze dobu nezbytně nutnou. Rovněž k osobním údajům uchovávaným v elektronické podobě mají přístup pouze oprávněné osoby OZP podle svého pracovního zařazení po použití čipové karty. Pravidla přístupu k dokumentům a informacím v OZP jsou stanovena zvláštním vnitřním předpisem OZP. Všichni dotčení zaměstnanci OZP absolvují školení týkající se ochrany osobních údajů. Také jsou zavázáni mlčenlivostí a povinností řídit se vnitřními předpisy OZP o ochraně osobních údajů.

Osobní údaje jsou likvidovány ihned, jakmile pomine účel, pro který byly osobní údaje zpracovány, skartačních lhůty jsou stanoveny zvláštním vnitřním předpisem OZP.

Všichni zaměstnanci jsou povinni neprodleně oznamovat svým vedoucím zaměstnancům a odpovědným zaměstnancům zajišťujícím a podílejícím se na zabezpečení osobních údajů jakékoliv porušení zabezpečení osobních údajů. Porušení zabezpečení osobních údajů je neprodleně šetřeno a v zákonem stanovených případech ohlášeno Úřadu pro ochranu osobních údajů, případně oznámeno Policii České republiky a dotčeným subjektům údajů.

Předávání osobních údajů

Osobní údaje pojištěnců jsou primárně zpracovávány osobou správce. OZP nemá v úmyslu předávat Vaše osobní údaje do třetích zemí.

Se všemi zpracovateli má OZP uzavřenou písemnou Smlouvu o zpracování osobních údajů, ve které klade důraz na zabezpečení Vašich osobních údajů, jasné vymezení rozsahu zpracovatelské činnosti a mlčenlivost.

OZP spolupracuje s následujícími kategoriemi příjemců osobních údajů: dodavatelé IT řešení v případě, že jejich služby nezahrnují operace zpracování a ochrany osobních údajů (byť z povahy věci mohu občas data vidět), společnost, která pro OZP zajišťuje bezpečností služby, tiskové a doručovací služby, výrobu průkazů pojištěnce, subjekty zajišťující preventivní programy (například ozdravné pobyty). Asistenční službu zajišťuje pro OZP společnost Europ Assistance s.r.o., se sídlem Na Pankráci 1658/121, Nusle, 140 00 Praha 4, IČO: 252 87 851, s tím, že bližší informace a podmínky poskytování Asistenční služby OZP se dozvíte na těchto webových stránkách v sekci Asistence.

OZP je dále na základě speciálních právních předpisů povinna v rámci zákonných podmínek součinnosti sdělovat osobní údaje orgánům státní správy a orgánům veřejné moci (jedná se zejména o zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), v platném znění, zákon č. 273/2008 Sb., o Policii České republiky, v platném znění, zákon č. 120/2001 Sb., exekuční řád, v platném znění, zákona č. 280/2009 Sb., daňový řád, v platném znění, zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, v platném znění, zákon č. 117/1995 Sb., o státní sociální podpoře, v platném znění, zákon č. 329/2011 Sb., o poskytování dávek osobám se zdravotním postižením a o změně souvisejících zákonů, v platném znění, zákon č. 187/2006 Sb., o nemocenském pojištění, v platném znění).

Závěr

Závěrem bychom Vás rádi ujistili, že u OZP jsou Vaše osobní údaje vždy v bezpečí. OZP své zabezpečené systémy za tím účelem inovuje a testuje na pravidelné bázi. OZP se řídí právními předpisy o kybernetické bezpečnosti.