Zpracování osobních údajů v ZP 211

Informační memorandum GDPR

Informace ke zpracování osobních údajů ve Zdravotní pojišťovně ministerstva vnitra ČR

Zdravotní pojišťovna ministerstva vnitra ČR, se sídlem Vinohradská 2577/178, Vinohrady, 130 00 Praha 3, IČ: 47114304 (dále jen „ZP MV ČR“), jakožto správce osobních údajů, si tímto dovoluje informovat své klienty (pojištěnce) o způsobu a rozsahu zpracování osobních údajů pojištěnců jako subjektů údajů ze strany ZP MV ČR, včetně rozsahu práv údajů souvisejících se zpracováním jejich osobních údajů ZP MV ČR.

Pověřencem ZP MV ČR je společnost F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ, a.s., se sídlem Ostrava, Moravská Ostrava, Vítkovická 1994/22, PSČ 702 00, IČO: 258 84 646, zapsaná v obchodním rejstříku, vedeném Krajským soudem v Ostravě, oddíl B, vložka 2504.

Další kontaktní údaje:

1. E-mail ZP MV ČR: gdpr@zpmvcr.cz
2. Telefonní číslo ZP MV ČR: 272 095 781
3. E-mail pověřence: poverenecZPMVCR@fsc-ov.cz

Zpracování osobních údajů probíhá v souladu Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“) a dále v souladu s relevantními vnitrostátními právními předpisy v oblasti ochrany osobních údajů.  Jako správce osobních údajů na základě zvláštního zákona je při zpracování osobních údajů ZP MV ČR povinna dbát práva na ochranu soukromého a osobního života subjektu údajů. Právní úprava ochrany osobnosti člověka včetně jeho přirozených práv je obsažena v § 81 a následujících zákona č. 89/2012 Sb., občanský zákoník. Ochrany požívají zejména život a důstojnost člověka, jeho zdraví a právo žít v příznivém životním prostředí, jeho vážnost, čest, soukromí a jeho projevy osobní povahy. Člověk, jehož osobnost byla dotčena, má právo domáhat se toho, aby bylo od neoprávněného zásahu upuštěno nebo aby byl odstraněn jeho následek. Nikdo nesmí zasáhnout do soukromí jiného, nemá-li k tomu zákonný důvod. 

ZP MV ČR jako správce osobních údajů je oprávněna zpracovávat osobní údaje v rozsahu stanoveném zákonem bez souhlasu subjektu údajů vzhledem k výkonu své působnosti při plnění povinností zdravotní pojišťovny. Práva a povinnosti pojištěnce a zdravotní pojišťovny upravuje zejména zákon č. 48/1997 Sb., o veřejném zdravotním pojištění, ve znění pozdějších předpisů, zákon č. 592/1992 Sb., o pojistném na veřejné zdravotní pojištění, ve znění pozdějších předpisů, a zákon č. 280/1992 Sb., o resortních, oborových, podnikových a dalších zdravotních pojišťovnách, ve znění pozdějších předpisů. Poskytnutí osobních údajů, které jsou nezbytné pro plnění zákonných povinností ZP MV ČR na úseku provádění veřejného zdravotního pojištění, je povinné. Zpracování dalších osobních údajů je možné pouze pokud je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, pro účely oprávněných zájmů ZP MV ČR nebo se souhlasem subjektu údajů. Osobní údaje pojištěnců jsou zpracovávány osobou správce, ZP MV ČR, a to jak automatizovaně, tak neautomatizovaně. Veškeré osoby, které s osobními údaji přicházejí do styku v rámci plnění svých pracovních povinností, jsou vázány povinností mlčenlivosti. ZP MV ČR je rovněž na základě zákona uživatelem referenčních údajů registru obyvatel, informačního systému evidence obyvatel, registru rodných čísel, informačního systému cizinců a registru pojištěnců veřejného zdravotního pojištění.

Jaké osobní údaje a za jakým účelem ZP MV ČR zpracovává?

• ZP MV ČR zpracovává na základě zvláštních právních předpisů osobní údaje nutné k identifikaci pojištěnce a k plnění právních povinností ZP MV ČR stanovených právními předpisy při provádění veřejného zdravotního pojištění a koordinaci systémů sociálního zabezpečení Evropské unie (zejména zákon č. 48/1997 Sb., zákon č. 592/1992 Sb., zákon č. 280/1992 Sb., nařízení Evropského parlamentu a Rady č. 883/2004 a související koordinační nařízení, mezinárodní smlouvy o sociálním zabezpečení).

Jedná se o následující osobní údaje:

• jméno,
• příjmení,
• datum narození,
• rodné číslo (číslo pojištěnce),
• pohlaví,
• adresa místa pobytu v ČR,
• datum úmrtí,
• skutečnosti rozhodné pro vznik a zánik pojistného vztahu u ZP MV ČR a pro účast pojištěnce ve veřejném zdravotním systému (zejména druh pobytu, státní příslušnost, den zahájení a ukončení pobytu, druh pojištění, důvody vzniku a zániku zákonného pojištění v členském státě EU/EHP/Švýcarsku či ve státě vázaného mezinárodní smlouvou o sociálním zabezpečení),
• předchozí a nově zvolená zdravotní pojišťovna,
• u novorozence rodné číslo matky, pojištěné u ZP MV ČR, popřípadě otce, není-li matka účastna veřejného zdravotního systému,
• údaj o zákonném zástupci, opatrovníkovi či poručníkovi,
• plátce pojistného,
• číslo průkazu pojištěnce, popřípadě jiného nárokového dokladu,
• další údaje poskytované informačními systémy veřejné správy (zejména s odkazem na § 40 a § 41 zákona č. 48/1997 Sb., zákon č. 111/2009 Sb.).

ZP MVČR zpracovává některé zvláštní kategorie osobních údajů podle Čl. 9 Nařízení. Jedná se zejména o údaje o zdravotním stavu subjektu údajů za účelem hrazení léčebných výkonů pojištěnce, či budoucího soudního přezkumu v souvislosti s poskytováním lékařské péče. Výše uvedené údaje ZP MV ČR zpracovává bez souhlasu pojištěnce v souladu s Čl. 9 odst. 2 písm. f) a h) Nařízení – zpracování nezbytné pro určení, výkon nebo obhajobu právních nároků a zpracování nezbytné pro účely lékařské diagnostiky a poskytování zdravotní péče.

V souvislosti s povinnostmi ZP MV ČR na úseku výběru pojistného jsou dále zpracovávány údaje týkající se hrazení pojistného (obchodní jméno, sídlo nebo místo podnikání, identifikační číslo osoby, jež je plátcem pojistného, má-li ho přiděleno, číslo bankovního účtu, pokud z něj bude osoba provádět platbu pojistného nebo jeho záloh.) Pro zajištění poskytování a úhrady zdravotních služeb jsou zpracovávány údaje o hrazených službách uhrazených za pojištěnce a o zaplacených regulačních poplatcích a doplatcích za částečně hrazené léčivé přípravky a potraviny pro zvláštní lékařské účely. Výše uvedené údaje ZP MV ČR zpracovává i bez souhlasu pojištěnce.

Osobní údaje, které poskytuje pojištěnec dobrovolně za účelem zjednodušení a zefektivnění komunikace se ZP MV ČR v průběhu pojistného vztahu, které se váží přímo k osobě pojištěnce, tj. zejména osobní email, telefonní číslo, akademický titul, rodné příjmení, či korespondenční adresa, jsou zpracovávány výhradně na základě konkludentně uděleného souhlasu formou vyplnění nepovinných údajů na příslušném formuláři. Vyplnění těchto údajů na formuláři je považováno za souhlas s jejich použitím ke zjednodušení a zefektivnění komunikace se ZP MV ČR v průběhu trvání zdravotního pojištění. ZP MV ČR může tyto údaje používat po dobu, po kterou trvá souhlas k tomuto využití, to znamená, dokud pojištěnec svůj souhlas neodvolá. Odvolat souhlas je možné kdykoli, a to buď osobně na jakémkoliv pracovišti ZP MV ČR, nebo písemně na shora uvedenou adresu. Odvolání souhlasu nemá žádný dopad na poskytování veřejného zdravotního pojištění, pouze může dojít v některých případech ke ztížení vzájemné komunikace

Jak dlouho ZP MV ČR osobní údaje zpracovává?

ZP MV ČR zpracovává osobní údaje z titulu plnění právní povinnosti zásadně po dobu, kdy trvá pojistný vztah osoby k ZP MV ČR. Vzhledem k zákonným povinnostem ZP MV ČR pramenícím ze zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů, je povinna s nimi v souladu s tímto zákonem nakládat i po skončení pojistného vztahu a to po dobu určenou tímto právním předpisem.

Jaká jsou základní práva pojištěnce v oblasti ochrany osobních údajů?

Práva pojištěnce stanoví zejména kapitola III. Nařízení GDPR – ,,Práva subjektu údajů‘‘ a § 81 a násl. zákona č. 89/2012 Sb., občanský zákoník.

Přístup k osobním údajům:

Subjekt údajů je oprávněn požadovat informaci, zda osobní údaje, které se ho týkají, jsou či nejsou ZP MV ČR zpracovávány, a pokud jsou tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím: účel zpracování osobních údajů, kategorie dotčených osobních údajů, příjemci nebo kategorie příjemců osobních údajů, doba, po kterou budou osobní údaje uchovávány, zdroje osobních údajů, skutečnost, zda dochází k automatizovanému rozhodování, včetně profilování. ZP MV ČR poskytne první kopii zpracovávaných osobních údajů subjektu údajů bezplatně. Za další kopie na žádost Subjekt údajů může ZP MV ČR požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí takové informace.

Subjekt údajů má dále právo získat osobní údaje, které se ho týkají, jež poskytl ZP MV ČR, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, a dále právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.

Právo na opravu, doplnění či výmaz:

V případě, že se subjekt údajů domnívá, že ZP MV ČR nebo smluvní zpracovatel ZP MV ČR provádí zpracování osobních údajů v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může subjekt údajů ZP MV ČR požádat o opravu či výmaz (likvidaci) těchto osobních údajů, popřípadě omezení (blokaci) zpracování. Dále může subjekt údajů vznést námitku proti takovému zpracování.

Právo na omezení:

Subjekt údajů má právo na to, aby bylo zpracování osobních údajů, které se přímo týkají jeho osoby omezeno.

Právo na přenositelnost údajů:

Subjekt údajů má právo za určitých podmínek (osobní údaje se zpracovávají automatizovaně a je založeno na právním titulu splnění smlouvy nebo souhlasu se zpracováním osobních údajů) získat osobní údaje, které se ho týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správce, je-li to technicky proveditelné.

Právo vznést námitku:

Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:

• zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
• zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.

Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

Právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování:

Právo subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.  Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo členským státem nebo pokud je založeno na výslovném souhlasu subjektu údajů.

ZP MV ČR vždy bez zbytečného odkladu, v každém případě do jednoho měsíce od obdržení žádosti informuje subjekt údajů o vyřízení jeho žádosti.

Právo obrátit se na dozorový úřad

Subjekt údajů má právo kdykoliv se obrátit se svým podnětem na Úřad pro ochranu osobních údajů, se sídlem pplk. Sochora 727/27, 170 00 Praha 7 – Holešovice, tel. 234 665 111.

Jak a kde zjistit, jaké osobní údaje o konkrétním pojištěnci ZP MV ČR zpracovává?

Informaci o tom, jaké osobní údaje o konkrétním pojištěnci ZP MV ČR zpracovává, si může pojištěnec či zastupující osoba (zákonný zástupce, opatrovník, poručník) vyžádat prostřednictvím kontaktních údajů, které jsou uvedeny v úvodu této informace.

Informaci vyhotoví ZP MV ČR bez zbytečného odkladu, přičemž obsahem informace musí být vždy:

• totožnost a kontaktní údaje správce a jeho případného zástupce,
• kontaktní údaje pověřence pro ochranu osobních údajů,
• účel zpracování osobních údajů a právní základ pro zpracování,
• oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na Čl. 6 odst. 1 písm. f) Nařízení GDPR,
• případné příjemce nebo kategorie příjemců osobních údajů,
• případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v Článcích 46 nebo 47 nebo Čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny,
• doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby,
• existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů,
• pokud je zpracování založeno na Čl. 6 odst. 1 písm. a) nebo Čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním,
• existence práva podat stížnost u dozorového úřadu,
• skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů,
• skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v Čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož významu a předpoklá­daných důsledků takového zpracování pro subjekt údajů,
• Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace,
• osobní údaje, případně kategorie osobních údajů, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji.

ZP MV ČR poskytne první kopii zpracovávaných osobních údajů subjektu údajů bezplatně Za další kopie na žádost může ZP MV ČR požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí takové informace.

Z jakých zdrojů ZP MV ČR osobní údaje získává?

ZP MV ČR získává osobní údaje zejména od pojištěnce, a to jak při podání přihlášky k ZP MV ČR, tak i v průběhu pojistného vztahu na základě plnění oznamovací povinnosti pojištěnce stanovené zákonem č. 48/1997 Sb., o veřejném zdravotním pojištění, zákonem č. 592/1992 Sb., o pojistném na veřejné zdravotní pojištění, a dále v souvislosti s aplikací nařízení Evropského parlamentu a Rady č. 883/2004, souvisejících koordinačních nařízení a mezinárodních smluv o sociálním zabezpečení.

Vzhledem k tomu, že je ZP MV ČR na základě zákona č. 48/1997 Sb. a zákona č. 592/1992 Sb. uživatelem referenčních údajů vedených o subjektech údajů, kteří jsou jejími pojištěnci, v informačních systémech a registrech, využívá rovněž informace ze základního registru obyvatel ve smyslu zákona č. 111/2009 Sb., o základních registrech, z informačního systému evidence obyvatel, z informačního systémů cizinců, z registru rodných čísel a z volně přístupných veřejných rejstříků.

V souvislosti s povinnostmi zdravotních pojišťoven při zajišťování řádného fungování celého systému veřejného zdravotního pojištění v České republice má ZP MV ČR možnost ověřovat údaje o svých pojištěncích v registru pojištěnců veřejného zdravotního pojištění vedeném Všeobecnou zdravotní pojišťovnou České republiky, a to v rozsahu údajů stanovených právními předpisy. Součinnost dalších subjektů je stanovena zákonem č. 48/1997 Sb., o veřejném zdravotním pojištění, a zákonem č. 592/1992 Sb., o pojistném na veřejné zdravotní pojištění.

V souladu se základní působností zdravotní pojišťovny zpracovává ZP MV ČR údaje o hrazených zdravotních službách poskytnutých pojištěnci od poskytovatelů zdravotních služeb.

Jakým subjektům ZP MV ČR osobní údaje poskytuje?

Poskytování osobních údajů pojištěnců je striktně vymezeno právními předpisy, zejména zákonem č. 48/1997 Sb., o veřejném zdravotním pojištění, zákonem č. 592/1992 Sb., o pojistném na veřejné zdravotní pojištění, zákonem č. 280/1992 Sb., o rezortních, oborových, podnikových a dalších zdravotních pojišťovnách (zejména § 53 a násl.), nařízením Evropského parlamentu a Rady č. 883/2004 a souvisejícími koordinačními nařízeními, mezinárodními smlouvami o sociálním zabezpečení a dále speciálními právním předpisy, které stanoví oprávnění orgánů státní správy a dalších orgánů požadovat po ZP MV ČR v rámci povinné součinnosti sdělení údajů o pojištěnci (např. zákon č. 120/2001 Sb., exekuční řád, zákon č. 280/2009 Sb., daňový řád, zákon č. 273/2008 S., o Policii ČR, zákon č. 258/2000 Sb. o ochraně veřejného zdraví, apod.)

V rámci povinností v oblasti podávání informací o zahájení pojistného vztahu ZP MV ČR předává údaje o novém pojištěnci do registru pojištěnců veřejného zdravotního pojištění (§ 27 zákona č. 592/1992 Sb.) a předchozí zdravotní pojišťovně (§ 23 zákona č. 280/1992 Sb.).

Kam se obrátit, domníváte-li se, že osobní údaje ZP MV ČR zpracovává v rozporu se zákonem?

Pokud pojištěnec nebo zastupující osoba zjistí nebo se bude domnívat, že zpracování osobních údajů je prováděno v rozporu s ochranou soukromého a osobního života pojištěnce nebo v rozporu se zákonem, zejména jsou-li osobní údaje pojištěnce (zastupované osoby) nepřesné, může požádat ZP MV ČR o vysvětlení nebo odstranění takto vzniklého stavu a to prostřednictvím kontaktních údajů, které jsou uvedeny v úvodu této informace. Může požadovat především omezení zpracování, provedení opravy, doplnění nebo výmaz osobních údajů. Bude-li žádost shledána oprávněnou, ZP MV ČR odstraní neprodleně závadný stav. Pokud by v důsledku zpracování osobních údajů vznikla jiná než majetková újma, postupuje se při uplatňování jejího nároku podle zvláštního zákona (§ 13 zákona č. 89/2012 Sb., občanský zákoník).