GDPR Informace: Správcem a zpracovatelem osobních údajů je: Centrum seniorů Mělník, příspěvková organizace, Fügnerova 3523, 276 01 Mělník, IČO 70824282 (dále jen Centrum seniorů ) Ředitelem Centra seniorů je: PhDr. Jiří Vronský, tel. 315 630 040, e-mail: j.vronsky@ssmm.cz Pověřencem pro ochranu osobních je: Kancelář pověřenců pro ochranu osobních údajů, sdružení fyzických osob, zastoupené Mgr. Evou Cupákovou, Hradební 26, 588 56 Telč, tel. 776 898 878, e-mail: info@osobnidata.eu Centrum seniorů je příspěvkovou organizací zřízenou městem Mělník, za účelem zabezpečování sociálních služeb občanům města a okolních obcí. Sociální služby jsou poskytovány jednak pobytové, které jsou zabezpečovány v jednotlivých domovech pro klienty různě závislé na sociální péči. Pro soběstačnější klienty jsou to Domov Penzion a Domov Ludmila, pro klienty s vysokou závislostí je to domov se zvláštním režimem Vážka, součástí pobytové služby je rovněž odlehčovací služba. V rámci Centra seniorů působí terénní pečovatelská služba. Další nabízenou službou je Senior automobil. Pro zajištění celé této šíře sociálních služeb jsou Centrem seniorů zpracovávány osobní údaje klientů, zaměstnanců a třetích osob. Osobní údaje jsou zpracovávány v souladu s Nařízením Evropského parlamentu a Rady (EU)2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů), (dále jen Obecné nařízení ). Oznámení o zpracování osobních údajů v souvislosti s poskytováním sociálních služeb: Účely zpracování: Administrace žádostí do Centra seniorů: o Vyřízení žádosti o umístění do Centra seniorů (součástí žádosti je vyjádření lékaře ke stavu žadatele) pro pobytovou i terénní službu o Zařazení žádosti do evidence uchazečů a sdělení o zařazení Sociální šetření a záznam o sociálním šetření u žadatele o umístění do Centra seniorů, poskytování terénní pečovatelské služby Smlouva o poskytování služby Administrace dokumentace při nástupu klienta do Centra seniorů Vypracování plánu péče o klienta Vedení záznamů o poskytované sociální službě, ošetřovatelská a sociální dokumentace Vedení záznamů o zdravotnických úkonech dle pokynů ošetřujícího lékaře, zdravotnická dokumentace Vedení záznamů a plánu speciálních podmínek stravování klientů Vedení záznamů o pochvalách a stížnostech klienta Vedení evidence použitých opatření omezujících pohyb klienta a opatření ochrany Administrace poskytovaných fakultativních služeb Administrace údajů o třetích osobách v souvislosti s poskytováním informací o stavu klienta Oznámení o zpracování osobních údajů v souvislosti s poskytováním sociálních služeb personální zabezpečení chodu organizace, vedení a administrace pracovně-právní oblasti: Účely zpracování: Výběrová řízení na pozice zaměstnanců organizace Vstupní a periodické prohlídky zaměstnanců Pracovní smlouva, dohoda o provedení práce, dohoda o pracovní činnosti Vedení osobních spisů zaměstnanců 1
Certifikáty elektronické podatelny, elektronického podpisu pověřených zaměstnanců Zpracování platů zaměstnanců, zákonné odvody, prohlášení poplatníka daní z příjmů Zajišťování podkladů pro odchod do důchodu zaměstnanců Statistická hlášení týkající se zaměstnanců Administrace a vyplácení nadstandardních příplatků (životní pojištění, penzijní připojištění, závodní stravování) Školení a vzdělávání zaměstnanců Záznamy spojené s čerpáním fondu kulturních a sociálních potřeb zaměstnanců Záznamy spojené s BOZP (bezpečnost a ochrana zdraví při práci) Záznamy spojené s evidencí vydaných ochranných prostředků (oděvů, obuvi, dezinfekčních prostředků atd.) Záznamy a dokumenty spojené s používáním služebních vozidel Záznamy a podklady spojené se zákonným plněním podílu osob se zdravotním postižením Oznámení o zpracování osobních údajů v souvislosti s poskytováním sociálních služeb organizačně-technické zabezpečení vedení Centra seniorů: Účely zpracování: Dokumenty podatelny a centrální spisovny Kompletní vedení účetnictví vč. zpracování faktur, pokladních dokladů, výpisů z banky a vnitřních dokladů Vedení smluv a objednávek, vymáhání pohledávek Administrace veřejných zakázek Facebookové stránky Centra seniorů Vedení webových stránek Centra seniorů Správce zpracovává osobní údaje v souladu s Obecným nařízením, konkrétně s: Čl. 6, odst. 1 písm. b) zpracování je nezbytné pro splnění smlouvy, jejíž stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů. Čl. 6, odst. 1 písm. c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje. Čl. 6, odst. 1 písm. e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen; Čl. 6, odst. 1 písm. f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů; Čl. 6, odst. 1 písm. a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů. Správce zpracovává zvláštní kategorii osobních údajů ve smyslu: Čl. 9, odst. 2 písm. g) z důvodu významného veřejného zájmu Čl. 9, odst. 2 písm. h) zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péči či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva Unie nebo členského státu, nebo podle smlouvy se zdravotnickým pracovníkem. Kategorizace subjektů údajů: Organizace zpracovává osobní údaje těchto subjektů: žadatel o sociální službu, klient, zákonný zástupce klienta (opatrovník), osoby blízké třetí osoby na základě jejich souhlasu, oprávněné subjekty dle platné právní úpravy, sociální a zdravotničtí pracovníci, obslužný personál, ostatní zaměstnanci, oprávněné subjekty dle platných smluvních vztahů. 2
Osobní údaje jsou zpracovávány v rozsahu zákonem uložených povinností a dále v souladu s kapitolou II Obecného nařízení, za dodržení všech zásad zpracování osobních údajů. V rámci plnění právní povinnosti a plnění úkolů ve veřejném zájmu je zpracování osobních údajů obsaženo zejména v těchto právních normách: Zákon č. 108/2006 Sb., o sociálních službách Vyhláška č. 505/2006 Sb., kterou se provádějí některá ustanovení zákona o sociálních službách Zákon č. 89/2012 Sb., občanský zákoník Zákon č. 111/2006 Sb., o pomoci v hmotné nouzi Zákon č. 48/1997 Sb., o zdravotním pojištění Zákon č. 329/2011 Sb., o poskytování dávek osobám se zdravotním postižením Zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení Vyhláška č. 537/2006 Sb., o očkování proti infekčním nemocem Vyhláška č. 306/2012 Sb., o podmínkách předcházení vzniku a šíření infekčních onemocnění a o hygienických požadavcích na provoz zdravotnických zařízení a ústavů sociální péče Vyhláška č. 618/2006 Sb., kterou se vydávají rámcové smlouvy (úhrady za poskytovanou zdravotní péči) Zákon č. 262/2006 Sb., zákoník práce Zákon č. 435/2004 Sb., o zaměstnanosti Zákon č. 373/2011 Sb., o speciálních zdravotních službách Vyhláška č. 79/2013 Sb., prováděcí vyhláška k zákonu o speciálních zdravotních službách Zákon č. 500/2004 Sb., správní řád Zákon č. 227/2000 Sb., o elektronickém podpisu Zákon č. 586/1992 Sb., o daních z příjmů Zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení Zákon č. 48/1997 Sb., o veřejném zdravotním pojištění Zákon č. 187/2006 Sb., o nemocenském pojištění Zákon č. 155/1995 Sb., o důchodovém pojištění Zákon č. 189/1992 Sb., o pojištění na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti Zákon č. 280/2009 Sb., daňový řád Nařízení vlády č. 341/2017 Sb., o platových poměrech zaměstnanců ve veřejných službách a správě Zákon č. 42/1994 Sb., o penzijním připojištění se státním příspěvkem Zákon č. 427/2011 Sb., o doplňkovém penzijním spoření Vyhláška č. 114/2002 Sb., o fondu kulturních a sociálních potřeb Zákon č. 309/2006 Sb., kterým se upravují další požadavky bezpečnosti a ochrany zdraví při práci v pracovněprávních vztazích Nařízení vlády č. 201/2010 Sb., o způsobu evidence úrazů, hlášení a zasílání záznamu o úrazu Nařízení vlády č. 361/2007 Sb., kterým se stanoví podmínky ochrany zdraví při práci Nařízení vlády č. 495/2001 Sb., kterým se stanoví rozsah a bližší podmínky poskytování osobních ochranných pracovních prostředků, mycích, čistících a dezinfekčních prostředků Zákon č. 499/2004 Sb., o archivní a spisové službě Vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby Zákon č. 563/1991 Sb., o účetnictví Vyhláška č. 410/2009 Sb., kterou se provádějí některá ustanovení zákona o účetnictví Zákon č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv) Zákon č. 134/2016 Sb., o zadávání veřejných zakázek 3
Se zpracováním osobních údajů souvisí tyto druhy zpracování: shromažďování, zaznamenávání, uložení, změny, nahlédnutí, vyhledání, použití, zpřístupnění, omezením, výmaz a zničení. Kategorizace zpracovávaných osobních údajů: vedle základních identifikačních údajů subjektu údajů (jméno, příjmení, datum narození, místo trvalého pobytu), jsou evidovány i osobní údaje zvláštní kategorie: informace o zdravotním stavu o druhu léčby vč. poskytované zdravotní péče, informace o sociálním zázemí a poskytované sociální péči, vše související s poskytováním sociálních služeb. Rovněž zdravotní stav zaměstnanců v souvislosti s výkonem činnosti, pro kterou je zdravotní způsobilost podmínkou pro výkon práce, v souladu s právními normami a také výpisy z rejstříku trestů o osob, u kterých je tato povinnost uložena právní normou. Zpracování osobních údajů provádí pouze zaměstnanci kompetentní k danému zpracování a to v souladu s jejich pracovním zařazením. Organizace vede v souladu se čl. 30 Obecného nařízení záznamy o činnostech zpracování osobních údajů. Záznamy o zpracování jsou rozděleny pro oblast sféry klienta, sféry personálně - mzdové a sféru organizačně technickou. Záznamy obsahují tyto informace: Účel zpracování, právní základ zpracování osobních údajů, specifikaci subjektů údajů, kategorie a rozsah zpracovávaných osobních údajů, příjemci osobních údajů, informace o předávání osobních údajů do třetích zemí, doba a zákonný podklad pro uložení a archivaci osobních údajů. Osobní údaje jsou vedeny v listinné i elektronické podobě. Zpracovávané osobní údaje nejsou předávány do třetích zemí. Rizika pro práva a oprávněné zájmy fyzických osob v souvislosti s ochranou osobních údajů: Správce osobních údajů je v rámci nakládání s osobními údaji povinen zohlednit případná rizika, která mohou mít vliv na práva a oprávněné zájmy subjektů údajů, jejichž osobní údaje v souvislosti s poskytováním sociálních služeb eviduje, v rozsahu uvedeném v záznamech o činnostech zpracování. Organizace provedla audit zpracovávaných osobních údajů a v jeho rámci stanovila tato potencionální rizika: Stěžejní hrozbou je možné porušení zabezpečení osobních údajů v elektronické podobě (narušení systému), v jehož důsledku hrozí únik dat. Potencionální újma způsobená narušením bezpečnosti, kdy se k osobním údajům mohou dostat nepovolané osoby a subjekty údajů ztratí možnost kontroly nad svými osobními údaji, je vyhodnocena jako středně závažná a to s přihlédnutím k nastaveným zabezpečením systému, kdy přístupy jsou určovány stanovenými kompetencemi a zajišťovány dvoufázovým přístupem. Další hrozbu může představovat zpracovávání osobních údajů v rozporu se zásadou zákonnosti či nevhodné zpracování osobních údajů (vzhledem k očekávatelnosti zpracování ze strany subjektů údajů). I tato hrozba byla vyhodnocena jako středně závažná a to s ohledem na objem a povahu zpracovávaných osobních údajů a také s přihlédnutím na počet osob zapojených do zpracování a zavedená vnitřní opatření (závazné vnitřní směrnice). Minimální hrozba spočívá v možnosti zpracování neaktuálních či nepřesných údajů a hrozbu spočívající ve znemožnění či ztížení uplatnění práv subjektů údajů. Minimální hrozba spočívá v přesném nastavení kompetencí a povinností při správě osobních údajů a pravidelné aktualizaci a kontrole zpracovávaných údajů, která je stanovena závaznou vnitřní směrnicí. Minimální standardy zabezpečení osobních údajů: Správce prohlašuje, že provedl vzhledem ke svým možnostem maximální opatření, aby byla minimalizována rizika v souvislosti s nakládáním s osobními údaji. Interním vyhodnocením došel správce k závěru, že má řádně zabezpečenou IT infrastrukturu, včetně přístupových hesel do PC a aplikací obsahujících sociálně-zdravotní údaje subjektů údajů, e-mailové korespondence a dalších 4
softwarových aplikací používaných v rámci své činnosti. Prováděna je pravidelná záloha a spisovny jsou řádně zabezpečeny proti neoprávněnému použití. Správce má rovněž řádně zabezpečeny osobní údaje zpracovávané v listinné podobě, kdy jsou využívány dostupné uzavíratelné systémy opatřené klíčovým či jiným mechanismem, které brání neoprávněnému přístupu. Zaměstnanci jsou pravidelně proškolováni z oblasti ochrany osobních údajů. Správce svou činností a nastavením vnitřních pravidel maximálně minimalizoval rizika, která by mohla vést k porušení práv či oprávněných zájmů subjektů údajů. Správce dobrovolně jmenuje pověřence pro ochranu osobních údajů: čl. 37 odst. 1 Obecného nařízení stanoví povinnost správce jmenovat pověřence pro ochranu osobních údajů v případě, kdy a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10. Podle čl. 37 odst. 4 Obecného nařízení musí správce jmenovat pověřence pro ochranu osobních údajů, vyžaduje-li to právo Unie nebo členského státu. Správce je poskytovatelem sociálních služeb podle zákona č. 108/2006 Sb., o sociálních službách. Správce vyhodnotil, že sice není orgánem veřejné moci ani veřejným subjektem a není proto povinen jmenovat pověřence pro ochranu osobních údajů podle čl. 37 odst. 1 písm. a) Obecného nařízení, vzhledem k citlivosti zpracovávaných osobních údajů však vyhodnotil, že jmenování pověřence učiní dobrovolně. Hlavní činností správce je totiž poskytování sociálních služeb v rozsahu a za podmínek platné právní úpravy. Vedení zdravotnické a sociální dokumentace a dalších evidencí je neoddělitelnou součástí hlavní činnosti správce. Do hlavní činnosti správce rovněž spadají operace zpracování v rámci vedení sociální a zdravotnické dokumentace, tj. i zpracování zvláštních kategorií osobních údajů, tedy informací o zdravotním stavu (čl. 9 odst. 1 Obecného nařízení). Toto zpracování je v souladu s čl. 9 odst. 2 písm. g) a h) obecného nařízení o ochraně osobních údajů. Správce jako poskytovatel sociálních služeb zpracovává zvláštní kategorie osobních údajů v rozsahu, který odpovídá počtu jeho klientů. S ohledem na teritoriální působnost správce se dle názoru správce jedná o nezanedbatelnou část, ačkoli se nejedná o zpracování rozsáhlé. Počet ošetřujících zdravotnických a sociálních pracovníků současně limituje kapacitu správce jako poskytovatele sociálních služeb a tím i rozsah zpracování osobních údajů. Správce proto má za to, že dobrovolným jmenováním pověřence pro ochranu osobních údajů zabezpečí monitoring a kontrolu zpracování osobních údajů ve smyslu Obecného nařízení. Správce neprovádí posouzení vlivu na ochranu osobních údajů a to s ohledem na níže uvedené: Podle čl. 37 odst. 1 Obecného nařízení je nutné provést posouzení vlivu zejména v těchto případech: a) prováděno je systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad; b) prováděno je rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10; nebo c) prováděno je rozsáhlé systematické monitorování veřejně přístupných prostorů. 5
Správce je poskytovatelem sociálních služeb. Posouzení vlivu na ochranu osobních údajů nemá být podle recitálu 91 poslední věty odůvodnění Obecného nařízení povinné, a to s ohledem na skutečnost, že správce vzhledem k rozsahu své činnosti, tj. zákonné povinnosti zpracování osobních údajů v rámci vedení sociální a zdravotnické dokumentace, nezpracovává osobní údaje v takovém rozsahu, který by odůvodnil existenci vysokého rizika pro práva a svobody fyzických osob ve smyslu č. 37 odst. 1 Obecného nařízení. Správce neprovádí žádné operace vyhodnocování osobních aspektů týkajících se fyzických osob. Správce je poskytovatelem sociálních služeb, který v rámci své hlavní činnosti povinně zpracovává osobní údaje. Tyto údaje žádným způsobem nevyhodnocuje, neprovádí profilování ani jiné podobné operace, a to mimo jiné proto, že takové nakládání s osobními údaji, které správce povinně zpracovává, zakazuje zákon. Do hlavní činnosti správce spadají operace zpracování v rámci vedení sociální a zdravotnické dokumentace, tj. i zpracování zvláštních kategorií osobních údajů, tedy informací o zdravotním stavu (čl. 9 odst. 1 obecného nařízení o ochraně osobních údajů). Toto zpracování je v souladu s čl. 9 odst. 2 písm. g) a h) obecného nařízení o ochraně osobních údajů. Nejde však o zpracování rozsáhlé s odkazem na výše uvedený rozbor rozsáhlého zpracování. Správce neprovádí rozsáhlé systematické monitorování veřejně přístupných prostor. V rámci činnosti správce jsou plně respektována Práva subjektů údajů: Právo na přístup k osobním údajům, které se o subjektu údajů zpracovávají (čl. 15) Práno na opravu v případě vedení nepřesných či neúplných osobních údajů (čl. 16) Právo na výmaz v případě, že osobní údaje nejsou potřebné pro daný účel nebo byly zpracovávány protiprávně (čl. 17) Právo na omezení zpracování, pokud subjekt údajů popírá přesnost údajů, zpracování je protiprávní, správce už údaje nepotřebuje (čl. 18) Právo na přenositelnost údajů jinému správci (čl. 20) Právo vznést námitku v případě veřejného či oprávněného zájmu (čl. 21) Právo podat stížnost u dozorového úřadu Úřad pro ochranu osobních údajů pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušováno nařízení (čl. 77) Pro účely zabezpečení práv subjektů údajů a ochrany jejich údajů v souvislosti se zpracováním osobních údajů byly organizací přijaty tyto vnitřní normy: Směrnice Podmínky ochrany osobních údajů zaměstnanců Směrnice O ochraně osobních údajů Spisový a skartační řád vč. příloha 1 8. Bližší informace týkající se zpracování osobních údajů jsou přístupné u pracovníka pro danou oblast: Bc. Renaty Hencové, tel. 315 630 040, e-mail: 734 442 733. 6