GDPR – ochrana osobních údajů

U každého dospělého i dětského (nezletilého) klienta vedu údaje a dokumentaci vyplývající ze zákona o zdravotních službách a z vyhlášky o zdravotnické dokumentaci.
Údaje zahrnují osobní data, citlivá data, informace o průběhu a výstupech vyšetření, diagnostické a terapeutické závěry, doporučení dalšího postupu a vyhodnocení těchto doporučení.
Podle zákona mohou klienti do zdravotnické dokumentace nahlížet a činit si z ní fotokopie.
Každý klient má právo nahlédnout do informací o tom, jaké jsou o něm vedeny poskytovatelem zdravotních služeb osobní údaje a jakým způsobem jsou tyto osobní údaje zabezpečeny.

Informace pro klienty a zákonné zástupce dětí do 18 let:
souhlas se zpracováním osobních a citlivých údajů
Proč vás žádám o vyplnění a podepsání informovaného souhlasu?
Od 25. 5. 2018 vzniká v České republice povinnost dodržovat Obecné nařízení na ochranu osobních údajů. Jedná se o nový právní rámec ochrany osobních údajů v evropském prostoru. Zdroj informací a citace: www.gdpr.cz

Souhlas se zpracováním osobních údajů
Souhlas se zpracováním osobních údajů podle GDPR znamená, že pokud je zpracování údajů založeno na souhlasu, musí být správce, v tomto případě Dagmar Brejlová coby provozovatelka psychologické ambulance, schopen doložit, že klient a u dětí jejich zákonný zástupce udělil souhlas se zpracováním osobních a citlivých údajů svobodně, přičemž udělený souhlas byl konkrétní, informovaný, jednoznačný a ničím nepodmíněný. Jde o aktivní a dobrovolný projev vůle.

Souhlas je jedním z právních důvodů, na základě kterého může správce osobní údaje zpracovávat. Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát, v případě psychologické ambulance se zpracovávají osobní a citlivé údaje, které klient nebo zákonný zástupce sděluje klinické psycholožce.
Pokud klient odvolá souhlas, neznamená to, že správce osobní údaje zlikviduje, jelikož odvolání souhlasu se děje k určitému účelu, ovšem správce může a v případě klinické psychologie musí osobní údaje zpracovávat pro jiné účely, pro které využije jiný právní důvod zpracování než souhlas subjektu údajů. V případě klinické psychologie se jedná o povinnost na základě Zákona o zdravotních službách: Zákon č. 372/2011 Sb.

Co je vlastně GDPR?

GDPR neboli General Data Protection Regulation (česky Obecné nařízení na ochranu osobních údajů) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě. Představuje nový právní rámec ochrany osobních údajů v evropském prostoru, které bude od 25. května 2018 přímo stanovovat pravidla pro zpracování osobních údajů, včetně práv subjektu údajů (fyzické osoby – v případě ambulance klinické psychologie se jedná o klienty/pacienty a u dětí o jejich zákonné zástupce, ti udělují souhlas).
V českém právním prostředí tak Obecné nařízení od 25. května 2018 nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, resp. zákon o ochraně osobních údajů po jeho novele bude již upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou Obecným nařízením upraveny či je jím umožněno je upravit na vnitrostátní úrovni (nebo dokonce i stanoveno, že mají být upraveny).
GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.
Zpracování osobních údajů je jakýkoli úkon nebo soubor úkonů, které správce systematicky provádí s osobními a citlivými údaji. Zpracováním se rozumí zejména shromažďování, zaznamenání, uspořádání, strukturování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, nahlédnutí, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.
Správce odpovídá:
• za dodržování zásad zpracování,
• za dodržování povinností upravených nařízením,
• za zabezpečení údajů.

Co jsou osobní údaje?
Patří sem jméno, pohlaví, věk a datum narození, osobní stav, dále sem patří i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo a také identifikační údaje vydané státem.

Co jsou citlivé údaje?
Citlivé osobní údaje jsou speciální kategorií podle GDPR, která zahrnuje údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení osob. Tyto údaje mohou subjekt údajů samy o sobě poškodit ve společnosti, v zaměstnání, ve škole či mohou zapříčinit jeho diskriminaci. Do kategorie citlivých údajů GDPR nově zahrnuje genetické a biometrické údaje.

Klient a v případě dětí do 18 let jejich zákonný zástupce má právo:
• kdykoliv odvolat udělený souhlas, a to pro každý z účelů zpracování samostatně – nikoli však v rozporu se zákonem o zdravotních službách a s vyhláškou o zdravotnické dokumentaci
• vyžádat si informaci o tom, jaké osobní údaje jsou o něm zpracovávány
• vyžádat si opravu nebo doplnění svých osobních údajů
• žádat výmaz osobních údajů, pro jejichž zpracovávání již dále není důvod
• žádat omezení zpracovávání údajů, které jsou nepřesné, neúplné, nebo u nichž odpadl důvod jejich zpracování, ale nesouhlasí s jejích výmazem
• žádat umožnění přenesení zpracovávaných údajů
• dostat odpověď na svou žádost adresovanou správci bez zbytečného odkladu, v každém případě do jednoho měsíce od obdržení žádosti správcem
• podat stížnost k dozorovému úřadu (Úřad pro ochranu osobních údajů, pplk. Sochora 27, Praha 7, PSČ 170 00), pokud se domnívá, že zpracováním jeho osobních údajů je porušeno GDPR