GDPR Informace:
Správcem a zpracovatelem osobních údajů je:
Centrum seniorů Mělník, příspěvková organizace, Fügnerova 3523, 276 01 Mělník, IČO 70824282 (dále jen „Centrum seniorů“)
Ředitelkou Centra seniorů je: PhDr. Drahomíra Pavlíková, tel. 315 630 040, e-mail: d.pavlikova@melnik.cz
Pověřencem pro ochranu osobních je:
MILWEN s.r.o., zastoupená jednatelem Mgr. Václavem Šmídem, se sídlem Podsedice 1, 411 15 Podsedice, tel.776 661 186, e-mail: info@milwen.cz
Centrum seniorů je příspěvkovou organizací zřízenou městem Mělník, za účelem zabezpečování sociálních služeb občanům města a okolních obcí. Sociální služby jsou poskytovány jednak pobytové, které jsou zabezpečovány v jednotlivých „domovech“ pro klienty různě závislé na sociální péči. Pro soběstačnější klienty jsou to Domov Penzion a Domov Ludmila, pro klienty s vysokou závislostí je to domov se zvláštním režimem Vážka, součástí pobytové služby je rovněž odlehčovací služba. V rámci Centra seniorů působí terénní pečovatelská služba. Další nabízenou službou je Senior automobil. Pro zajištění celé této šíře sociálních služeb jsou Centrem seniorů zpracovávány osobní údaje klientů, zaměstnanců a třetích osob.
Osobní údaje jsou zpracovávány v souladu s Nařízením Evropského parlamentu a Rady (EU)2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů), (dále jen „Obecné nařízení“).
Oznámení o zpracování osobních údajů v souvislosti s poskytováním sociálních služeb:
Účely zpracování:
- Administrace žádostí do Centra seniorů:
- Vyřízení žádosti o umístění do Centra seniorů (součástí žádosti je vyjádření lékaře ke stavu žadatele) – pro pobytovou i terénní službu
- Zařazení žádosti do evidence uchazečů a sdělení o zařazení
- Sociální šetření a záznam o sociálním šetření u žadatele o umístění do Centra seniorů, poskytování terénní pečovatelské služby
- Smlouva o poskytování služby
- Administrace dokumentace při nástupu klienta do Centra seniorů
- Vypracování plánu péče o klienta
- Vedení záznamů o poskytované sociální službě, ošetřovatelská a sociální dokumentace
- Vedení záznamů o zdravotnických úkonech dle pokynů ošetřujícího lékaře, zdravotnická dokumentace
- Vedení záznamů a plánu speciálních podmínek stravování klientů
- Vedení záznamů o pochvalách a stížnostech klienta
- Vedení evidence použitých opatření omezujících pohyb klienta a opatření ochrany
- Administrace poskytovaných fakultativních služeb
- Administrace údajů o třetích osobách v souvislosti s poskytováním informací o stavu klienta
Oznámení o zpracování osobních údajů v souvislosti s poskytováním sociálních služeb – personální zabezpečení chodu organizace, vedení a administrace pracovně-právní oblasti:
Účely zpracování:
- Výběrová řízení na pozice zaměstnanců organizace
- Vstupní a periodické prohlídky zaměstnanců
- Pracovní smlouva, dohoda o provedení práce, dohoda o pracovní činnosti
- Vedení osobních spisů zaměstnanců
- Certifikáty elektronické podatelny, elektronického podpisu pověřených zaměstnanců
- Zpracování platů zaměstnanců, zákonné odvody, prohlášení poplatníka daní z příjmů
- Zajišťování podkladů pro odchod do důchodu zaměstnanců
- Statistická hlášení týkající se zaměstnanců
- Administrace a vyplácení nadstandardních příplatků (životní pojištění, penzijní připojištění, závodní stravování)
- Školení a vzdělávání zaměstnanců
- Záznamy spojené s čerpáním fondu kulturních a sociálních potřeb zaměstnanců
- Záznamy spojené s BOZP (bezpečnost a ochrana zdraví při práci)
- Záznamy spojené s evidencí vydaných ochranných prostředků (oděvů, obuvi, dezinfekčních prostředků atd.)
- Záznamy a dokumenty spojené s používáním služebních vozidel
- Záznamy a podklady spojené se zákonným plněním podílu osob se zdravotním postižením
Oznámení o zpracování osobních údajů v souvislosti s poskytováním sociálních služeb – organizačně-technické zabezpečení vedení Centra seniorů:
Účely zpracování:
- Dokumenty podatelny a centrální spisovny
- Kompletní vedení účetnictví vč. zpracování faktur, pokladních dokladů, výpisů z banky a vnitřních dokladů
- Vedení smluv a objednávek, vymáhání pohledávek
- Administrace veřejných zakázek
- Facebookové stránky Centra seniorů
- Vedení webových stránek Centra seniorů
Správce zpracovává osobní údaje v souladu s Obecným nařízením, konkrétně s:
- Čl. 6, odst. 1 písm. b) zpracování je nezbytné pro splnění smlouvy, jejíž stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů.
- Čl. 6, odst. 1 písm. c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje.
- Čl. 6, odst. 1 písm. e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;
- Čl. 6, odst. 1 písm. f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů;
- Čl. 6, odst. 1 písm. a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů.
Správce zpracovává zvláštní kategorii osobních údajů ve smyslu:
- Čl. 9, odst. 2 písm. g) z důvodu významného veřejného zájmu
- Čl. 9, odst. 2 písm. h) zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péči či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva Unie nebo členského státu, nebo podle smlouvy se zdravotnickým pracovníkem.
Kategorizace subjektů údajů:
Organizace zpracovává osobní údaje těchto subjektů: žadatel o sociální službu, klient, zákonný zástupce klienta (opatrovník), osoby blízké – třetí osoby na základě jejich souhlasu, oprávněné subjekty dle platné právní úpravy, sociální a zdravotničtí pracovníci, obslužný personál, ostatní zaměstnanci, oprávněné subjekty dle platných smluvních vztahů.
Osobní údaje jsou zpracovávány v rozsahu zákonem uložených povinností a dále v souladu s kapitolou II Obecného nařízení, za dodržení všech zásad zpracování osobních údajů. V rámci plnění právní povinnosti a plnění úkolů ve veřejném zájmu je zpracování osobních údajů obsaženo zejména v těchto právních normách:
- Zákon č. 108/2006 Sb., o sociálních službách
- Vyhláška č. 505/2006 Sb., kterou se provádějí některá ustanovení zákona o sociálních službách
- Zákon č. 89/2012 Sb., občanský zákoník
- Zákon č. 111/2006 Sb., o pomoci v hmotné nouzi
- Zákon č. 48/1997 Sb., o zdravotním pojištění
- Zákon č. 329/2011 Sb., o poskytování dávek osobám se zdravotním postižením
- Zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení
- Vyhláška č. 537/2006 Sb., o očkování proti infekčním nemocem
- Vyhláška č. 306/2012 Sb., o podmínkách předcházení vzniku a šíření infekčních onemocnění a o hygienických požadavcích na provoz zdravotnických zařízení a ústavů sociální péče
- Vyhláška č. 618/2006 Sb., kterou se vydávají rámcové smlouvy (úhrady za poskytovanou zdravotní péči)
- Zákon č. 262/2006 Sb., zákoník práce
- Zákon č. 435/2004 Sb., o zaměstnanosti
- Zákon č. 373/2011 Sb., o speciálních zdravotních službách
- Vyhláška č. 79/2013 Sb., prováděcí vyhláška k zákonu o speciálních zdravotních službách
- Zákon č. 500/2004 Sb., správní řád
- Zákon č. 227/2000 Sb., o elektronickém podpisu
- Zákon č. 586/1992 Sb., o daních z příjmů
- Zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení
- Zákon č. 48/1997 Sb., o veřejném zdravotním pojištění
- Zákon č. 187/2006 Sb., o nemocenském pojištění
- Zákon č. 155/1995 Sb., o důchodovém pojištění
- Zákon č. 189/1992 Sb., o pojištění na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti
- Zákon č. 280/2009 Sb., daňový řád
- Nařízení vlády č. 341/2017 Sb., o platových poměrech zaměstnanců ve veřejných službách a správě
- Zákon č. 42/1994 Sb., o penzijním připojištění se státním příspěvkem
- Zákon č. 427/2011 Sb., o doplňkovém penzijním spoření
- Vyhláška č. 114/2002 Sb., o fondu kulturních a sociálních potřeb
- Zákon č. 309/2006 Sb., kterým se upravují další požadavky bezpečnosti a ochrany zdraví při práci v pracovněprávních vztazích
- Nařízení vlády č. 201/2010 Sb., o způsobu evidence úrazů, hlášení a zasílání záznamu o úrazu
- Nařízení vlády č. 361/2007 Sb., kterým se stanoví podmínky ochrany zdraví při práci
- Nařízení vlády č. 495/2001 Sb., kterým se stanoví rozsah a bližší podmínky poskytování osobních ochranných pracovních prostředků, mycích, čistících a dezinfekčních prostředků
- Zákon č. 499/2004 Sb., o archivní a spisové službě
- Vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby
- Zákon č. 563/1991 Sb., o účetnictví
- Vyhláška č. 410/2009 Sb., kterou se provádějí některá ustanovení zákona o účetnictví
- Zákon č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv)
- Zákon č. 134/2016 Sb., o zadávání veřejných zakázek
Se zpracováním osobních údajů souvisí tyto druhy zpracování: shromažďování, zaznamenávání, uložení, změny, nahlédnutí, vyhledání, použití, zpřístupnění, omezením, výmaz a zničení.
Kategorizace zpracovávaných osobních údajů: vedle základních identifikačních údajů subjektu údajů (jméno, příjmení, datum narození, místo trvalého pobytu), jsou evidovány i osobní údaje zvláštní kategorie: informace o zdravotním stavu o druhu léčby vč. poskytované zdravotní péče, informace o sociálním zázemí a poskytované sociální péči, vše související s poskytováním sociálních služeb. Rovněž zdravotní stav zaměstnanců v souvislosti s výkonem činnosti, pro kterou je zdravotní způsobilost podmínkou pro výkon práce, v souladu s právními normami a také výpisy z rejstříku trestů o osob, u kterých je tato povinnost uložena právní normou.
Zpracování osobních údajů provádí pouze zaměstnanci kompetentní k danému zpracování a to v souladu s jejich pracovním zařazením.
Organizace vede v souladu se čl. 30 Obecného nařízení záznamy o činnostech zpracování osobních údajů. Záznamy o zpracování jsou rozděleny pro oblast sféry klienta, sféry personálně – mzdové a sféru organizačně – technickou. Záznamy obsahují tyto informace:
Účel zpracování, právní základ zpracování osobních údajů, specifikaci subjektů údajů, kategorie a rozsah zpracovávaných osobních údajů, příjemci osobních údajů, informace o předávání osobních údajů do třetích zemí, doba a zákonný podklad pro uložení a archivaci osobních údajů.
Osobní údaje jsou vedeny v listinné i elektronické podobě.
Zpracovávané osobní údaje nejsou předávány do třetích zemí.
Rizika pro práva a oprávněné zájmy fyzických osob v souvislosti s ochranou osobních údajů: Správce osobních údajů je v rámci nakládání s osobními údaji povinen zohlednit případná rizika, která mohou mít vliv na práva a oprávněné zájmy subjektů údajů, jejichž osobní údaje v souvislosti s poskytováním sociálních služeb eviduje, v rozsahu uvedeném v záznamech o činnostech zpracování.
Organizace provedla audit zpracovávaných osobních údajů a v jeho rámci stanovila tato potencionální rizika:
Stěžejní hrozbou je možné porušení zabezpečení osobních údajů v elektronické podobě (narušení systému), v jehož důsledku hrozí únik dat. Potencionální újma způsobená narušením bezpečnosti, kdy se k osobním údajům mohou dostat nepovolané osoby a subjekty údajů ztratí možnost kontroly nad svými osobními údaji, je vyhodnocena jako středně závažná a to s přihlédnutím k nastaveným zabezpečením systému, kdy přístupy jsou určovány stanovenými kompetencemi a zajišťovány dvoufázovým přístupem.
Další hrozbu může představovat zpracovávání osobních údajů v rozporu se zásadou zákonnosti či nevhodné zpracování osobních údajů (vzhledem k očekávatelnosti zpracování ze strany subjektů údajů). I tato hrozba byla vyhodnocena jako středně závažná a to s ohledem na objem a povahu zpracovávaných osobních údajů a také s přihlédnutím na počet osob zapojených do zpracování a zavedená vnitřní opatření (závazné vnitřní směrnice).
Minimální hrozba spočívá v možnosti zpracování neaktuálních či nepřesných údajů a hrozbu spočívající ve znemožnění či ztížení uplatnění práv subjektů údajů. Minimální hrozba spočívá v přesném nastavení kompetencí a povinností při správě osobních údajů a pravidelné aktualizaci a kontrole zpracovávaných údajů, která je stanovena závaznou vnitřní směrnicí.
Minimální standardy zabezpečení osobních údajů:
Správce prohlašuje, že provedl vzhledem ke svým možnostem maximální opatření, aby byla minimalizována rizika v souvislosti s nakládáním s osobními údaji. Interním vyhodnocením došel správce k závěru, že má řádně zabezpečenou IT infrastrukturu, včetně přístupových hesel do PC a aplikací obsahujících sociálně-zdravotní údaje subjektů údajů, e-mailové korespondence a dalších softwarových aplikací používaných v rámci své činnosti. Prováděna je pravidelná záloha a spisovny jsou řádně zabezpečeny proti neoprávněnému použití. Správce má rovněž řádně zabezpečeny osobní údaje zpracovávané v listinné podobě, kdy jsou využívány dostupné uzavíratelné systémy opatřené klíčovým či jiným mechanismem, které brání neoprávněnému přístupu. Zaměstnanci jsou pravidelně proškolováni z oblasti ochrany osobních údajů.
Správce svou činností a nastavením vnitřních pravidel maximálně minimalizoval rizika, která by mohla vést k porušení práv či oprávněných zájmů subjektů údajů.
Správce dobrovolně jmenuje pověřence pro ochranu osobních údajů:
čl. 37 odst. 1 Obecného nařízení stanoví povinnost správce jmenovat pověřence pro ochranu osobních údajů v případě, kdy
- zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
- hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo
- hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.
Podle čl. 37 odst. 4 Obecného nařízení musí správce jmenovat pověřence pro ochranu osobních údajů, vyžaduje-li to právo Unie nebo členského státu.
Správce je poskytovatelem sociálních služeb podle zákona č. 108/2006 Sb., o sociálních službách. Správce vyhodnotil, že sice není orgánem veřejné moci ani veřejným subjektem a není proto povinen jmenovat pověřence pro ochranu osobních údajů podle čl. 37 odst. 1 písm. a) Obecného nařízení, vzhledem k citlivosti zpracovávaných osobních údajů však vyhodnotil, že jmenování pověřence učiní dobrovolně. Hlavní činností správce je totiž poskytování sociálních služeb v rozsahu a za podmínek platné právní úpravy. Vedení zdravotnické a sociální dokumentace a dalších evidencí je neoddělitelnou součástí hlavní činnosti správce.
Do hlavní činnosti správce rovněž spadají operace zpracování v rámci vedení sociální a zdravotnické dokumentace, tj. i zpracování zvláštních kategorií osobních údajů, tedy informací o zdravotním stavu (čl. 9 odst. 1 Obecného nařízení). Toto zpracování je v souladu s čl. 9 odst. 2 písm. g) a h) obecného nařízení o ochraně osobních údajů. Správce jako poskytovatel sociálních služeb zpracovává zvláštní kategorie osobních údajů v rozsahu, který odpovídá počtu jeho klientů. S ohledem na teritoriální působnost správce se dle názoru správce jedná o nezanedbatelnou část, ačkoli se nejedná o zpracování rozsáhlé. Počet ošetřujících zdravotnických a sociálních pracovníků současně limituje kapacitu správce jako poskytovatele sociálních služeb a tím i rozsah zpracování osobních údajů. Správce proto má za to, že dobrovolným jmenováním pověřence pro ochranu osobních údajů zabezpečí monitoring a kontrolu zpracování osobních údajů ve smyslu Obecného nařízení.
Správce neprovádí posouzení vlivu na ochranu osobních údajů a to s ohledem na níže uvedené:
Podle čl. 37 odst. 1 Obecného nařízení je nutné provést posouzení vlivu zejména v těchto případech:
- prováděno je systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
- prováděno je rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10; nebo
- prováděno je rozsáhlé systematické monitorování veřejně přístupných prostorů.
Správce je poskytovatelem sociálních služeb. Posouzení vlivu na ochranu osobních údajů nemá být podle recitálu 91 poslední věty odůvodnění Obecného nařízení povinné, a to s ohledem na skutečnost, že správce vzhledem k rozsahu své činnosti, tj. zákonné povinnosti zpracování osobních údajů v rámci vedení sociální a zdravotnické dokumentace, nezpracovává osobní údaje v takovém rozsahu, který by odůvodnil existenci vysokého rizika pro práva a svobody fyzických osob ve smyslu č. 37 odst. 1 Obecného nařízení.
Správce neprovádí žádné operace vyhodnocování osobních aspektů týkajících se fyzických osob. Správce je poskytovatelem sociálních služeb, který v rámci své hlavní činnosti povinně zpracovává osobní údaje. Tyto údaje žádným způsobem nevyhodnocuje, neprovádí profilování ani jiné podobné operace, a to mimo jiné proto, že takové nakládání s osobními údaji, které správce povinně zpracovává, zakazuje zákon.
Do hlavní činnosti správce spadají operace zpracování v rámci vedení sociální a zdravotnické dokumentace, tj. i zpracování zvláštních kategorií osobních údajů, tedy informací o zdravotním stavu (čl. 9 odst. 1 obecného nařízení o ochraně osobních údajů). Toto zpracování je v souladu s čl. 9 odst. 2 písm. g) a h) obecného nařízení o ochraně osobních údajů. Nejde však o zpracování rozsáhlé s odkazem na výše uvedený rozbor rozsáhlého zpracování.
Správce neprovádí rozsáhlé systematické monitorování veřejně přístupných prostor.
V rámci činnosti správce jsou plně respektována Práva subjektů údajů:
- Právo na přístup k osobním údajům, které se o subjektu údajů zpracovávají (čl. 15)
- Práno na opravu v případě vedení nepřesných či neúplných osobních údajů (čl. 16)
- Právo na výmaz v případě, že osobní údaje nejsou potřebné pro daný účel nebo byly zpracovávány protiprávně (čl. 17)
- Právo na omezení zpracování, pokud subjekt údajů popírá přesnost údajů, zpracování je protiprávní, správce už údaje nepotřebuje (čl. 18)
- Právo na přenositelnost údajů jinému správci (čl. 20)
- Právo vznést námitku v případě veřejného či oprávněného zájmu (čl. 21)
- Právo podat stížnost u dozorového úřadu – Úřad pro ochranu osobních údajů – pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušováno nařízení (čl. 77)
Pro účely zabezpečení práv subjektů údajů a ochrany jejich údajů v souvislosti se zpracováním osobních údajů byly organizací přijaty tyto vnitřní normy:
- Směrnice „Podmínky ochrany osobních údajů zaměstnanců“
- Směrnice „O ochraně osobních údajů“
- Spisový a skartační řád vč. příloha 1 – 8.
Tuto stránku můžete stáhnout zde: GDPR