Ochrana osobních údajů
Ve Státním ústavu pro kontrolu léčiv, organizační složka státu, IČO: 000 23 817, se sídlem Praha 10, Šrobárova 48, PSČ: 100 41, (dále jen „my“ nebo „SÚKL“) věnujeme ochraně osobních údajů velkou pozornost.
V tomto dokumentu naleznete informace o tom, jaké osobní údaje zpracováváme, právní důvody jejich zpracování, k jakým účelům údaje používáme a jaká máte v souvislosti se zpracováním osobních údajů práva.
A. Jaké osobní údaje zpracováváme?
Osobní údaje příslušných subjektů údajů, tedy zejména žadatelů či ohlašovatelů, jimiž mohou být především lékaři, lékárníci, výdejci zdravotnických prostředků, zástupci distributorů či držitelů rozhodnutí o registraci, zástupci poskytovatelů zdravotních služeb a případně pacienti, zpracováváme v rozsahu, ve kterém jsou zadány do příslušné žádosti či formuláře.
Kategorie osobních údajů, které v této souvislosti zpracováváme, jsou tedy následující:
a) identifikační údaje, kterými se rozumí zejména rodné číslo, datum narození, titul, jméno a příjmení, příp. IČO a DIČ;
b) kontaktní údaje, jimiž se rozumí zejména adresa, e-mailová adresa a telefonní číslo;
c) údaje o zdravotním stavu, zejména údaje o předepsaných a vydaných léčivých přípravcích, o předepsaných a vydaných zdravotnických prostředcích, o provedených očkováních a o nežádoucích účincích léčivých přípravků vč. údajů ze související zdravotnické dokumentace
B. Proč osobní údaje zpracováváme a co nás k tomu opravňuje?
B.1.1 Zpracování na základě plnění právních povinností
Nejčastěji provádíme zpracování osobních údajů z důvodu plnění naší právní povinnosti. Pokud osobní údaje zpracováváme právě z tohoto důvodu, nemusíme získat pro takové zpracování souhlas subjektu údajů.
Významné zpracování osobních údajů z naší strany probíhá v rámci systému eRecept. V systému eRecept zpracováváme zejména identifikační údaje, kontaktní údaje a údaje o zdravotním stavu pacientů v podobě údajů o předepsaných a vydaných léčivých přípravcích, údajů o předepsaných a vydaných zdravotnických prostředcích a údajů o provedených očkováních, za účelem vystavení lékařského předpisu, vydání léčivého přípravku či zdravotnického prostředku, vedení lékového záznamu pacienta a umožnění přístupu pacienta k jeho záznamům v systému eRecept.
V systému eRecept jsou za totožným účelem rovněž zpracovávány identifikační a kontaktní údaje lékaře, lékárníka a dalších osob předepisujících a vydávajících zdravotnické prostředky.
Pro tyto účely jsou osobní údaje v systému eRecept uchovávány nejdéle po dobu 5 let s výjimkou záznamů o očkování, jejichž uchovávání je vázáno na život pacienta a jsou uchovávány ještě po dobu 1 roku od úmrtí pacienta.
Dále zpracováváme identifikační a kontaktní údaje osob, která u nás podá žádost nebo hlášení vyplývající z níže uvedených právních předpisů. Stejně tak zpracováváme na základě právní povinnosti osobní údaje v rámci dalších vedených řízení či prováděných kontrol.
Další zpracování probíhá též za účelem vedení evidence a zpracovávání hlášení podezření na nežádoucí účinky (léčivých přípravků) či nežádoucí příhody (zdravotnických prostředků); k tomuto účelu můžeme též zpracovat údaje o identifikační údaje, kontaktní údaje a údaje o zdravotním stavu osoby, u které nežádoucí účinek či nežádoucí příhoda nastala; tyto údaje však neukládáme a zpracováváme je pouze do okamžiku anonymizace příslušných podkladů, ze kterých jsou patrné (např. zdravotnické dokumentace).
Zpracování provádíme pro plnění právní povinnosti uložené zejména následujícími předpisy:
- zákon č. 378/2007 Sb., o léčivech;
- zákon č. 375/2022 Sb., o zdravotnických prostředcích a diagnostických prostředcích in vitro;
- zákon č. 296/2008 Sb., o lidských tkáních a buňkách;
- zákon č. 167/1998 Sb., o návykových látkách;
- zákon č. 272/2013 Sb., o prekursorech drog
- zákon č. 48/1997 Sb., o veřejném zdravotním pojištění;
- zákon č. 372/2011 Sb., o zdravotních službách;
- zákon č. 40/1995 Sb., o regulaci reklamy;
- zákon č. 500/2004 Sb., správní řád;
- zákon č. 255/2012 Sb., o kontrole (kontrolní řád)
- zákon č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich
- zákon č. 499/2004 Sb., o archivnictví a spisové službě;
- zákon č. 106/1999 Sb., o svobodném přístupu k informacím;
- zákon č. 134/2016 Sb., o zadávání veřejných zakázek;
- a jejich prováděcích vyhlášek.
Pro tyto účely osobní údaje zpracováváme pouze po dobu, která vyplývá z příslušné právní povinnost.
B.1.2 Zpracování na základě plnění úkolů ve veřejném zájmu
SÚKL dále zpracovává osobní údaje z důvodu plnění určitých úkolů ve veřejném zájmu. I v tomto případě nemusíme získat pro takové zpracování souhlas subjektu údajů.
Takto zpracováváme například identifikační a kontaktní údaje za účelem identifikace a následné autentizace žadatele při přístupu k informačním systémům SÚKL.
Rovněž můžeme zpracovávat identifikační a kontaktní údaje žadatelů, tazatelů či jejich zástupců za účelem zpětné komunikace pří vyřízení žádosti či dotazu.
Pro tyto účely osobní údaje uchováváme po dobu, po kterou trvá vymezený účel, tedy například po dobu, kdy je žadateli umožněn přístup k informačním systémům SÚKL a je nezbytná jeho opakovaná autentizace při každém přihlášení. Proti zpracování na základě plnění úkolu ve veřejném zájmu máte právo uplatnit námitku.
Zpracování provádíme pro plnění úkolu ve veřejném zájmu, přičemž tyto úkoly pro SÚKL vyplývají z právních předpisů uvedených v části Zpracování na základě plnění právních povinností.
C. Kdo vaše osobní údaje zpracovává a komu je předáváme?
Všechny zmíněné osobní údaje zpracováváme my jako správce. To znamená, že my stanovujeme shora vymezené účely, pro které vaše osobní údaje shromažďujeme, určujeme prostředky zpracování a odpovídáme za jejich řádné provedení. Takové zpracování tedy provádí pracovníci SÚKL a to pouze ti, kteří tyto údaje nezbytně potřebují k naplnění účelu, za kterým údaje zpracováváme.
Vaše osobní údaje můžeme předávat také dalším subjektům, které se nacházejí v roli správce, a to profesním komorám při ověřování členství v některé z profesních komor, či Ministerstvu zdravotnictví jako nadřízenému správnímu orgánu při vedení správních řízení, nebo jiným orgánům státní správy v situacích, kdy nám to ukládá zákon.
Pro zpracování osobních údajů rovněž můžeme v některých případech využívat služeb dalších zpracovatelů, kteří osobní údaje zpracovávají pouze podle našich pokynů a pro účely, které jsou popsány v části Proč osobní údaje zpracováváme a co nás k tomu opravňuje?.
D. Z jakých zdrojů osobní údaje získáváme?
Ve většině případů zpracováváme osobní údaje, které nám poskytnete v rámci příslušné žádosti, formuláře či řízení. Pokud jste pacientem, u kterého nastal nežádoucí účinek léku, můžeme údaje získat od vašeho ošetřujícího lékaře, který nežádoucí účinek nahlásí. V případě systému eRecept pak jsou vaše údaje jako pacienta získávány prostřednictvím vašeho lékaře, který vám předepsal léčivé přípravky na elektronický recept nebo zdravotnické prostředky na elektronický poukaz. Dále jsou do systému eRecept získávány údaje také od lékáren případně výdejen zdravotnických prostředků ve chvíli, kdy jsi vyzvedáváte léčivé přípravky nebo zdravotnické prostředky předepsané na lékařský předpis. Vaše údaje o provedených očkováních jsou pak do systému eRecept přenášena na základě automatizovaného přenosu z Informačního systému infekčních nemocí vedeného Ústavem zdravotnických informací a statistiky.
Osobní údaje o lékařích, lékárnících a zástupcích poskytovatelů zdravotních služeb můžeme dále získávat z veřejně přístupných rejstříků a od profesních komor.
Jaká máte práva při zpracování osobních údajů?
Právo na přístup
Zjednodušeně řečeno máte právo vědět, jaké údaje o vás zpracováváme, za jakým účelem, po jakou dobu, kde vaše osobní údaje získáváme, komu je předáváme, kdo je mimo nás zpracovává a jaká máte další práva související se zpracováním vašich osobních údajů. To vše se můžete dozvědět v tomto dokumentu „Ochrana osobních údajů zákazníků“. Pokud si však nejste jistí, které osobní údaje o vás zpracováváme, můžete nás požádat o potvrzení, zda osobní údaje, které se vás týkají, jsou či nejsou z naší strany zpracovávány, a pokud tomu tak je, máte právo získat přístup k těmto osobním údajům. V rámci práva na přístup nás můžete požádat o kopii zpracovávaných osobních údajů, přičemž první kopii vám poskytneme bezplatně a další kopie již s poplatkem.
Právo na opravu
Chybovat je lidské. Pokud zjistíte, že osobní údaje, které o vás zpracováváme, jsou nepřesné nebo neúplné, máte právo na to, abychom je bez zbytečného odkladu opravili, popřípadě doplnili.
Právo na výmaz
V některých případech máte právo, abychom vaše osobní údaje vymazali. Vaše osobní údaje bez zbytečného odkladu vymažeme, pokud je splněn některý z následujících důvodů:
- vaše osobní údaje již nepotřebujeme pro účely, pro které jsme je zpracovávali;
- využijete svého práva vznést námitku proti zpracování (viz níže část Právo vznést námitku proti zpracování) u osobních údajů, které zpracováváme na základě plnění úkolů ve veřejném zájmu, a my ji shledáme oprávněnou nebo
- domníváte se, že námi prováděné zpracování osobních údajů přestalo být v souladu s obecně závaznými předpisy.
Ale mějte prosím na paměti, že i když půjde o jeden z těchto důvodů, neznamená to, že ihned smažeme všechny vaše osobní údaje. Toto právo se totiž neuplatní v případě, že zpracování vašich osobních údajů je i nadále nezbytné pro splnění naší právní povinnosti nebo určení, výkon či obhajobu našich právních nároků (viz část Proč osobní údaje zpracováváme a co nás k tomu opravňuje?).
Právo na omezení zpracování
V některých případech můžete kromě práva na výmaz využít právo na omezení zpracování osobních údajů. Toto právo vám umožňuje v určitých případech požadovat, aby došlo k označení vašich osobních údajů a tyto údaje nebyly předmětem žádných dalších operací zpracování – v tomto případě však nikoliv navždy (jako v případě práva na výmaz), ale po omezenou dobu. Zpracování osobních údajů musíme omezit když:
- popíráte přesnost osobních údajů, než se dohodneme, jaké údaje jsou správné;
- vaše osobní údaje zpracováváme bez dostatečného právního základu (např. nad rámec toho, co zpracovávat musíme), ale vy budete před výmazem takových údajů upřednostňovat pouze jejich omezení (např. pokud očekáváte, že byste nám v budoucnu takové údaje stejně poskytli);
- vaše osobní údaje již nepotřebujeme pro shora uvedené účely zpracování, ale vy je požadujete pro určení, výkon nebo obhajobu svých právních nároků, nebo
- vznesete námitku proti zpracování. Právo na námitku je podrobněji popsáno níže v kapitole Právo vznést námitku proti zpracování). Po dobu, po kterou šetříme, je-li vaše námitka oprávněná, jsme povinni zpracování vašich osobních údajů omezit.
Právo vznést námitku proti zpracování
Máte právo vznést námitku proti zpracování osobních údajů, k němuž dochází na základě plnění úkolů ve veřejném zájmu (viz část Proč osobní údaje zpracováváme a co nás k tomu opravňuje?). Zpracování údajů ukončíme, pokud nebudeme mít závažné oprávněné důvody pro to, abychom v takovém zpracování pokračovali.
Právo podat stížnost
Uplatněním práv výše uvedeným způsobem není nijak dotčeno vaše právo podat stížnost u příslušného dozorového úřadu. Toto právo můžete uplatnit zejména v případě, že se domníváte, že vaše osobní údaje zpracováváme neoprávněně nebo v rozporu s obecně závaznými právními předpisy. Stížnost proti námi prováděnému zpracování osobních údajů můžete podat u Úřadu pro ochranu osobních údajů, který sídlí na adrese Pplk. Sochora 27, 170 00 Praha 7.
F. Jak lze uplatnit jednotlivá práva?
Svá práva u nás můžete uplatnit listinnou formou i elektronicky. Abychom však mohli dostatečně ověřit vaši totožnost a nevznikla tak pochybnost o tom, kdo skutečně práva uplatňuje, je třeba, aby vaše listinná žádost měla ověřený podpis, elektronická žádost byla odeslána z datové schránky nebo jste svou totožnost prokázali osobně u nás.
Vaši žádost vyřídíme bez zbytečného odkladu, maximálně však do jednoho měsíce. Ve výjimečných případech, zejména z důvodu složitosti vašeho požadavku, jsme oprávněni tuto lhůtu prodloužit o další dva měsíce. O takovém případném prodloužení a jeho zdůvodnění vás samozřejmě budeme informovat.
G. Pověřenec pro ochranu osobních údajů
Ve všech záležitostech souvisejících se zpracováním vašich osobních údajů je vám k dispozici náš pověřenec pro ochranu osobních údajů.
Pověřence lze kontaktovat na emailové adrese: poverenec@sukl.cz