GDPR poučení zaměstnance nemocnice o povinnostech z oblasti ochrany osobních údajů a při práci s informačními systémy, soubory a evidencemi (vedených v elektronické i listinné podobě) - vzor, formulář, tiskopis ke stažení

Poučení zaměstnance o povinnostech z oblasti ochrany osobních údajů a při práci s informačními systémy, soubory a evidencemi (vedených v elektronické i listinné podobě)

jméno a příjmení zaměstnance společnosti , datum n rození = dále jen "zaměstnanec"

organizace

Osobní údaje fyzických osob (např. klientů, zákazníků , dodavatelů , odběratelů , studentů, jakož i pacientů nebo Zaměstna nců , jejich příb uzných , osob blízkých nebo jiných osob = dále jen "Subjekt údajů"), ukládané a zpracovávané v elektronické nebo listinné podobě v evidencích nebo v elektronické podobě v souborech nebo informačních systémech (dále jen "Systémy"), provozovaných nebo využívaných Organizací, nebo Osobní údaje touto Organizací zpracovávané jsou ch rá n ě n y právními předpisy, zejména " Nařízením EU 20161679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údaj ů a o volném pohybu těchto údajů a o zrušení směrnice
951461ES (obecné n aříze n í o oc hran ě osobních údaj ů)" (dále jen "GDPR") a dalšími národními zákony, které stanovují závazná pravidla a povinnosti Organizace i Zaměstn an ce při nakládání s Osobními údaji.

Za Osobní údaje /čl. 4 odst. 1 GDPR/ jsou zjednod u šen ě řeče n o považovány veškeré informace vztahující se k fyzické osobě , která podle nich byla, je nebo může být identifikována (tedy je nebo m ůže být určen a její totožnost). Jsou to všechny informace, které lze s dotyčnou fyzickou osobu spojit nebo na základě kterých lze fyzickou osobu
zjistit, napřík l ad jména, bydl iště , zaměstnání , vzdě lá n í , kontakty, rodná a jiná identifikační čísla , fotografie, diagnóza, kon íčky, záliby, zdravotní stav, otisk prstu, biologický vzorek atd.

Za Zvláštní kategorii Osobních údajů (= citlivé Osobní údaje) /čl. 9 odst. 1 GDPR/ se zjednodušeně řečeno považují vedle Údajů o zdravotním stavu i údaje o sexuální orientaci
a sexuálním ž ivotě , Genetické údaje, údaje o členství v odborech a také Biometrické údaje za úče lem j ed in ečné identifikace fyzické osoby. Dále jsou to údaje o rasovém č i etnickém původu , politických názorech, náboženském vyznání či filozofickém přesvědčení.

Za Údaje o zdravotním stavu /čl. 4 odst. 15 GDPRI se považují Osobní údaje týkající se těles ného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních
služeb, které vypovídají o jejím zdravotním stavu.

Za Genetické údaje /čl. 4 odst. 13 GDPR/ se považují Osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné
informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby.

Za Biometrické údaje /čl. 4 odst. 14 GDPR/ se považují Osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo
znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje (např. otisky prstů).
Za Bezpečnostní incident při ochraně Osobních údajů se zjednodušeně řečeno považuje jakékoli porušení jejich zabezpečení , které vede k neoprávněnému poskytnutí nebo
zpřístupnění přenášených , uložených nebo jinak zpracovávaných Osobních údajů , náhodnému nebo protiprávnímu zničení , ztrátě , změně , a to při používání Systémů (např.
při práci s informačním systémem, při nakládání s listinnou dokumentací pacientů , osobními spisy Zaměstnanců apod.).

V tomto poučení nejsou rozlišovány povinnosti Zaměstnanců při ochraně Zvláštních kategorií Osobních údajů (= citlivých Osobních údajů) a ostatních běžných, protože
z pohledu stanovených povinností Zaměstnanci mezi nimi není rozdíl.

Organizace je povinna seznámit své Zaměstnance s povinnostmi, které pro ně z těchto právních předpisů vyplývají, kontrolovat, zda Zaměstnanci tyto povinnosti dodržuji, a
informovat je o případných změnách v právních předpisech , které se povinností Zaměstnanců dotýkají. K tomu slouží (kromě výukových materiálů v rámci e-learningu
přístupných na webu Vašeho zaměstnavatele) i toto poučení , resp. níže uvedené povinnosti:

1. Zaměstnanec musí vždy při odchodu ze svého pracoviště dodržovat zásadu čistého stolu (viz bod 2.) a černé obrazovky (viz bod 6.).

2. Při každém odchodu z místnosti svého pracoviště musí Zaměstnanec vždy provést opatření k zabezpečení Osobních údajů - nikde nesmí zůstat volně viditelné
dokumenty obsahující Osobní údaje, tyto dokumenty, jakož i přenosná média s Osobními údaji musí být vždy uloženy bezpečně pod kontrolou (např. v uzamčené
místnosti nebo pod nepřetržitým dozorem jiné oprávněné osoby, uzamčené ve skříni , uložené na zašifrovaném paměťovém médiu apod.) - zásada čistého stolu.

3. Zaměstnanec je oprávněn pracovat se Systémy obsahujícími Osobní údaje pouze tehdy, pokud má takovou činnost stanovenu v popisu pracovní náplně nebo to
vyplývá z jeho pracovního zařazení či pokynu nadřízeného Vedoucího zaměstnance , případně z Vnitřního předpisu Organizace. Není-li tomu tak, nesmí do Systémů nijak vstupovat.

4. Pokud Zaměstnanec při práci se Systémy v rámci svých pracovních úkolů přichází do styku s Osobními údaji, stává se tzv. příjemcem Osobních údajů. Osobní údaje je oprávněn zpracovávat vždy pouze stanoveným způsobem a v souladu s právními předpisy a vnitřními předpisy Organizace.

5. Zaměstnanec je oprávněn využívat a přistupovat k Osobním údajům jiných osob pouze v rozsahu, který nezbytně potřebuje pro plnění svých pracovních povinností. Konkrétně v případě pacientů smí Zaměstnanec přistupovat k Osobním údajům pacienta pouze v případě , že se podílí na léčebné či diagnostické péči o daného pacienta, nebo na jejím plánování, nebo zpracovává data o jeho péči v souvislosti s vykazováním péče zdravotním pojišťovnám , při hlášení do Národního zdravotnického informačního systému či jiné související administrativě apod.

6. Zaměstnanec , kterému byl zřízen přímý přístup z pracovní stanice nebo z jiného zařízení do Systémů , je povinen trvale chránit své přístupové heslo před možným zneužitím ze strany třetí osoby, zejména:

a. přihlašovat se vždy obezřetně tak, aby jiné osoby nemohly zjistit jeho přístupové heslo,

b. při zadávání přístupového hesla nepovolit jeho uložení v pracovní stanici, pokud je tato sdílena a používána více osobami,

c. neumožnit jiným osobám použití svého přístupového hesla (na monitoru nebo v jeho okolí či na jiných zařízeních nesmí být nalepena žádná přístupová hesla apod.),

d. při přerušení nebo skončení práce na pracovní stanici tuto vypnout nebo provést odhlášení nebo jinak zamezit přístupu k pracovní stanici či k datům v Systémech (například funkcí dočasného uzamčení pracovní plochy).

e. nikomu (a to ani svým nadřízeným Vedoucím zaměstnancům, správcům Informačního systému, ani kontrolním orgánům) a za žádných okolností nesdělovat své přístupové heslo, nenechávat je nikde v dosahu pracovní stanice - zásada černé obrazovky.

7. Zaměstnanec je povinen pro své přihlášení zvolit vždy bezpečné přístupové heslo, které není snadno zjistitelné či odvoditelné (např. z jeho jména apod.).

8. Při podez ření na vyzrazení či zneužití svého přístupového hesla je Zaměstnanec povinen neprodleně iniciovat jeho změnu nebo deaktivaci a současně provést bez odkladu hlášení o takovém Bezpečnostním incidentu postupem, který je uveden dále v bodě 15.

9. Zaměstnanec má povinnost neprodleně zabezpečit Systémy před neoprávněným použitím i v případech, kdy zjistí, že jsou Systémy nezabezpečené vinou jiného Zaměstnance . I v takovém případě bez odkladu provede hlášení o Bezpečnostním incidentu postupem, který je uveden dále v bodě 15.

10. Zaměstnanec nesmí použít při práci se Systémy uživatelský účet a heslo jiného Zaměstnance a nesmí po jiném Zaměstnanci požadovat sdělení jeho přístupových údajů , ani tyto údaje cíleně získávat nebo předávat třetím osobám.

11 . Zaměstnanec nesmí předávat ze Systémů žádná data s Osobními údaji jiným Zaměstnancům Organizace nebo jiným subjektům , s výjimkou případů , kdy mu povinnost předat takové údaje vyplývá z jeho pracovní náplně a z platných právních nebo vnitřních předpisů , nebo je mu takové předání písemně uloženo jeho nadřízeným vedoucím Zaměstnancem .

12. Zaměstnanec musí dodržovat mlčenlivost o všech Osobních údajích, se kterými se seznámí, a to bez ohledu na to, zda tyto údaje zjistil oprávněně v rámci plnění svých pracovních povinností nebo se s nimi seznámil nahodile či neoprávněně, jakož i o způsobu zabezpečení těchto informací, pokud právní předpisy nestanoví jinak.

13. Zaměstnanec je oprávněn zahájit nové zpracování Osobních údajů v Organizaci nebo provádět zpracování Osobních údaj ů k jinému účelu , než ke kterému byly původně Organizací shromážděny, jen tehdy, je-li toto nové zpracování nebo zpracování k jinému účelu řádně nahlášeno a schváleno Organizací, příp. i zaevidováno v tzv. Záznamech o činnostec h zpracování vedených Organizací podle čl. 30 GDPR; jinak je zahájení takového zpracování Osobních údajů Zaměstnan ci zakázáno.

14. Povinnosti zde uvedené je povinen plnit i Zaměstna n ec, který nebyl určen příjemcem v rámci Systémů , ale Osobní údaje mu byly zpřístup něny jednorázově pro plnění úkolu vyplývajícího z právního nebo vnitřní h o předpisu , nebo mu byly Osobní údaje zpřístupněny nahodile či neoprávněně.

15. Zaměstnanec, který zjistí, že došlo nebo mohlo dojít k porušení zabezpečení Osobních údajů , je povinen bez zbytečného odkladu nahlásit takový Bezpečnostní incident svému přímému nadřízenému , určené odpověd né osobě nebo přímo na Odbor Bezpečnosti vaší nemocnice.

16. Zaměstnanec je povinen dbát při zpracování Osobních údajů práv Subjektů údajů ; pokud se na Zaměstnance Subjekt údajů obrátí se svou žádostí v souvislosti se
zpracováním svých Osobních údajů , je Zaměstnanec povinen po ověření totožnosti žádost Subjektu údajů přijmout a předat k vyřízení Zaměstnanci určenému Organizací (pověřenci pro ochranu osobních údajů Organizace).

Zaměstna n ec bere na vědom í , že porušení výše uvedených pravidel, jakož i jiných obecných pravidel ochrany Osobních údajů může být posuzováno jako hrubé porušení
pracovních povinností, p ří p . i jako trestný čin Neoprávněné nakládání s Osobními údaji.

Zaměstnanec bere na vědomí , že Organizace má právo monitorovat činnost každého Zaměstnan ce prostředky výpočetní nebo komunikační techniky a že informační nebo
komunikační systémy zaznamenávají, uchovávají a analyzují informace (logy) o činnosti Zaměstnanců v informačních nebo komunikačních systémech za účelem kontroly, zda
jsou dodržovány zásady ochrany Osobních údajů.

Zaměstnanec má právo se kdykoli obrátit při řešen í otázek či problémů souvisejících s ochranou Osobních údajů přímo na přís lušného pověřence pro ochranu osobních údajů
své Organizace (viz webové stránky Vašeho zaměstnavatele, kde jsou kromě bližších kontaktů dostupné i další detailní informace, odkazy, stanoviska, návody a metodické pomůcky k této problematice)- e-mail na pověřence: email správy GDPR odpovědné osoby Zaměstnanec svým podpisem potvrzuje, že se s tímto poučením seznámil, porozuměl mu a současně se zavazuje všechny výše uvedené povinnosti dodržovat.

Dne ______________

datum podpisu vlastnoruční

podpis Zaměstnance