Politika varstva osebnih podatkov

Namen politike varstva osebnih podatkov je seznaniti paciente, uporabnike, sodelavce in zaposlene ter druge osebe (v nadaljevanju: posameznik), ki sodelujejo z Zdravstvenim domom Murska Sobota (v nadaljevanju: organizacija) o namenih in pravnih podlagah, varnostnih ukrepih ter pravicah posameznikov glede obdelave osebnih podatkov, ki jih izvaja naša organizacija.

Cenimo vašo zasebnost, zato vaše podatke vedno skrbno varujemo.
 
Vaše osebne podatke obdelujemo v skladu z evropsko zakonodajo (Uredba (EU) 2016/697 o varstvu posameznikov pri obdelavi osebnih podatkov in o pretoku takih podatkov (v nadaljevanju: Splošna uredba)) in veljavno zakonodajo s področja varstva osebnih podatkov (Zakon o varstvu osebnih podatkov (ZVOP-1, Ur. l. RS, št. 94/07)) in drugo zakonodajo, ki nam daje pravno podlago za obdelavo osebnih podatkov.
 
Politika varstva osebnih podatkov vsebuje informacije za posameznike, na kak način naša organizacija kot upravljavec obdeluje osebne podatke, ki jih prejme od posameznika na osnovi pravnih podlag, ki jih opisujemo v nadaljevanju.

Upravljavec

Upravljavec osebnih podatkov je:

Zdravstveni dom Murska Sobota
Grajska ulica 24
9000 Murska Sobota
telefon: 02 5341 300
e-pošta: zdravstveni.dom@zd-ms.si
 

Pooblaščena oseba
 
V skladu z določilom 37. člena Uredbe EU 2016/679 Evropskega parlamenta in sveta z dne 27. aprila 2016 smo za pooblaščeno osebo za varstvo podatkov imenovali družbo:
 
DATAINFO.SI, d.o.o.
Tržaška cesta 85, SI-2000 Maribor
www.datainfo.si
e-pošta: dpo@datainfo.si
telefon: +386 (0)2 620 4 300
 

Osebni podatki

Osebni podatek pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

Nameni obdelave in podlage za obdelavo podatkov

Organizacija zbira in obdeluje vaše osebne podatke na naslednjih pravnih podlagah:

  • obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  • obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  • obdelava je potrebna zaradi zakonitih interesov za katere si prizadeva upravljavec ali tretja oseba;
  • posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  • obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe.

Izpolnitev zakonske obveznosti

Na osnovi določil v zakonu organizacija obdeluje podatke o svojih zaposlenih, kar mu omogoča delovnopravna in socialnovarstvena zakonodaja. Organizacija na podlagi zakonske obveznosti za namene zaposlovanja obdeluje predvsem naslednje vrste osebnih podatkov: EMŠO, številka zdravstvenega zavarovanja, ime in priimek, genogram, zakonski stan, izobrazba, poklic, naslov stalnega bivališča, naslov začasnega bivališča, telefon, diagnoza, datum stika, načrtovani stiki, številka zdravnika, terapija, napotitev, vzrok začasne dela nezmožnosti, vzrok smrti, zavarovalniški status, razlog obravnave, socialna anamneza družine, načrt zdravstvene nege in druge podatke na osnovi zakonodaje. Pravna podlaga za obdelavo osebnih podatkov je tako lahko: Zakon o zbirkah podatkov s področja zdravstvenega varstva, Zakon o zdravstveni dejavnosti, Zakon o pacientovih pravicah, Zakon o zdravniški službi, Zakon o zdravstvenem varstvu in zdravstvenem zavarovanju.

Izvajanje pogodbe

V primeru, ko posameznik z organizacijo sklene določeno pogodbo, ta predstavlja pravno podlago za obdelavo osebnih podatkov. Osebne podatke smemo tako obdelovati za sklenitev in izvajanje pogodbe. Če posameznik osebnih podatkov ne posreduje, organizacija ne more skleniti pogodbe, prav tako vam organizacija ne more izvesti storitve oziroma dostaviti blaga ali drugih produktov v skladu s sklenjeno pogodbo, saj nima potrebnih podatkov za izvedbo. Organizacija lahko na podlagi opravljanja zakonite dejavnosti posameznike in uporabnike njenih storitev na njihov elektronski naslov obvešča o svojih o storitvah, dogodkih, izobraževanjih, ponudbah in drugih vsebinah. Posameznik lahko kadarkoli zahteva prekinitev tovrstnega komuniciranja in obdelave osebnih podatkov ter prekliče prejemanje sporočil preko povezave za odjavo v prejetem sporočilu, ali kot zahtevek po elektronski pošti na zdravstveni.dom@zd-ms.si ali z redno pošto na naslov: Zdravstveni dom Murska Sobota, Grajska ulica 24, 9000 Murska Sobota.

Zakoniti interes

Uveljavljanje pravne podlage zakonitega interesa je omejena za obdelavo s strani javnih organov pri opravljanju njihovih nalog. Vseeno pa lahko organizacija osebne podatke obdeluje tudi na podlagi zakonitega interesa, za katerega si organizacija prizadeva v omejenem obsegu. Slednje ni dopustno, kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov. V primeru uporabe zakonitega interesa organizacija vedno opravi presojo skladno s Splošno uredbo.

Tako lahko posameznike občasno obveščamo o storitvah, dogodkih, izobraževanjih, ponudbah in drugih vsebinah preko elektronske pošte, preko telefonskih klicev in po navadni pošti. Posameznik lahko kadarkoli zahteva prekinitev tovrstnega komuniciranja in obdelave osebnih podatkov in prekliče prejemanje sporočil preko povezave za odjavo v prejetem sporočilu, ali kot zahtevek po elektronski pošti na zdravstveni.dom@zd-ms.si ali z redno pošto na naslov: Zdravstveni dom Murska Sobota, Grajska ulica 24, 9000 Murska Sobota.

Obdelava na podlagi privolitve oz. soglasja

V kolikor organizacija nima pravne podlage izkazane na osnovi zakona, pogodbene obveznosti ali zakonitega interesa, sme posameznika zaprositi za privolitev oz. soglasje. Tako lahko obdeluje določene osebne podatke posameznika tudi za naslednje namene, kadar posameznik poda za to soglasje:

  • naslov prebivališča in naslov elektronske pošte za namene obveščanja in komunikacije;
  • davčna številka oziroma EMŠO za namene morebitne izvršbe v primeru neizpolnitve obveznosti (npr. neplačilo računa);
  • fotografije, video posnetki in druge vsebine, ki se nanašajo na posameznika (npr. objava slik posameznikov na spletni strani organizacije) za namene dokumentiranja aktivnosti in obveščanja javnosti o delu in dogodkih organizacije;
  • druge namene, za katere se posameznik strinja s privolitvijo.

Če posameznik poda soglasje za obdelavo osebnih podatkov in v nekem trenutku tega več ne želi, lahko zahteva prekinitev obdelave osebnih podatkov z zahtevkom po elektronski pošti na zdravstveni.dom@zd-ms.si ali z redno pošto na naslov: Zdravstveni dom Murska Sobota, Grajska ulica 24, 9000 Murska Sobota. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem.

Obdelava je potrebna za zaščito življenjskih interesov posameznika

Organizacija lahko obdeluje osebne podatke posameznika, na katerega se nanašajo osebni podatki, v kolikor je to nujno za zaščito njegovih življenjskih interesov. V nujnih primerih lahko organizacija poišče osebni dokument posameznika, preveri ali ta oseba obstaja v njegovi zbirki podatkov, preuči njegovo anamnezo ali naveže stik z njegovimi svojci, za kar organizacija ne potrebuje posameznikove privolitve. Navedeno velja v primeru, ko je to nujno potrebno za zaščito življenjskih interesov posameznika.

Hramba in izbris osebnih podatkov

Organizacija bo hranila osebne podatke le toliko časa, dokler bo to potrebno za uresničitev namena, zaradi katerega so bili osebni podatki zbrani in obdelovani. V kolikor organizacija podatke obdeluje na podlagi zakona, jih bo hranilo za obdobje, ki ga predpisuje zakon. Pri tem se nekateri podatki hranijo za časa sodelovanja z organizacijo, nekatere podatke pa je treba hraniti trajno. Osebne podatke, ki jih organizacija obdeluje na osnovi pogodbenega odnosa s posameznikom, organizacija hrani za obdobje, ki je potrebno za izvršitev pogodbe in še 6 let po njenem prenehanju, razen v primerih, ko pride med posameznikom in organizacijo do spora v zvezi s pogodbo. V takem primeru hrani organizacija podatke še 10 let po pravnomočnosti sodne odločbe, arbitraže ali sodne poravnave ali, če sodnega spora ni bilo, 5 let od dneva mirne razrešitve spora. Tiste osebne podatke, ki jih organizacija obdeluje na podlagi osebne privolite posameznika ali zakonitega interesa, bo organizacija hranila do preklica privolitve ali do zahteve do izbrisa podatkov. Po prejemu preklica ali zahteve za izbris se podatki izbrišejo najkasneje v 15 dneh. Organizacija lahko te podatke izbriše tudi pred preklicem, kadar je bil dosežen namen obdelave osebnih podatkov ali če tako določa zakon.

Izjemoma lahko organizacija zavrne zahtevo za izbris iz razlogov iz Splošne uredbe, kot so našteti: uresničevanje pravice do svobode izražanja in obveščanja, izpolnjevanje pravne obveznosti obdelave, razlogi javnega interesa na področju javnega zdravja, nameni arhiviranja v javnem interesu, znanstveno- ali zgodovinsko raziskovalne nameni ali statistični nameni, izvajanje ali obramba pravnih zahtevkov. Po preteku obdobja hrambe mora organizacija osebne podatke učinkovito in trajno izbrisati ali anonimizirati, tako da jih ni več mogoče povezati z določenim posameznikom.

Pogodbena obdelava osebnih podatkov in iznos podatkov

Organizacija lahko za posamezne obdelave osebnih podatkov na osnovi pogodbe o pogodbeni obdelavi zaupa pogodbenemu obdelovalcu. Pogodbeni obdelovalci lahko zaupane podatke obdelujejo izključno v imenu upravljavca, v mejah njegovega pooblastila, ki je zapisan v pisni pogodbi oziroma drugem pravnem aktu in skladno z nameni, ki so opredeljeni v tej politiki zasebnosti.

Pogodbeni obdelovalci, s katerimi sodeluje organizacija so predvsem:

  • računovodske storitve in drugi ponudniki pravnega ter poslovnega svetovanja;
  • vzdrževalci infrastrukture (videonadzor, varnostne storitve)
  • vzdrževalci informacijskih sistemov;
  • ponudniki hrambe podatkov v oblaku.

Organizacija za namene boljšega pregleda in nadzora nad pogodbenimi obdelovalci in urejenosti medsebojnega pogodbenega razmerja, vodi seznam pogodbenih obdelovalcev, v katerem  so navedeni vsi konkretni pogodbeni obdelovalci, s katerimi organizacija sodeluje.

Organizacija v nobenem primeru ne bo posredovalo osebnih podatkov posameznika tretjim nepooblaščenim osebam. Pogodbeni obdelovalci smejo osebne podatke obdelovati zgolj v okviru navodil organizacije in osebnih podatkov ne smejo uporabiti za katerekoli druge namene.

Organizacija kot upravljavec in njeni zaposleni osebnih podatkov ne iznašajo v tretje države (izven držav članic Evropskega gospodarskega prostora – članice EU ter Islandija, Norveška in Liechtenstein) in v mednarodne organizacije, razen v ZDA, pri čemer so razmerja s pogodbenimi obdelovalci iz ZDA urejena na podlagi standardnih pogodbenih klavzul (tipske pogodbe, ki jih je sprejela Evropska komisija) in/ali zavezujočih poslovnih pravil (ki jih sprejme organizacija in potrdijo nadzorni organi v EU).

Varovanje podatkov in točnost podatkov

Organizacija skrbi za informacijsko varnost in varnost infrastrukture (prostorov in aplikativno sistemske programske opreme). Naši informacijski sistemi so med drugim zaščiteni s protivirusnimi programi in požarnim zidom. Uvedli smo ustrezne organizacijsko tehnične varnostne ukrepe, namenjene varstvu osebnih podatkov pred naključnim ali nezakonitim uničenjem, izgubo, spreminjanjem, nepooblaščenim razkrivanjem ali dostopom ter pred drugimi nezakonitimi in nepooblaščenimi oblikami obdelave. V primeru posredovanja posebnih vrst osebnih podatkov, jih posredujemo v šifrirani obliki in zaščiteni z geslom.

Posameznik je sam odgovoren, da svoje osebne podatke posreduje varno in da so posredovani podatki točni in verodostojni. Organizacija se bo trudila, da bodo osebni podatki, ki jih obdeluje, točni in po potrebi ažurirani, občasno se lahko na posameznika obrne za potrditev točnosti osebnih podatkov.

Pravice pacientov

Zakon o pacientovih pravicah določa pravice, ki jih ima pacient kot uporabnik zdravstvenih storitev pri vseh izvajalcih zdravstvenih storitev ter postopke uveljavljanja teh pravic, kadar so kršene. Zakon tudi določa s temi pravicami povezane dolžnosti, ki jih ima pacient.

Pravice pacientov, ki jih določa Zakon o pacientovih pravicah, so:

  • pravica do dostopa do zdravstvene oskrbe in zagotavljanja preventivnih storitev;
  • pravica do enakopravnega dostopa in obravnave pri zdravstveni oskrbi;
  • pravica do proste izbire zdravnika in izvajalca zdravstvenih storitev;
  • pravica do primerne, kakovostne in varne zdravstvene oskrbe;
  • pravica do spoštovanja pacientovega časa;
  • pravica do obveščenosti in sodelovanja;
  • pravica do samostojnega odločanja o zdravljenju;
  • pravica do upoštevanja vnaprej izražene volje;
  • pravica do preprečevanja in lajšanja trpljenja;
  • pravica do drugega mnenja ;
  • pravica do seznanitve z zdravstveno dokumentacijo;
  • pravica do varstva zasebnosti in varstva osebnih podatkov;
  • pravica do obravnave kršitev pacientovih pravic;
  • pravica do brezplačne pomoči pri uresničevanju pacientovih pravic.

Pacient, ki meni, da je v postopku zdravstvene obravnave prišlo do kršitve pravic, ki jih ima po Zakonu o pacientovih pravicah, ima možnost zahtevati ustrezno obravnavo. V primeru, da želi posameznik uveljavljati katero koli od prej navedenih pravic, lahko pošlje zahtevek po elektronski pošti na zdravstveni.dom@zd-ms.si ali z redno pošto na naslov organizacije.

Pravice posameznika glede obdelave podatkov

V skladu s Splošno uredbo ima posameznik sledeče pravice iz varstva osebnih podatkov:

  • Zahteva lahko informacije o tem, ali imamo njegove osebne podatke in, če je tako, katere podatke imamo ter na kakšni podlagi jih imamo in zakaj jih uporabljamo;
  • zahteva lahko dostop do svojih osebnih podatkov, kar mu omogoča, da prejme kopijo osebnih podatkov, ki jih ima organizacija ter preveri, ali jih organizacija obdeluje zakonito;
  • zahteva lahko popravke osebnih podatkov, kot je popravek nepopolnih ali netočnih osebnih podatkov;
  • zahteva lahko izbris svojih osebnih podatkov, kadar ni razloga za nadaljnjo obdelavo oziroma kadar uveljavlja svojo pravico do ugovora glede nadaljnje obdelave;
  • ugovarja lahko nadaljnji obdelavi osebnih podatkov, kjer se organizacija sklicuje na zakoniti poslovni interes (tudi v primeru zakonitega interesa tretje osebe), kadar obstajajo razlogi, povezani s posameznikovim posebnim položajem; posameznik ima pravico kadarkoli ugovarjati, če organizacija obdeluje osebne podatke za namene neposrednega trženja;
  • zahteva lahko omejitev obdelave svojih osebnih podatkov, kar pomeni prekinitev obdelave osebnih podatkov, na primer, če posameznik želi, da organizacija ugotovi točnost ali da se preverijo razlogi za nadaljnjo obdelavo osebnih podatkov;
  • zahteva lahko prenos svojih osebnih podatkov v strukturirani elektronski obliki k drugemu upravljavcu, v kolikor je to mogoče in izvedljivo;
  • prekliče lahko privolitev oziroma soglasje, ki ga podal za zbiranje, obdelavo in prenos svojih osebnih podatkov za določen namen; po prejemu obvestila, da je umaknil svojo privolitev, bo organizacija prenehala obdelovati osebne podatke za namene, ki jih prvotno sprejela, razen če organizacija nima druge zakonite pravne podlage za to, da to stori zakonito.

Če želi posameznik uveljavljati katero koli od prej navedenih pravic, lahko pošlje zahtevek po elektronski pošti na zdravstveni.dom@zd-ms.si ali z redno pošto na naslov organizacije. Na zahtevo, ki se nanaša na pravice posameznika, bo organizacija odgovorila brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. V primeru, da bi se ta rok ob upoštevanju kompleksnosti in števila zahtev, podaljšal (za največ dva dodatna meseca), boste o tem obveščeni. Dostop do posameznikovih osebnih podatkov in uveljavljene pravic je za posameznika brezplačno. Vendar pa lahko organizacija zaračuna razumno plačilo, v kolikor je zahteva posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljena ali pretirana, zlasti če se ponavlja. V takšnem primeru lahko organizacija zahtevo tudi zavrne. V primeru uveljavljanja pravic iz tega naslova bo morebiti morala organizacija od posameznika zahtevati določene informacije, ki mu bodo pomagale pri potrditvi identitete posameznika, kar je le varnostni ukrep, ki zagotavlja, da se osebni podatki ne razkrijejo nepooblaščenim osebam.

Pri uveljavljanju pravic iz tega naslova lahko posameznik uporabi obrazec Informacijskega pooblaščenca, ki je dosegljiv na njihovi spletni strani. Povezava na: https://www.ip-rs.si/fileadmin/user_upload/doc/obrazci/ZVOP/Zahteva_za_seznanitev_z_lastnimi_osebnimi_podatki__Obrazec_SLOP_.doc

V primeru, da posameznik meni, da so mu pravice kršene, se lahko za zaščito ali pomoč obrne na nadzorni organ (Informacijskega pooblaščenca). Povezava na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/prijava-krsitev/

 Če ima posameznik kakršnakoli vprašanja v zvezi z obdelavo svojih osebnih podatkov, se lahko vedno obrne na našo organizacijo  preko elektronske pošte na zdravstveni.dom@zd-ms.si ali z redno pošto na naslov organizacije.

Objava sprememb

Vsaka sprememba naše Politike o varstvu osebnih podatkov bo objavljena na spletni strani organizacije: https://www.zd-ms.si. Z uporabo spletne strani posameznik potrjuje, da sprejema in soglaša s celotno vsebino te politike varstva osebnih podatkov.

Politiko varstva osebnih podatkov je sprejelo vodstvo zavoda, december, 2018