GDPR - Informace o zpracování osobních údajů
Informace o zpracování osobních údajů
Informace o zpracování osobních údajů podle čl. 13 a 14 Nařízení Evropského parlamentu a
Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení
o ochraně osobních údajů) – dále jen „GDPR“
Tato stránka slouží k zajištění plné, transparentní a snadno přístupné informovanosti subjektů údajů o zpracování osobních údajů, vč. zvláštních kategorií osobních údajů, správcem těchto údajů v souladu s GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
1. Kontaktní údaje správce a pověřence pro ochranu osobních údajů:
Správce osobních údajů
1.1. Česká správa sociálního zabezpečení (dále jen „ČSSZ“)
Křížová 25
225 08 Praha 5
Adresa e-podatelny: posta@cssz.cz
ID datové schránky ústředí ČSSZ: 49kaiq3
pověřenec pro ochranu osobních údajů
Ing. Radka Poláková
Česká správa sociálního zabezpečení
Křížová 25
225 08 Praha 5
e-mail: dpo@cssz.cz
1.2. Územní správy sociálního zabezpečení (dále jen „ÚSSZ“) a Institut posuzování zdravotního stavu (dále jen „IPZS“)
kontaktní informace: www.cssz.cz/cz/kontakty
Pověřenec pro ochranu osobních údajů vykonává svou funkci a je kontaktním místem pro všechny výše uvedené správce osobních údajů.
2. Účely zpracování a právní základ pro zpracování:
2.1 ČSSZ a ÚSSZ/IPZS zpracovávají osobní údaje a osobní údaje zvláštní kategorie klientů ČSSZ a ÚSSZ/IPZS (dále jen „klienti“) za účelem zabezpečení úplných a správných dat sociálního pojištění v rozsáhlé datové základně, nezbytné pro výkon agendy pojistného na sociální zabezpečení, provádění důchodového a nemocenského pojištění, pro lékařskou posudkovou službu (dále jen „LPS“) a poskytování služeb klientům ČSSZ i třetím stranám v souladu s právním řádem České republiky, právem Evropské unie a s mezinárodními smlouvami, jimiž je Česká republika vázána.
Konkrétně se jedná o následující účely:
- Zajišťování agendy sociálního zabezpečení (tj. pojistného na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti, nemocenského pojištění, důchodového pojištění, a agendy osob zdravotně znevýhodněných)
- Zajišťování agendy LPS pro pojistný i nepojistný systém sociálního zabezpečení a oblast zaměstnanosti
- Správa údajové základny (správa registru pojištěnců, pojistných vztahů, nárokových podkladů důchodového pojištění a dávkových spisů důchodového pojištění)
- Zajišťování agendy refundací náhrady mzdy za pracovní volno související s akcí pro děti a mládež poskytnutých podle zákoníku práce
- Poskytování informací oprávněným osobám (včetně vzájemné komunikace a spolupráce)
- Zajišťování kontroly
- Zajišťování účetnictví (nedávkové i výplaty dávek)
- Zajišťování agendy informačních a komunikačních technologií
Následující právní předpisy stanovují požadavky na výkon státní správy a vymezují působnost ČSSZ a ÚSSZ/IPZS. Tyto právní předpisy jsou určující pro stanovení právního postavení ČSSZ a ÚSSZ/IPZS jako správce osobních údajů. I když to není při citaci níže uvedených právních předpisů výslovně zmíněno, jsou myšleny právní předpisy v platném a účinném znění, tj. ve znění pozdějších předpisů, pokud byly novelizovány.
- zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení
- zákon č. 155/1995 Sb., o důchodovém pojištění
- zákon č. 187/2006 Sb., o nemocenském pojištění
- zákon č. 589/1992 Sb., o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti
Úplný seznam právních předpisů naleznete v tomto letáku (PDF 182,6 kB).
ČSSZ a ÚSSZ/IPZS zpracovávají osobní údaje a osobní údaje zvláštní kategorie klientů pro splnění právní povinnosti [čl. 6 odst. 1 písm. c) GDPR] nebo pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci [čl. 6 odst. 1 písm. e) GDPR].
Typ zpracovávaných osobních údajů
- Identifikační údaje
- Adresní údaje
- Kontaktní údaje
- Údaje pro provádění nemocenského pojištění
- Údaje pro provádění důchodového pojištění
- Údaje pro provádění činnosti LPS
- Údaje o výběru pojistného
- Údaje, evidované na základě požadavků práva Evropských společenství a podle mezinárodních smluv o sociálním zabezpečení
- Majetkové a finanční údaje
Typ zpracovávaných osobních údajů zvláštní kategorie
- Zdravotní stav
- Trestní záležitosti
2.2 ČSSZ a ÚSSZ/IPZS zpracovávají osobní údaje a osobní údaje zvláštní kategorie svých zaměstnanců a uchazečů o zaměstnání (příp. dalších osob) pro splnění právní povinnosti [čl. 6 odst. 1 písm. c) GDPR], pro splnění smlouvy [čl. 6 odst. 1 písm. b) GDPR] nebo z důvodů oprávněného zájmu [čl. 6 odst. 1 písm. f) GDPR] pro následující účely, které zároveň představují oprávněné zájmy správce pro zpracování osobních údajů:
- Personální správa
- Zajišťování kontroly
- Zajišťování agendy bezpečnosti
- Zajišťování právní agendy a oblasti projektů
- Zajišťování vnitřní správy
- Zajišťování účetnictví (nedávkové i výplaty dávek)
- Bezpečnost a ochrana zdraví při práci
- Zajišťování agendy informačních a komunikačních technologií
- Poskytování informací oprávněným osobám (včetně vzájemné komunikace a spolupráce)
Typ zpracovávaných osobních údajů
- Identifikační údaje
- Adresní údaje
- Kontaktní údaje
- Údaje pro provádění nemocenského pojištění
- Údaje pro provádění důchodového pojištění
- Údaje o výběru pojistného
- Majetkové a finanční údaje
Typ zpracovávaných osobních údajů zvláštní kategorie
- Zdravotní stav
- Trestní záležitosti
ČSSZ a ÚSSZ/IPZS zpracovávají osobní údaje a osobní údaje zvláštní kategorie uchazečů o zaměstnání také na základě souhlasu subjektu údajů [čl. 6 odst. 1 písm. a) GDPR] v případě zařazování životopisů a motivačních dopisů vybraných neúspěšných žadatelů do evidence pro účely budoucích výběrových řízení.
3. Zdroje, ze kterých osobní údaje a osobní údaje zvláštní kategorie pocházejí:
ČSSZ nebo ÚSSZ/IPZS získávají osobní údaje a osobní údaje zvláštní kategorie od subjektů údajů (dále souhrnně „osobní údaje“), od jejich zaměstnavatelů, dále z registru obyvatel, registru osob, agendového informačního systému evidence obyvatel, agendového informačního systému cizinců, registru rodných čísel, evidence orgánů Finanční správy ČR a evidence uchazečů o zaměstnání Úřadu práce ČR. Některé osobní údaje ČSSZ nebo ÚSSZ/IPZS poskytují instituce sociálního zabezpečení členských států Evropské unie, instituce sociálního zabezpečení nečlenských států Evropské unie, s nimiž má Česká republika uzavřenou dvoustrannou smlouvu o sociálním zabezpečení, a poskytovatelé zdravotních služeb.
4. Příjemci nebo kategorie příjemců osobních údajů:
Příjemcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty (dle čl. 4 odst. 9 GDPR), nejde-li o orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu.
K předávání údajů dochází v rozsahu a za podmínek stanovených zákonem.
Základní kategorie příjemců osobních údajů jsou:
- orgány veřejné moci České republiky (orgány státní správy, samosprávy i ostatní veřejné správy), např. Generální ředitelství cel, Generální finanční ředitelství, Ministerstvo práce a sociálních věcí (dále jen „MPSV“) a další ministerstva, Státní úřad inspekce práce, soudy, obecní úřady, zdravotní pojišťovny, případně exekutorské úřady
- instituce sociálního zabezpečení členských států Evropské unie, Spojeného království Velké Británie a Severního Irska, Švýcarska, Norska, Lichtenštejnska a Islandu v rámci činností dle koordinačních nařízení Evropské unie v oblasti sociálního zabezpečení uvedených níže
- instituce sociálního zabezpečení států, s nimiž má Česká republika uzavřenou dvoustrannou smlouvu o sociálním zabezpečení
- instituce Evropské unie, Evropská centrální banka a Evropská investiční banka
- poskytovatelé zdravotních služeb
- zprostředkovatelé výplat dávek – Česká národní banka a Česká pošta s.p.
- provozovatelé informačního systému ČSSZ a ÚSSZ/IPZS
5. Předávání osobních údajů do zahraničí:
K předávání osobních údajů do zahraničí dochází na právním základě vyplývajícím zejména z nařízení Evropského parlamentu a Rady (ES) č. 883/2004 o koordinaci systémů sociálního zabezpečení a nařízení Evropského parlamentu a Rady (ES) č. 987/2009, kterým se stanoví prováděcí pravidla k nařízení (ES) č. 883/2004 o koordinaci systémů sociálního zabezpečení nebo z platných mezinárodních smluv o sociálním zabezpečení. Nařízení jsou zpřístupněna na webových stránkách Evropské komise https://eur-lex.europa.eu/, případně na webových stránkách ČSSZ: https://www.cssz.cz/web/cz/legislativa-evropska-unie. Další informace je možné nalézt na webových stránkách MPSV: https://www.mpsv.cz/web/cz/pravni-predpisy-eu-v-gesci-mpsv.
Úplný přehled všech platných mezinárodních smluv o sociálním zabezpečení včetně jejich osobního a věcného rozsahu je uveden na webu MPSV: https://www.mpsv.cz/web/cz/dvoustranne-smlouvy-o-socialnim-zabezpeceni a na webových stránkách ČSSZ: https://www.cssz.cz/web/cz/mezinarodni-smlouvy.
Seznam mezinárodních smluv o spolupráci v oblasti zneužívání dávek a nelegálního zaměstnávání je uveden na webu MPSV: https://www.mpsv.cz/web/cz/mezinarodni-smlouvy-o-spolupraci-v-oblasti-zneuzivani-davek-a-nelegalniho-zamestnavani.
V případě pojištěnců, kteří se stali úředníky nebo ostatními zaměstnanci Evropské unie a jejích institucí, nebo zaměstnanci Evropské centrální banky či Evropské investiční banky, dochází k předávání osobních údajů těchto pojištěnců v souvislosti s realizací převodu jejich důchodových práv ve vztahu k důchodovému systému těchto institucí na základě přílohy č. VIII k Nařízení Rady (EHS, Euratom, ESUO) č. 259/68, kterým se stanoví služební řád úředníků a pracovní řád ostatních zaměstnanců Evropských společenství a kterým se zavádějí zvláštní opatření dočasně použitelná na úředníky Komise, a na základě nařízení vlády č. 141/2013 Sb., kterým se stanoví podrobnější úprava vzájemného převodu důchodových práv ve vztahu k důchodovému systému Evropské unie.
6. Doba uložení osobních údajů:
ČSSZ a ÚSSZ/IPZS uchovávají osobní údaje pouze po dobu nezbytnou pro účely, pro které jsou zpracovávány. Doba uložení osobních údajů vyplývá z právních předpisů, doby trvání smluvního nebo služebního vztahu se zaměstnancem ČSSZ a vnitřního předpisu „Rozhodnutí ústředního ředitele ČSSZ Spisový řád České správy sociálního zabezpečení“. Skartační řízení se provádí v souladu s obecně závaznými právními předpisy a vnitřními předpisy ČSSZ pro archivaci a skartaci v plánovaných obdobích (zpravidla jednou ročně), v případě potřeby i mimo ně. Provádí se komplexně, zvlášť za každou organizační jednotku. Jeho předmětem jsou všechny dokumenty uložené ve spisovně organizační jednotky, u nichž uplynuly skartační lhůty. Pokud je nezbytné v rámci jednoho spisu ukládat dokumenty s různě dlouhou skartační lhůtou, je pro vyřazení takového spisu rozhodující dokument s nejdelší skartační lhůtou.
7. Ochrany Vašich osobních údajů se týkají následující práva:
7.1 Právo požadovat přístup k Vašim osobním údajům (čl. 15 GDPR)
Jako subjekt osobních údajů máte právo být informován, jaké údaje o Vás jsou zpracovávány, za jakým účelem, po jakou dobu, kde jsou Vaše osobní údaje získány, komu jsou případně předány a kdo je dál zpracovává, a jaká máte další práva související se zpracováním Vašich osobních údajů. Je možné vznést dotaz na pověřence pro ochranu osobních údajů, který zabezpečí zaslání informace, zda a jaké Vaše osobní údaje jsou zpracovávány, komu jsou případně předávány a na žádost Vám budou zaslány také kopie Vašich osobních údajů. ePortál ČSSZ a jeho služby Vám také nabízí další cestu, jak získat informace, které osobní údaje zpracovává ČSSZ a ÚSSZ/IPZS.
7.2 Právo na opravu Vašich osobních údajů (čl. 16 GDPR)
Pokud zjistíte, že Vaše osobní údaje zpracovávané ČSSZ a ÚSSZ/IPZS jsou nepřesné nebo neúplné, máte právo na to, aby byly bez zbytečného odkladu opraveny nebo doplněny.
7.3 Právo na výmaz Vašich osobních údajů (čl. 17 GDPR)
Máte právo, abychom Vaše osobní údaje vymazali, a to bez zbytečného odkladu, pokud je splněn některý z následujících důvodů:
- Vaše osobní údaje již nepotřebujeme pro účely, pro které jsme je zpracovávali,
- využijete svého práva vznést námitku proti zpracování (viz níže kapitola „Právo vznést námitku proti zpracování Vašich osobních údajů“) u osobních údajů, které zpracováváme pro splnění úkolu ve veřejném zájmu, a shledáme, že již žádný veřejný zájem, který by toto zpracování opravňoval, není, nebo
- ukáže se, že námi prováděné zpracování osobních údajů přestalo být v souladu s obecně závaznými předpisy.
Vaše právo na výmaz Vašich osobních údajů je však v případě zpracování těchto údajů ze strany ČSSZ a ÚSSZ/IPZS jako orgánů veřejné moci omezeno podle čl. 17 odst. 3 GDPR, zejména se právo neuplatní v případě, že je zpracování nezbytné pro plnění právních povinností, které vyžaduje právní řád České republiky, nebo pro splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřena ČSSZ a ÚSSZ/IPZS. Toto právo může být případně dále omezeno prostřednictvím legislativního opatření v oblasti sociálního zabezpečení ve smyslu čl. 23 GDPR.
7.4 Právo na omezení zpracování Vašich osobních údajů (čl. 18 GDPR)
V těchto případech můžete požadovat, aby zpracování Vašich osobních údajů bylo omezeno:
- jako subjekt údajů popíráte přesnost osobních údajů, a to na dobu potřebnou k ověření přesnosti osobních údajů
- zpracování je protiprávní, tj. bez právního základu, a Vy jako subjekt údajů odmítáte výmaz osobních údajů a žádáte místo toho o omezení jejich použití
- správce již osobní údaje nepotřebuje pro účely zpracování, ale Vy jako subjekt údajů je požadujete pro určení, výkon nebo obhajobu právních nároků
- Vy jako subjekt údajů jste již vznesl námitku proti zpracování v případě zpracování v oprávněném zájmu správce či třetích osob, ale dosud nebylo ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů, v takovém případě bude zpracování osobních údajů omezeno po tuto dobu.
7.5 Právo na přenositelnost Vašich osobních údajů (čl. 20 GDPR)
Máte právo získat od nás všechny Vaše osobní údaje, které jste nám Vy sami poskytli a které zpracováváme na základě plnění smlouvy či Vašeho souhlasu.
Vaše právo na získání všech Vašich osobních údajů, které jste poskytli ČSSZ a ÚSSZ/IPZS, jsou zpracovávány na základě právního titulu plnění smlouvy či Vašeho souhlasu, je však omezeno podle čl. 20 odst. 3 GDPR, zejména se právo neuplatní v případě, že je zpracování nezbytné pro splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřena ČSSZ a ÚSSZ/IPZS. Toto právo může být případně dále omezeno, neboť se jedná o nezbytné a přiměřené opatření v oblasti sociálního zabezpečení ve smyslu čl. 23 GDPR.
7.6 Právo vznést námitku proti zpracování Vašich osobních údajů (čl. 21 GDPR)
Jako subjekt údajů máte kdykoliv právo vznést námitku proti zpracování z důvodů týkajících se Vaší konkrétní situace. Toto právo můžete uplatnit:
- u zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu státní moci nebo
- v případě, že zpracování je prováděno v oprávněném zájmu správce nebo třetí strany, jakož i práva na přenositelnost údajů.
Při uplatnění práva na námitku nebo jiného prostředku ochrany proti zpracování osobních údajů se použijí obdobně ustanovení zákona č. 500/2004 Sb., správní řád, o stížnosti.
ČSSZ a ÚSSZ/IPZS označí vhodným způsobem osobní údaje, jejichž přesnost byla popřena nebo proti jejichž zpracování byla vznesena námitka, a tyto osobní údaje dále zpracovává i bez souhlasu subjektu údajů.
8. Právo podat stížnost u dozorového úřadu:
V případě, že se domníváte, že zpracováním osobních údajů dochází k porušení GDPR, máte právo podat stížnost podle čl. 77 GDPR u dozorového úřadu, tj. Úřadu pro ochranu osobních údajů,
Datum poslední aktualizace: 4. 1. 2024