Lázeňství a GDPR

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 (dále jen „nařízení GDPR“) představuje právní rámec ochrany osobních údajů platný na celém území Evropské unie (EU), který chrání práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. Ke dni 25. května 2018 pak nabylo své účinnosti ve všech členských státech EU a je závazné pro všechny subjekty (společnosti, instituce), které pracují s osobními údaji, nevyjímaje lázeňské resorty, ve kterých jsou o klientech (tj. subjektech údajů) běžně zpracovávány a shromažďovány osobní údaje, včetně údajů citlivých (zvláštních).
Jednou ze základních povinností nejen lázeňských resortů je splnit svoji informační povinnost, tj. uvést, zda osobní údaje zpracovávají, z jakého titulu a za jakým účelem, o jaké údaje se jedná, po jakou dobu jsou zpracovávány, uvést odkaz na osobu správce a poučení o právech a povinnostech subjektů údajů. Přitom v případě lázeňských resortů je třeba připomenout, že zpracovávány jsou nejen identifikační údaje klientů (jméno, příjmení, rodné číslo, číslo OP, zdravotní pojišťovna, číslo bankovního účtu), kontaktní údaje (telefon, e-mail) a adresní údaje (adresa, PSČ), tj. osobní údaje jako takové, ale rovněž citlivá osobní data, která jsou představována typicky údaji o zdravotním stavu klientů (lékařské zprávy), kteří využívají lázně k léčebnému pobytu a jejichž zpracování podléhá mnohem přísnějšímu režimu.
Důvodem zpracování osobních údajů v případě lázní je typicky plnění smluv, vedení účetnictví, vedení zaměstnanecké agendy, komunikace s klienty z důvodů stanovených zákonem atd. Co se týká doby, po kterou je možné osobní údaje subjektů zpracovávat, pak by tato neměla překračovat dobu nezbytně nutnou, včetně archivačních lhůt. Lázně by měly zpracovávat osobní údaje po dobu trvání smluvního vztahu či jiného titulu s tím, že po ztrátě tohoto titulu jsou povinny veškeré osobní údaje o subjektu nenávratně vymazat.
Co se týká práv a povinností subjektů údajů, pak mezi tyto patří zejména právo získat od osoby určené jako jejich správce údaje, které subjekt údajů správci o své osobě poskytl, a to ve strukturovaném a strojově čitelném formátu. Tzv. právem na přenositelnost je pak míněno právo subjektu údajů žádat po správci, aby jeho osobní údaje poskytl jinému správci údajů. V případě lázní se toto může typicky týkat dvou rozličných lázeňských resortů, které poskytují služby jednomu subjektu údajů ve stejném čase. Velmi důležitým je rovněž právo stížnosti subjektu údajů u příslušného správce, případně u Úřadu pro ochranu osobních údajů, který v případě zjištěného pochybení má rovněž právo ukládat pokuty ve značné výši. Konečně má subjekt údajů rovněž právo na přístup ke svým osobním údajům, které správce zpracovává, právo na jejich výmaz, omezení zpracování a právo vznést námitku proti zpracování.
V případě lázeňských domů lze však shrnout, že pokud konkrétní společnosti dodržovaly současnou právní úpravu dle zákona č. 101/2000 Sb., o ochraně osobních údajů, tak se s novými GDPR pravidly vyrovnají velmi rychle.
JUDr. Lucie Kolářová, Advokátní kancelář Vácha & Kolář

• www.vacha-kolar.cz