Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie a čl. 16 odst. 1 Smlouvy o fungování Evropské unie přiznávají každému právo na ochranu osobních údajů, které se jej týkají. Právo na ochranu osobních údajů však není právem absolutním; musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy.

Při zpracování osobních údajů zaměstnanců, klientů, zaměstnanců smluvních poskytovatelů zdravotních služeb a jiných fyzických osob (dále „subjektů údajů“), Institutem zdravotně-sociálních služeb, zapsaným ústavem (dále také „Ústav“), je postupováno v souladu s právními předpisy pro ochranu osobních údajů, zejména s Obecným nařízením EU 2016/679 (dále také „Nařízení“). V souladu s touto legislativou je Ústav ke zpracovávaným osobním údajům v postavení „správce“ těchto údajů.

Zpracování osobních údajů Ústavem je prováděno především pro účel uzavření a plnění smluvního vztahu mezi subjekty údajů a Ústavem. Některá zpracování osobních údajů jsou prováděna na základě povinností, uložených Ústavu zvláštními zákony. Ústav používá také další právní podmínky pro zákonnost zpracování osobních údajů (např. souhlas subjektu údajů nebo oprávněný zájem správce nebo třetí osob). Tyto podmínky se uplatňují v závislosti na stanoveném účelu zpracování údajů.

Ochrana fyzických osob se vztahuje jak na automatizované zpracování osobních údajů, tak na manuální zpracování. V zásadách a pravidlech ochrany fyzických osob, které Ústav uplatňuje v souvislosti se zpracováním osobních údajů, respektuje Ústav jejich základní práva a svobody, zejména právo na ochranu osobních údajů. Ústav dále respektuje práva fyzických osob, která jsou jim zaručena zákony, např. právo vědět a být informován zejména o tom, pro jaký účel jsou osobní údaje zpracovávány, případně období, po které budou uchovávány. Zásady ochrany osobních údajů se uplatňují na všechny údaje o fyzické osobě, kterou lze identifikovat. Ústav zpracovává osobní údaje fyzických osob podle účelů zpracování v souladu s platnou legislativou pro ochranu osobních údajů, avšak každá dotčená fyzická osoba má právo vznést námitku proti konkrétnímu zpracování osobních údajů, které se jí týkají. Ústav pak této osobě sdělí účel a právní důvod zpracování údajů.

Zpracování osobních údajů Ústavem je prováděno zákonným a spravedlivým způsobem, je pro všechny dotčené fyzické osoby transparentní, a informace a všechna sdělení, týkající se zpracování těchto osobních údajů, jsou snadno přístupná a srozumitelná. Při zpracování osobních údajů na základě souhlasu fyzických osob jsou tyto osoby upozorněny na případná rizika, vyplývající ze zpracování, a také na pravidla, záruky a práva, která existují v souvislosti se zpracováním jejich osobních údajů. Účely, pro které jsou osobní údaje zpracovávány, jsou jednoznačné a legitimní a jsou vždy stanoveny v okamžiku shromažďování osobních údajů. Rozsah shromažďovaných osobních údajů je přiměřený a omezený pouze na údaje, nezbytné pro naplnění stanoveného účelu. Rovněž doba, po kterou jsou osobní údaje uchovávány, je omezena na nezbytné minimum. Při veškerém zpracování osobních údajů jsou aplikována opatření, která zaručují náležitou bezpečnost a důvěrnost těchto údajů.

Ústav má odpovědnost za veškerá zpracování osobních údajů, která provádí, je k těmto údajům v postavení „správce“. V souvislosti s přechodem na novou legislativu pro ochranu osobních údajů v EU, tj. Nařízení EU 2016/679, provedl Ústav posouzení vlivu všech zpracování na zabezpečení a ochranu osobních údajů, s cílem zjistit pravděpodobnost a závažnost rizik v procesu zpracování osobních údajů. Při tomto posouzení zohlednil Ústav povahu, rozsah, kontext a účely zpracování a zdroje rizik.

Ústav přijal také opatření k zabezpečení procesů zpracování osobních údajů, systémů, informací a dat, a konkrétní technická, organizační a bezpečnostní opatření tak, aby zajistila soulad s Nařízením EU. Součástí opatření pro zabezpečení osobních údajů jsou také pravidelná školení zaměstnanců, kteří zpracovávají osobní údaje klientů, pacientů nebo jiných fyzických osob. Od zaměstnanců na všech úrovních je vyžadován odpovědný, iniciativní a tvořivý přístup a respektování pravidel, stanovených pro zabezpečení osobních údajů. Technická a organizační opatření jsou rozpracována v interních dokumentech a směrnicích Ústavu.