V roce 2005 jsem byl pacientem uvedeného lékaře z Hranic, kdy po přestěhování jsem přešel k jinému obvodnímu – i služebnímu lékaři do Prahy.
Když jsem se v roce 2020 vrátil na Moravu, požádal jsem cestou kontaktního formuláře uvedeném na jeho webu praktického lékaře v Hranicích, zdali se opětovně můžu vrátit do jeho působnosti praktické ordinace. Bylo to dne 25.9.2020 – vyplněním tohoto formuláře na jeho stránkách, který má přesměrovaný zjevně do automatického zpracování na seznam.cz:
http://www.praktickylekarhranice.cz/
Dne 25.9.2025 mi odpoledne odpověděl:
„žel nové klienty již nepřímám“
———- Původní e-mail ———-
Od: jméno@příjmení,místopobytu.cz
Komu: info@praktickylekarhranice.cz
Datum: 25. 9. 2020 0:40:44
Předmět: Kontakt ze serveru
Když nepřijímá, nedá se nic dělat. Každopádně ale, když tedy nemohu být jeho pacientem, tak potom mě zajímá, jaké osobní a zvláštní údaje o mě tedy jako Správce zpracovává a bude tedy ukládat několik let ve svých automatických zpracování osobních údajů, protože údaje o zdravotním stavu spadají do kategorie – citlivé údaje – a rozhodně mi tedy není jedno, kdo a jak s nimi nějakou dobu ještě bude nakládat a zdali tyto jsou zabezpečeny způsobem tak, jak ukládá Obecné nařízení pro GDPR.
Z tohoto důvodu jsem tedy přistoupil dne 28.3.2021 k podání datovou schránkou vůči sro předmětného lékaře, kdy jsem naformuloval tyto otázky s prosbou o zodpovězení vysoce uctivým způsobem:
Dobrý den, v souladu s Obecným nařízením GDPR – Vás uctivě žádám o sdělení, – jaké osobní a zvláštní údaje o mě jako Správce evidujete pro IČ XXXXXXXX a YYYYYYYY, kdy pokládám tyto otázky, – a prosím pod každou odpovědět samostatně, – a přesně tak, jak byla otázka položena:
- Jaké osobní a zvláštní údaje vedete k mé osobě v jejich jednotlivém výčtu jeden po druhém pod sebou seřazeny?
- V jakých jednotlivých automatických zpracováních osobních a zvláštních údajů jsou tyto údaje zpracovávány – samostatně rozlišeno u každého osobního či zvláštního údaje? Jejich výčet pod sebou, jednotlivě pojmenovány dle jednotlivých záznamů o zpracování je jaký prosím?
- Po jakou dobu budou v těchto automatických zpracování, uloženy tyto údaje konkrétně v letech pro každé zpracování samostatně?
- Na základě, jakých účelů tyto údaje zpracováváte?
- Komu je sdílíte?
- Poučil jste mě o Vašich zásadách ochrany osobních údajů v automatickém zpracování – kontakt?
- Všechny ostatní náležitosti povinné odpovědi v GDPR Správce subjektu údajů.
Praktický lékař z Hranic, pravděpodobně aniž by se s někým odborným poradil, mi odpověděl již dne 1.4.2021 opětovně do mé datové schránky tuto odpověď:
Pověřence pro ochranu osobních údajů dělám již 3 roky a několikrát sem již podával podobně formulovaný dotaz různým správcům osobních údajů, ale řeknu Vám upřímně, že tak krátkou a formálně naprosto špatnou odpověď, – jsem ještě od nikoho nikdy nedostal.
Pokud takto je Vám schopný odpovědět profesionál, který v obrovském množství zpracovává zejména citlivé – zvláštní údaje o Vašem zdravotním stavu, pak upřímně říkám za sebe, že je dobře, že mi odpověděl způsobem, jakým mi odpověděl, a ještě s pravopisnou chybou, protože po této odpovědi bych od něho, i kdyby mi předtím odpověděl kladně, – okamžitě utekl, protože tato odpověď je nejen nedostatečná, ale i z hlediska GDPR protiprávní. Peníze z Vašich pojišťoven za Vás dojit, – to ano, – ale řídit se českými zákony zodpovědně, – to ne zjevně.
Pojďme si nyní rozebrat, co je špatně v jeho odpovědi:
- Zpracovává o mě určitě vyjmenováno pod sebou s odůvodněním:
A. Jméno a příjmení
B. Datum narození / rodné číslo
C. V odpovědi shora do datové schránky uvedl starou adresu pobytu v roce 2005 a jelikož jsem mu dotaz zaslal datovou schránkou, měl povinnost aktualizovat adresu současného bydliště na aktuální a uvést v odpovědi tedy adresu nového trvalého bydliště, nikoliv neaktuální z roku 2005
D. Číslo datové schránky
E. Mobilní telefon uvedený 25.9.2020 do sekce kontakt na jeho webu, který přijal do svého automatického zpracování na Seznam.cz
F. Emailovou adresu uvedenou 25.9.2020 do sekce kontakt na jeho webu, kterou přijal do svého automatického zpracování na Seznam.cz ve tvaru jméno@přijmení,místopobytu.cz (moje speciální doména pro tyto účely ve tvaru mého jména, příjmení a místa pobytu)
G. Emailovou adresu autorizovanou datovou schránkou pro odpověď shora žádanou ve tvaru jméno.sklik@seznam.cz
F. A možná i IP adresu, která prošla jeho webem automatického zpracování do Seznam.cz a směřuje k mé určitelné osobě
G. Všechny citlivé údaje v podobě např nemocí a další týkající se zdravotního stavu, pokud tyto má naskenované do automatického zpracování osobních údajů v jeho IT systémech, vyjmenovány pod sebou, nebo alespoň obecně popsány tak, aby bylo zřejmé, že si uvědomuje, které z údajů zdravotního stavu lze pojmenovat jako – údaje citlivé
2. V jakým automatických zpracování jsou moje údaje zpracovávány:
A. určitě to je jeho emailová adresa do které zjevně směřuje kontaktní formulář na serveru Seznam.cz
B. Pokud má dokumentaci v počítači, což má většinou každý lékař, potom je to jeho počítač, jeho zálohy a server, na kterém jsou tyto zálohy umístěny
C. Pokud na Vás vykazoval úkony, pak to může být jeho účetnictví v elektronické podobě, či bankovní účet, pokud jste mu sami za některé úkony či léky zaplatili např. na fakturu či pojišťovna dle VS v rozlišení, že se jednalo o platbu za Vaši osobu – zaléží, jak to má pan Doktor nastaveno, každý to může mít jinak ošetřeno
3. Po jakou dobu zde budou údaje zpracovávány:
Dle serveru Euro.cz platí tyto podmínky:
„Praktický lékař je oprávněn dokumentaci svého pacienta skartovat za 10 let od změny registrujícího lékaře, tedy od doby, kdy pacient přejde k jinému praktickému lékaři. Shodná desetiletá lhůta platí pro uschovávání dokumentace od data úmrtí pacienta. Tam, kde je lhůta počítána od úmrtí, se ale může stát, že lékař datum nezná. Proto vyhláška stanoví, že v takovém případě se za den úmrtí pacienta považuje den, ve kterém dosáhl 100 let věku. U praktických lékařů pro děti a dorost je ještě třetí možné kritérium pro vyřazení dokumentace, a to 10 let od dosažení 19 let věku pacienta.“
Pokud lékař píše tedy, že poslední záznam má z roku 2005, měl pravděpodobně moji dokumentaci dávno skartovat, protože máme rok 2021, a to je 6 let navíc nad uvedené období, kdy já sem mu k prodloužení této doby nedal souhlas, ani mu nevzniklo žádné zákonné oprávnění, proč by měl tuto lhůtu prodlužovat o 6 let déle, než je obecné pravidlo
Navíc, co se týče osobních údajů uložených v automatickém zpracování Seznam.cz, tak i po smazání uživatelem v administraci přijatých zpráv – může provider Seznam.cz tyto zprávy zpřístupnit po celou dobu existence tohoto serveru – tedy správná odpověď měla být, – že záleží na provozovateli serveru Seznam.cz
Pokud byla vydána faktura s rozlišením platby dle VS směřujícím k Vaší určitelné osobě zase platí 10 let
Doba uložení zpracování pro soudní nároky je různá, – obecně platí myslím 15 let, ale u mě to je pořád už zase rok nad
4. Na základě jakých účelů moje osobní údaje zpracováváte:
Účelem samozřejmě je vedení lékařské dokumentace u aktivního pacienta, kdy já tímto již 16 let tedy nejsem, jak vidno, takže otázka, jaký účel by pan Doktor uvedl, kdyby odpověděl správně, jakože neodpověděl vůbec
5. Komu je sdílíte:
A. V mém případě doufám, že už nikomu, ale pokud je má uloženo na serveru počítače, potom je sdílí IT administrátorovi tohoto serveru či providerovi hostingu
B. Vzhledem zaslání dotazu na email i providerovi služby Seznam.cz
C. V případě aktivního pacienta je dále sdílí pojišťovně, IT administrátorovi, který mu zpravuje server a možná i účetnímu, který mu vede příjmy plynoucí z plateb pojišťoven při vedení účetnictví
7. Všechny náležitosti povinné odpovědi v GDPR – zde mohlo být třeba ještě nad rámec dotazovaného uvedeno např:
Zdroj server GDPR.cz
„GDPR koncipuje právo na přístup jako výčet informací, na které má občan vůči správci nárok, přičemž se tak děje na základě žádosti podané subjektem údajů. Nejprve je každý správce povinen subjektu potvrdit, zda u něho vůbec ke zpracovávání jeho osobních údajů dochází. Pokud ke zpracování údajů dochází, správce musí zajistit žadateli přístup jak k těmto údajům, tak k určitým souvisejícím informacím. Mezi ty patří již dnes užívané kategorie informací, jako jsou účel zpracování, kategorie zpracovávaných osobních údajů či seznam příjemců s přístupem k údajům. Nařízení pak nově zavádí informace jako plánovaná doba uložení údajů, zda má občan právo v určitém případě požadovat od správce opravu, výmaz nebo omezení zpracování údajů či zda má právo vznést námitku proti zpracování. Správce by měl subjekt vždy informovat také o právu podat stížnost u Úřadu pro ochranu osobních údajů. Správce musí poskytnout také veškeré dostupné informace o zdrojích údajů, pokud je získal například z veřejného rejstříku. Novinkou bude i povinnost správce poskytnout žadateli kopii údajů o něm zpracovávaných, a to bezplatně.“
6. Tento bod jsem přeskočil záměrně, protože se u něho zastavím detailněji – když sem odesílal původní žádost o lékařskou péči opětovnou v září 2020 přes kontaktní formulář, samozřejmě jsem si všiml, že pan Doktor nemá nikde na webu ani zmínku o GDPR. V případě lékaře, který se prezentuje webovou stránkou pro pacienty, kteří mu svěřují osobní a citlivé údaje si myslím, že to je nepřípustné – až těžce protiprávní vůči GDPR a Obecnému nařízení a v tomto případě by mu měl Úřad udělit odstrašující pokutu. Když jsem mu psal skoro po 6 měsících žádost o sdělení, jaké údaje o mě zpracovává viz výše, nic se na této stránce nezměnilo, kromě vstupní brány o COVID očkování, ale nikde na webu se nenachází Zásady ochrany osobních údajů v principu transparentnosti tohoto správce, ani jakékoliv jiné poučení v GDPR při využití funkce formulář a při odeslání zprávy do jeho automatického zpracování na Seznam.cz, což ale dokazuje, že tento praktický lékař z Hranic zjevně nepoučil tímto zákonným poučením v GDPR o jeho zásadách – žádný subjekt údajů od 25. května 2018, kdy Obecné nařízení vstoupilo v platnost, a to znamená, že má neplatné souhlasy všech osob zpracovávat jejich zaslané údaje z tohoto formuláře do jeho automatického zpracování na Seznam.cz, kdy pokud je nepřijal do péče stejně jako mě a nevznikla tedy mezi nimi smlouva – tyto všechny za 3 roky zpracovává tedy nezákonně, protiprávně a v rozporu s Obecným nařízením o GDPR – 3 roky možná i tisíce citlivých údajů za to dobu – toto je vysoce závažné pochybení, které jako Pověřenec vnímám za událost, kterou by po tomto nahlášení měl Správce neprodleně do 48 hodin konzultovat s ÚOOU, nejpozději však do 72 hodin.
Dne 28. března 2021 jsem provedl jakožto certifikovaný Pověřenec pro ochranu osobních údajů v EU GDPR ohledání webové stránky na adrese http://www.praktickylekarhranice.cz/ (dále jen „web“) , kdy jsem pořídil tuto screen fotodokumentaci a současně VIDEO ohledání této webové stránky, kterou tedy popisuji následovně:
- Vstupní brána na webu neobsahuje žádné informace o GDPR ani Zásadách ochrany osobních údajů
2. Toto se nenachází ani v hlavičce webu a následně níže směrem dolů na webu až k patičce webu – web nemá podstránky, ale všechny funkcionality se rolují pohybem dolů k patičce webu
3. V patičce webu je umístěna sekce Kontakt s povinnými poli formuláře – u tlačítka ODESLAT se rovněž nenachází aktivní souhlas se Zásadami ochrany osobních údajů, ale ani nikde žádné jiné poučení v GDPR
4. VIDEO ohledání 1 ze dne 28.3.2021 – část 1.
4. VIDEO ohledání 1 ze dne 28.3.2021 – část 2.
5. VIDEO ohledání 2 ze dne 3.4.2021 – kontrolní ohledání zdali pana Správce osobních údajů napadlo něco změnit po mém dotazu – ale zjevně ho to nenapadlo
Dne 20.4.2021 jsem provedl opakovanou kontrolu – ohledání shora uvedené stránky – zdali se něco změnilo při odeslání zprávy s osobními i možná zvláštními údaji dle GDPR kolem uvedeného formuláře pro subjekty údajů, který je přesměrovaný do automatického zpracování lékaře na Seznam.cz – zdali tam byly přidány funkcionality Zásad ochrany osobních údajů nebo „informovaný souhlas“ – před odesláním zprávy,
a jak vidíte, nic podobného zde nepřibylo, – ani nyní od doby 1. ohledání webové stránky shora – dodnes.
Závěr:
Pane Doktore, je Vaší povinností, pokud jste byl nyní seznámen s výsledky této kontroly – vyplývající z nedostatečné odpovědi mé osobě – se jít nejlépe oznámit na Úřad pro ochranu osobních údajů, protože jste nyní prokazatelně zjevně nedodržoval GDPR 3 roky, vůbec neznáte jeho zásady, princip transparentnosti Vám neříká vůbec nic, a pravděpodobně všechny souhlasy odeslané přes shora uvedený formulář, do Vašeho automatického zpracování osobních údajů na Seznam.cz – máte neplatné, – kdy se tam může jednat i o tisíce citlivých údajů např. nemocí pacientů sdělených, ale kolik to je, – to by měl zkoumat UOOU.
Pokud nyní zfalšujete shora uvedenou stránku tím, že tam necháte IT přidat funkcionality Zásad ochrany osobních údajů, aktivní souhlas, či jiné náležitosti GDPR, které tam nyní tedy do této doby prokazatelně nebyly 3 roky, – po datu 3.4.2021 – což bylo nezvratně dokumentováno shora – certifikovaným Pověřencem pro ochranu osobních údajů EU v GDPR – opakovaným ohledáním Vaší webové stránky,
potom bude otázka, zda se nedopustíte podvodu vůči tomuto Úřadu – a obecně – státu ČR,
ve snaze se obohatit o pokutu, kterou by Vám za absenci těchto věcí a shora těžce nedostatečné odpovědi v GDPR jako Správci osobních údajů – mohl tento Úřad udělit za Vaše – nyní prokázané – pochybení.
Otázkou zůstává, kolik by Vám Úřad udělil pokutu a podle toho by se – v případě vzniku tohoto možného podvodu – pokud to nyní zfalšujete – mohl posuzovat odstavec tohoto §§ – viz trestní Zákoník – § 209 – Podvod – (1) Kdo sebe nebo jiného obohatí tím, že uvede někoho v omyl, využije něčího omylu nebo zamlčí podstatné skutečnosti .. a další odstavce ..
Citováno z GDPR.cz
„GDPR po vzoru předpisů na ochranu hospodářské soutěže zavádí několikanásobně vyšší pokuty, než jsme byli doposud zvyklí. Jejich maximální výše je 20.000.000 eur nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností) a bude záviset na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších.“
Upozorňuji, že jako Pověřenec pro ochranu osobních údajů EU shledávám tyto shora uvedené pochybení jako těžce závažné a doporučuji Vám do 48 hodin (nejpozději 72) toto oznámit Úřadu v konzultaci o nápravě a provedení jejich šetření, kolik subjektů údajů, – i s citlivými údaji možná i v počtu několika tisíc – jste přes svoji webovou stránku http://www.praktickylekarhranice.cz/ do svého automatického zpracování na Seznam.cz nepoučil za ty 3 roky od 25. května 2018 a kolika subjektům údajů jste odpověděl úplně nedostatečně – stejně jako mě shora – a ještě navíc proti obecné zásadě 10 let evidování zdravotní dokumentace tuto evidujete nad rámec této doby dalších 6 let bez mého souhlasu či úkonu, který by Vás k tomuto opravňoval, nebo jakéhokoli jiného zdůvodnění, proč tak činíte (např. z důvodů soudních nároků), – když jste sám uvedl shora citováno, – že již Vaším pacientem být nemůžu.
Nedoporučuji Vás jako Správce osobních údajů pro žádný subjekt údajů v ČR.
Pokud mi někdo říkal správně, že praktická ordinace v Hranicích Vašeho charakteru je zlatý důl, který má cenu v pořizovací hodnotě několik milionů, pak vězte, že toto právo ordinace Vás zavazuje rovněž se řídit zákony České republiky a dodržovat principy Obecného nařízení GDPR EU pro všechny subjekty údajů, ze kterých těžce ze zdravotních pojišťoven – dojíte miliony korun ročně – ve Vašem výdělku.
Zpracoval:
Neserte se s ním a rovnou to nahlaste. Všichni doktoři z nás tahají jenom peníze, ale sami dodržovat povinnosti, to neumí.