VZP ČR v souvislosti s provozem Centrálního registru pojištěnců (CRP) zpracovává Vaše osobní údaje ve smyslu čl. 6 odst.1 písm. c) Nařízení Evropského parlamentu a rady (EU) 2016/679 (GDPR), neboť zpracování osobních údajů je nezbytné pro splnění právní povinnosti správce dle zákona č. 592/1992 Sb., o pojistném na veřejné zdravotní pojištění, zákona č. 111/2009 Sb., o základních registrech a zákona č. 586/1992 Sb. o daních z příjmu.

CRP eviduje osobní údaje všech pojištěnců napříč zdravotními pojišťovnami. Mezi tyto osobní údaje například patří rodné číslo, případně číslo pojištěnce, jméno, příjmení, popřípadě rodné příjmení, adresa pobytu, datum vzniku a zániku pojistného vztahu u příslušné zdravotní pojišťovny a další, které jsou v plném a aktuálním rozsahu uvedeny v § 27 odst. 1 zákona č. 592/1992 Sb., referenční údaje uvedené v zákonu č. 111/2009 Sb. a údaje o osobách, které jsou evidované v paušálním režimu, či využili možnost oznámení vstupu, či společného oznámení při vstupu do paušálního režimu dle zákona č. 586/1992 Sb.

CRP získává údaje automatizovaně z Registru obyvatel (ROB) prostřednictvím Informačního systému sdílených služeb (ISSS), provozovaného Digitální a informační agenturou, formou notifikací změn prostřednictvím služby Agendový informační systém vyrozumívací (AISV). Dále čerpá údaje z agendových informačních systémů jako je evidence obyvatel a evidence cizinců. Zároveň data přebírá z informačních systémů státní správy, které vedou veřejnoprávní subjekty (např. Finanční správa, Úřad práce, Česká správa sociálního zabezpečení a další instituce), od právnických osob (jako jsou školy, univerzity aj. ústavy) a zdravotních pojišťoven. Tyto údaje jsou potřebné pro vedení CRP a plnění dalších zákonných povinností jako je poskytování informací poskytovatelům zdravotních služeb, Státnímu ústavu pro kontrolu léčiv, zdravotním pojišťovnám, státním institucím a dalším dle výše uvedených zákonů.

Zpracování osobních údajů probíhá prostřednictvím výpočetní techniky za dodržení všech bezpečnostních zásad pro správu a zpracování osobních údajů. Za tímto účelem přijal správce technickoorganizační opatření k zajištění ochrany osobních údajů, zejména opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití. Veškeré subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektů údajů na ochranu soukromí a jsou povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.

Osobní údaje jsou uchovávány pouze po dobu nezbytně nutnou k naplnění účelu jejich zpracování. Po skončení této doby jsou osobní údaje likvidovány nebo archivovány v souladu s platným skartačním plánem VZP ČR.