Centrum medyczne Holimedica
ul. Jana Pawła II 181, 36-021 Rzeszów, telefon: 733 121 413, e-mail: kontakt@holimedica.rzeszow.pl      

Godziny otwarcia: pon. – pt. 8:00 – 19:00.

w
HOLIMEDICA sp. z o.o. z siedzibą w Rzeszowie,
przy ul. Jana Pawła II 181/104, 35-317 Rzeszów
KRS: 0000847629, NIP: 8133840737
(dalej: „Administrator”)

WSTĘP

  1. Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej: Polityka) ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w spółce HOLIMEDICA sp. z o.o. z siedzibą w Rzeszowie, przy ul. Jana Pawła II 181/104, 35-317 Rzeszów (dalej: Administrator).
  2. Polityka powstała w oparciu o wyniki przeprowadzonej szczegółowo analizy ryzyka, opisanej w raporcie z tej analizy.
  3. Niniejszy dokument został sporządzony nadto w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone przez Administratora zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych, w tym z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z  27 kwietnia 2016 r. w  sprawie ochrony osób fizycznych w  związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO).
  4. Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu RODO i stanowi jeden ze środków organizacyjnych, mających na celu wykazanie, że przetwarzanie danych osobowych odbywa się zgodnie z ww. rozporządzeniem, a także usprawnienie i usystematyzowanie organizacji pracy Administratora.
  5. Polityka zawiera:
  6. opis zasad ochrony danych obowiązujących u Administratora
  7. odwołania do załączników uszczegóławiających (takich jak procedury lub instrukcje dotycząc poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach).
  8. Osobą odpowiedzialną za wdrożenie i utrzymanie niniejszej Polityki jest Zarząd Administratora.
  9. Za nadzór i monitorowanie przestrzegania Polityki odpowiada Inspektor Ochrony Danych, który w wypełnianiu swoich obowiązków może korzystać ze wsparcia audytorów zewnętrznych.
  10. Za stosowanie niniejszej Polityki odpowiedzialni są:
  11. Administrator Danych Osobowych
  12. wszyscy członkowie personelu zatrudnieni u Administratora
  13. wszystkie podmioty upoważnione do przetwarzania danych osobowych klientów Administratora w ramach umów współpracy i wszelkich umów cywilnoprawnych łączących ich z Administratorem.
  14. Administrator zapewnia równocześnie w odpowiednim zakresie zgodność postępowania kontrahentów i dostawców usług obsługowych Administratora z niniejszą Polityką, jeżeli dochodzi do przekazania tym podmiotom danych osobowych klientów przetwarzanych przez Administratora.
  15. Polityka dotyczy wszystkich Danych osobowych przetwarzanych przez Administratora, niezależnie od formy ich przetwarzania (kartoteki papierowe, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
  16. Obszar, w którym Przetwarzane są Dane osobowe stanowi adres siedziby Administratora Danych i obejmuje gabinety lekarskie, gabinety zabiegowe, pomieszczenia biurowe oraz pomieszczenia służące na cele szkoleniowe, zlokalizowane w tej siedzibie oraz inne pomieszczenia wskazane przez Administratora Danych.
  17. Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery, zarówno te stacjonarne jak i przenośne oraz inne nośniki danych znajdujące w obszarze wskazanym w ust. 11 powyżej.

SKRÓTY I DEFINICJE:  

  • Administrator – HOLIMEDICA sp. z o.o. z siedzibą w Rzeszowie (35-317), ul. Jana Pawła II 181/104, wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy w Rzeszowie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: 0000847629, NIP: 8133840737, adres e – mail: kontakt@holimedica.rzeszow.pl, telefon: (+48) 733 12 14 13, która decyduje o celach i sposobach Przetwarzania Danych osobowych.
  • Polityka  – oznacza niniejszą Politykę ochrony danych osobowych, o ile co innego nie wynika wyraźnie z kontekstu.
  • RODO – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z  27 kwietnia 2016 r. w  sprawie ochrony osób fizycznych w  związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE L 119, s.1)
  • Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  • Dane – oznaczają dane osobowe, o ile co innego nie wynika wyraźnie z kontekstu.
  • Dane szczególnych kategorii – oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne , biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
  • Dane dzieci – oznaczają dane osób poniżej 16  roku życia.
  • Osoba  – oznacza osobę, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu.
  • Podmiot przetwarzający – oznacza organizację lub osobę, której Administrator powierzył przetwarzanie danych osobowych (np. dostawcy systemów IT, księgowość zewnętrzna).
  • Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
  • Eksport danych – oznacza przekazanie danych do państwa trzeciego lub organizacji międzynarodowej.
  • IOD lub Inspektor – oznacza Inspektora Ochrony Danych Osobowych.
  • RCPD lub Rejestr – oznacza Rejestr Czynności przetwarzania Danych  Osobowych.
  • System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania Danych
  • Użytkownik – osoba upoważniona przez Administratora do Przetwarzania Danych
  • Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów
  • Przetwarzanie – jakiekolwiek operacje wykonywane na Danych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie w formie tradycyjnej oraz w systemach informatycznych
  • Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownika) w razie Przetwarzania Danych osobowych w takim systemie
  • Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania Danych w takim systemie
  • Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika).

ANALIZA RYZYKA

  1. Podstawą do stworzenia niniejszej  Polityki w jej obecnym kształcie była szczegółowa analiza ryzyka. Raport z przeprowadzonej analizy ryzyka pozwolił Administratorowi dobrać odpowiednie środki techniczne i organizacyjne dla zabezpieczenia bezpieczeństwa odpowiadającego ryzyku, przy uwzględnieniu stanu wiedzy technicznej, kosztów wdrażania, charakteru, zakresu, kontekstów, celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych.
  2. Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.

OCHRONA DANYCH U ADMINISTRATORA – ZASADY OGÓLNE

  1. Postanowienia ogólne
  1. Celem niniejszej Polityki jest określenie kierunków działań, jakie należy  wykonywać i podejmować w związku z odpowiednim zabezpieczeniem Danych osobowych oraz ustanowienie zasad, reguł postępowania i wsparcia dla zapewnienia bezpieczeństwa Danych osobowych administrowanych przez Administratora, w szczególności:
  2. określenie zasad zarządzania, ochrony i dystrybucji Danych osobowych Przetwarzanych w formie papierowej i/lub w formie elektronicznej, w tym w systemach informatycznych,
  3. określenie standardów zapewniających bezpieczeństwo Przetwarzania Danych osobowych w formie papierowej i/lub w formie elektronicznej, w tym w systemach informatycznych,
  4. określenie procedury postępowania podczas incydentu, który będzie związany z Danymi osobowymi.
  5. Polityka dotyczy wszystkich Danych osobowych administrowanych przez Administratora, niezależnie od formy ich Przetwarzania (przetwarzane tradycyjne, zbiory ewidencyjne, systemy informatyczne) oraz niezależnie od tego, czy Dane osobowe są lub mogą być Przetwarzane w zbiorach danych.
  6. Zawarte w Polityce postanowienia, w tym obowiązek ochrony informacji stanowiących Dane osobowe obejmuje wszystkich pracowników oraz inne osoby wykonujące usługi, na podstawie innego stosunku prawnego, przy pomocy których Administrator wykonuje swoje czynności, mające dostęp do Danych osobowych, bez względu na sposób pozyskania informacji stanowiących Dane osobowe.
  7. Polityka jest przechowywana w wersji elektronicznej w pamięci komputera będącego do wyłącznej dyspozycji Administratora lub osoby wskazanej przez Administratora oraz w wersji papierowej w siedzibie Administratora i jest dostępna do wglądu dla osoby upoważnionej, w każdym czasie.
  8. Polityka jest udostępniana do wglądu osobie upoważnionej na jej wniosek, a także osobie, której ma zostać nadane upoważnienie do przetwarzania Danych osobowych, przed nadaniem jej upoważnienia przez Administratora, celem zapoznania się z jej treścią. Wgląd do Polityki może nastąpić poprzez okazanie wersji papierowej Polityki lub poprzez przesłanie przez Administratora Polityki w postaci pliku w formacie .pdf na adres poczty e – mail osoby wnioskującej o zapoznanie się z Polityką.
  9. Osoba upoważniona lub osoba, której ma zostać nadane upoważnienie do Przetwarzania Danych osobowych może skierować do Administratora zapytanie w przypadku, gdyby treść Polityki była niezrozumiała lub, gdyby pojawiły się wątpliwości co do interpretacji zapisów Polityki.
  10. Osoba upoważniona może w każdym czasie zgłosić swój wniosek do Administratora, zawierający propozycję zmian w treści Polityki.
  11. Kontakt z Administratorem, o którym mowa w ust. 6 i 7 powyżej może nastąpić osobiście, w formie pisemnej przesłanej listem zwykłym lub poleconym, wiadomości e – mail lub przy pomocy kontaktu telefonicznego.
  12. Dla skutecznej realizacji Polityki Administrator zapewnia:
    1. odpowiednie do zagrożeń i kategorii Danych osobowych objętych ochroną, środki techniczne i rozwiązania organizacyjne,
    1. kontrolę i nadzór nad przetwarzaniem Danych osobowych,
    1. monitorowanie zastosowanych środków ochrony Danych osobowych.
  13. Administrator na bieżąco będzie analizował ryzyko związane z naruszeniem ochrony Danych osobowych, w szczególności będzie badał potencjalne elementy mogące stworzyć zagrożenie naruszenia ochrony Danych osobowych, a w przypadku wykrycia takiego zagrożenia, będzie je odpowiednio dokumentował. 
  14. Administrator zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem Danych osobowych są zgodne z Polityką oraz odpowiednimi przepisami prawa.
  1. Filary ochrony danych osobowych u Administratora

W przedsiębiorstwie Administratora przyjęto następujące zasady nadrzędne stanowiące filary ochrony danych osobowych:

  1. Legalność – Administrator dba o ochronę prywatności i przetwarza dane osobowe zgodnie z prawem i wyłącznie w oparciu o jedną z podstaw prawnych przetwarzania Danych wymienionych w art. 6 i 9 RODO
  2. Bezpieczeństwo – Administrator zapewnia odpowiedni poziom bezpieczeństwa Danych, podejmując stale działania w tym zakresie.
  3. Prawa jednostki – Administrator umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje.
  4. Rozliczalność – Administrator dokumentuje to, w jaki sposób spełnia obowiązki w zakresie ochrony danych osobowych, aby  w każdej chwili móc wykazać zgodność przetwarzania z prawem.

III. System ochrony danych

System ochrony danych u Administratora składa się z następujących elementów:

  1. Inwentaryzacja danych – Dane osobowe przetwarzane przez Administratora Danych gromadzone są w zbiorach danych. Administrator dokonuje identyfikacji zasobów danych osobowych, które przetwarza, kategorii danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych, w tym:
    1. przypadków przetwarzania danych szczególnych kategorii
    1. przypadków przetwarzania danych osób, których Administrator nie identyfikuje
    1. przypadków przetwarzania danych dzieci
    1. profilowania
    1. współadministrowania danych.
  • Rejestry – Administrator opracowuje, prowadzi i utrzymuje Rejestr Czynności Danych Osobowych, a także szereg innych rejestrów mających za zadanie wsparcie zarządzania przetwarzaniem danych, nadzoru i monitoringu przetwarzania. Nadto rejestry są narzędziem rozliczania zgodności przetwarzania danych z ochroną danych u Administratora.
  • Podstawy prawne – Administrator zapewnia, identyfikuje, weryfikuje podstawy prawne przetwarzania danych i rejestruje je w Rejestrze, w tym:
    • utrzymuje system zarządzania zgodami na przetwarzanie danych
    • inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy Administrator przetwarza dane na podstawie prawnie uzasadnionego interesu Administratora.
  • Obsługa praw jednostki – Administrator spełnia obowiązki informacyjne względem osób, których dane przetwarza oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania, w tym:
    • obowiązki informacyjne – Administrator przekazuje osobom prawem wymagane informacje przy zbieraniu danych i w innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków;
    • możliwość wykonana żądań – Administrator weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania przez siebie i swoich przetwarzających;
    • obsługa żądań – Administrator zapewnia odpowiednie nakłady i procedury, aby żądania osób były realizowane w terminach i w sposób wymagany przez RODO a także, aby były one udokumentowane;
    • zawiadamianie o naruszeniach – Administrator stosuje procedury pozwalające na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych.
  • Minimalizacja – Administrator posiada zasady i metody zarządzania minimalizacją, a w tym:
    • zasady zarządzania adekwatnością danych,
    • zasady reglamentacji i zarządzania dostępem do danych,
    • zasady zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności.
  • Bezpieczeństwo – Administrator zapewnia odpowiedni poziom bezpieczeństwa danych w tym:
    • przeprowadza analizy ryzyka dla czynności przetwarzania danych,
    • przeprowadza ocenę skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie,
    • dostosowuje środki ochrony danych do ustalonego ryzyka, w tym zabezpiecza obszar przetwarzania Danych osobowych,
    • stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych – zarządza incydentami.
  • Przetwarzający. Administrator powierza przetwarzanie danych jedynie podmiotom, które gwarantują spełnienie wymogów Administratora, co do warunków i weryfikacji przetwarzania danych, zawartych kompleksowo w umowie powierzenia przetwarzania danych. Wzór umowy powierzenia stanowi załącznik do niniejszej Polityki.
  • Eksport danych. Administrator weryfikuje, czy dane nie są przekazywane do państw trzecich (czyli poza UE, Norwegię, Liechtenstein, Islandię) lub do organizacji międzynarodowych oraz zapewnienia zgodne z prawem warunki takiego przekazywania, jeśli ma ono miejsce, w szczególności gwarantuje, iż przekazywanie danych odbywać się będzie w oparciu o stosowną umowę pomiędzy Administratorem a tym podmiotem, zawierającą standardowe klauzule ochrony danych, bądź też w oparciu o decyzję Komisji Europejskiej z dnia 12 lipca 2016 r. stwierdzającą odpowiedni poziom ochrony danych w programie „Tarcza Prywatności”.
  • Privacy by design. Administrator zarządza zmianami wpływającymi na prywatność. W tym celu procesy uruchamiania nowych projektów i inwestycji przez Administratora uwzględniają konieczność oceny wpływu zmiany na ochronę danych, analizę ryzyka, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.

III.1. INWENTARYZACJA

III.1.i

  • Dane szczególnych kategorii – Administrator  identyfikuje przypadki, w których przetwarza dane szczególnych kategorii oraz utrzymuje dedykowane mechanizmy zapewnienia zgodności z prawem przetwarzania takich danych (jednoznaczna podstawa prawna przetwarzania oparta na ustawach i rozporządzeniach powszechnie obowiązujących, szczególne środki bezpieczeństwa danych).
  • Z uwagi na fakt, iż Administrator jest podmiotem wykonującym działalność leczniczą,  Administrator przetwarza dane szczególnych kategorii w postaci danych dotyczących stanu zdrowia pacjentów, jak i członków ich najbliższej rodziny – o ile jest to uzasadnione, z punktu widzenia realizacji celów Administratora w postaci diagnozy i leczenia pacjenta.
  • Z uwagi na fakt, iż Administrator zatrudnia okresowo pracowników, przetwarza on również dane dotyczące zdrowia pracowników, w zakresie, w jakim wynika to z wymogów medycyny pracy i przepisów prawa pracy i ubezpieczeń społecznych.
  • W zakresie niezbędnym do realizacji celów profilaktyki zdrowotnej, Administrator przetwarza dane dotycząc zdrowia osób uczestniczących w programach profilaktycznych.
  • Administrator może nadto przetwarzać dane dotyczące zdrowia osób, które wyraziły zgodę na udział w badaniach klinicznych czy naukowych prowadzonych przez Administratora.
  • W zakresie niezbędnym, określonymi każdorazowo szczegółowo przepisami prawa, Administrator może przetwarzać dane szczególnych kategorii w postaci danych o karalności członków organów spółki, będącej Administratorem.

Szczegółowy wykaz danych z zakresu danych dotyczących stanu zdrowia oraz celów i podstaw prawnych przetwarzani danych szczególnych kategorii zawarty jest w Rejestrze Czynności Przetwarzania Danych, prowadzonym przez Administratora.

III.1.ii

  • Administrator nie przetwarza danych osób, których  nie identyfikuje.

III.1.iii

  • Ze względu na kategorię osób, do której kierowane są w głównej mierze usługi Administratora, przetwarza on także dane dzieci (dane identyfikacyjne oraz dane dotyczące zdrowia).

III.1.iv

  • ProfilowanieAdministrator  identyfikuje przypadki, w których dokonuje profilowania przetwarzanych danych, i utrzymuje mechanizmy zapewniające zgodność tego procesu z prawem. W przypadku zidentyfikowania przypadków profilowania i zautomatyzowanego podejmowania decyzji Administrator postępuje zgodnie z przyjętymi zasadami w tym zakresie.
  • Na dzień sporządzania niniejszej Polityki, Administrator nie dokonuje profilowania przetwarzanych danych ani nie podejmuje decyzji w sposób zautomatyzowany.

III.1.v

  • Administrator nie przetwarza danych osobowych na zasadach współadministrowania.

III.2.a  REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH (RCPD) ORAZ REJESTR KATEGORII PRZETWARZANIA DANYCH (RKP)

  1. RCPD i RKP stanowią formę dokumentowania czynności przetwarzania danych, pełnią rolę mapy przetwarzania danych i są jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
  2. Administrator prowadzi Rejestr Czynności Przetwarzania Danych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
  3. Administrator obecnie nie prowadzi Rejestru Kategorii Przetwarzania Danych, z uwagi na niewystępowanie u Administratora przypadków przetwarzania danych osobowych na zlecenie innych podmiotów, pełniących funkcję administratora danych wobec powierzonych danych.
  4. RCPD jest jednym z podstawowych narzędzi umożliwiających Administratorowi rozliczanie większości obowiązków ochrony danych.
  5. W RCPD dla każdej czynności przetwarzania danych, którą Administrator uznał za odrębną dla potrzeb Rejestru, Administrator odnotowuje co najmniej: (i) nazwę czynności, (ii) cel przetwarzania, (iii) opis kategorii osób, (iv) opis kategorii danych, (v) podstawę prawną przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu Administratora, jeśli podstawą jest uzasadniony interes, (vi) sposób zbierania danych, (vii) opis kategorii odbiorców danych (w tym przetwarzających), (viii) informację o przekazaniu poza EU/EOG; (ix) ogólny opis technicznych i organizacyjnych środków ochrony danych.
  6. Wzór Rejestru stanowi załącznik do Polityki.
  7. Wzór Rejestru zawiera także kolumny nieobowiązkowe, takie jak podstawa  przetwarzania, źródło danych, sposób pozyskiwania danych czy sposób przetwarzania danych. W kolumnach nieobowiązkowych Administrator rejestruje informacje w miarę potrzeb i możliwości, z uwzględnieniem tego, że pełniejsza treść Rejestru ułatwia zarządzanie zgodnością ochrony danych i rozliczenie się z niej.
  8. Rejestr prowadzony jest w formie elektronicznej.
  9. Dla zabezpieczenia sytuacji zaistnienia konieczności przetwarzania danych na zlecenie innego administratora danych osobowych, Administrator utworzył wzór Rejestru Kategorii, w którym uwzględnił odnotowywanie co najmniej: (i) kategorii przetwarzania, (ii) ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa, (iii) nazwy i danych kontaktowych administratora, (iv) nazwy i danych kontaktowych współadministratora, (v) nazwy i danych kontaktowych przedstawiciela administratora, (vi) Inspektora ochrony Danych administratora, (vii) czasu trwania przetwarzania, (viii) informacji o przekazaniu poza EU/EOG i związanych z tym działaniem środkami bezpieczeństwa, (ix) informacji o podpowierzaniu przetwarzania danych.
  10. Wzór przykładowego Rejestru Kategorii stanowi załącznik do Polityki.
  11. Wzór Rejestru Kategorii przygotowany na wypadek zaistnienia potrzeby jego prowadzenia – w kontekście wymogów zawartych w RODO – zawiera kolumny nieobowiązkowe. W kolumnach nieobowiązkowych Administrator może rejestrować informacje w miarę potrzeb i możliwości, z uwzględnieniem tego, że pełniejsza treść Rejestru Kategorii ułatwia zarządzanie zgodnością ochrony danych i rozliczenie się z niej.
  12. W przypadku jego prowadzenia, Rejestr Kategorii prowadzony będzie w formie elektronicznej.

III.2.b  INNE REJESTRY

Poza Rejestrem i Rejestrem Kategorii, opisanymi powyżej,  w celu zapewnienia odpowiedniego standardu ochrony danych osobowych i w celu sprawniejszego zarządzania danymi, jak i uprawnieniami osób przetwarzających dane osobowe, Administrator utworzył następujące rejestry:

  • REJESTR NARUSZEŃ OCHRONY DANYCH OSOBOWYCH,
  • REJESTR ŻĄDAŃ I REALIZACJI PRAW OSÓB, KTÓRYCH DOTYCZĄ DANE OSOBOWE,
  • REJESTR UPOWAŻNIEŃ,
  • REJESTR UDOSTĘPNIEŃ DOKUMENTACJI MEDYCZNEJ (art. 27 ust.4 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta),
  • REJESTR UMÓW POWIERZENIA DANYCH OSOBOWYCH,
  • REJESTR ZGÓD NA PRZETWARZANIE DANYCH OSOBOWYCH,
  • REJESTR KLAUZUL INFORMACYJNYCH.

Rejestry powyższe, wraz z Rejestrem mają także służyć realizacji wymogu rozliczalności w zakresie zarządzania danymi, monitorowania ich przepływami oraz ich ewidencjonowania – wynikającymi z RODO lub standardów przepływu danych u Administratora.

III.3. PODSTAWY PRZETWARZANIA

  1. Administrator dokumentuje w Rejestrze podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania.
  2. Wskazując w dokumentach ogólną podstawę prawną (np. cele diagnozy medycznej, zgoda, obowiązek prawny, żywotne interesy, zadanie publiczne /władza publiczna, uzasadniony interes Administratora), Administrator dookreśla podstawę w precyzyjny i czytelny sposób, gdy jest to potrzebne, np. dla zgody — wskazując jej zakres, gdy podstawą jest prawo — wskazując konkretny przepis i inne dokumenty, np. umowę, porozumienie administracyjne, żywotne interesy – wskazując kategorie zdarzeń, w których się zmaterializują, uzasadniony interes— wskazując konkretny cel, np. marketing własny, dochodzenie roszczeń.
  3. Administrator wdraża metody zarządzania zgodami umożliwiające rejestrację i weryfikację posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu, zgody na komunikację na odległość (e-mail, telefon, SMS itp.) oraz rejestrację odmowy zgody, cofnięcia zgody i podobnych czynności (sprzeciw, ograniczenie itp. ).
  4. Pracownicy i współpracownicy Administratora mają obowiązek znać podstawy prawne, na jakich dokonują konkretnych czynności przetwarzania danych osobowych. Jeżeli podstawą jest uzasadniony interes Administratora, pracownik/współpracownik ma obowiązek znać konkretny realizowany przetwarzaniem interes Administratora.

III.4. SPOSÓB OBSŁUGI PRAW JEDNOSTKI I OBOWIĄZKÓW INFORMACYJNYCH

  1. Administrator dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza.
  2. Administrator ułatwia osobom korzystanie z ich praw poprzez różne działania, w tym: zamieszczenie na stronie internetowej Administratora informacji lub odwołań (linków) do informacji o prawach osób, sposobie skorzystania z nich, w tym wymaganiach dotyczących identyfikacji, metodach kontaktu z Administratorem.
  3. Administrator nie pobiera opłat za realizację praw jednostki w zakresie żądań dotyczących przetwarzania danych osób, za wyjątkiem sytuacji opisanych szczegółowo w „Polityce realizacji praw osób, których dane dotyczą”.
  4. Administrator dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób.
  5. Administrator wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych.
  6. W celu realizacji praw jednostki Administrator zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez Administratora, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany (załącznik do Polityki  – „Polityka realizacji praw osób, których dane dotyczą”).
  7. Administrator dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób (załącznik do Polityki  – wzór: „Rejestru żądań i realizacji praw osób, których dotyczą dane osobowe”).

III.4.a. OBOWIĄZKI INFORMACYJNE

  1. Administrator określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.
  2. Administrator informuje osobę o przetwarzaniu jej danych przy pozyskiwaniu danych od tej osoby lub jej przedstawiciela ustawowego – w przepadku osób małoletnich – na rzecz których świadczy swoje usługi. W zależności od kanału pozyskania danych osobowych, obowiązek informacyjny realizowany jest wg następujących procedur:
  3. w przypadku pozyskiwana danych podczas pierwszego kontaktu telefonicznego, np. podczas rejestracji telefonicznej na usługi, informacja (warstwowa) o przetwarzaniu danych podawana jest automatycznie, w zakresie podstawowych danych dotyczących Administratora, z odesłaniem do szczegółowej informacji o przetwarzaniu danych:

– na stronie internetowej Administratora: www.________  oraz
– zamieszczonej przy stanowisku recepcyjnym w lokalu, w którym świadczone są usługi Administratora;

  • w przypadku pozyskiwana danych podczas pierwszego kontaktu drogą poczty elektronicznej, informacja o przetwarzaniu danych przesyłana jest niezwłocznie w wiadomości zwrotnej na wskazany przez osobę adres poczty elektronicznej;
  • w przypadku pozyskiwana danych podczas pierwszego kontaktu w trakcie bezpośredniego kontaktu w lokalu Administratora, informacja o przetwarzaniu danych przesyłana jest niezwłocznie (tuż po uzyskaniu adresu poczty elektronicznej) na wskazany przez osobę adres poczty elektronicznej, a dodatkowo, osoba, której dane dotyczą informowana jest o możliwości zapoznania się z informacją o przetwarzaniu danych w lokalu Administratora przy stanowisku recepcyjnym lub na tablicy ogłoszeń w miejscu ogólnodostępnym dla osób przybyłych do siedziby Administratora;
  • w odniesieniu do pacjentów, którym udzielane są świadczenia w miejscu wezwania, Administrator przyjmuje, że dla zrealizowania obowiązku informacyjnego zgodnie z art. 13 RODO  wystarczające jest przekazanie papierowej wersji klauzuli informacyjnej przy pierwszym osobistym pozyskiwaniu danych osobowych od Osoby, której dane dotyczą (także w formie załącznika do innego dokumentu, np. umowy o świadczenie usług medycznych lub formularza, w którym Osoba, której dane dotyczą, wpisuje swoje dane osobowe) lub jeżeli wizyta w miejscu wezwania została zamówiona za pomocą systemów teleinformatycznych lub systemów łączności, wystarczające jest umieszczeniu klauzul informacyjnych na stronie internetowej Administratora, w systemie informatycznym Administratora dostępnym dla Osoby, której dane dotyczą (tzw. Portal Pacjenta) lub w formie nagrania na infolinii lub w formie wiadomości e-mail lub sms.
  • Administrator stworzył zindywidualizowane informacje o przetwarzaniu danych osobowych  dedykowane i dopasowane do różnych kategorii osób, w tym dla:
  • pacjentów
  • pracowników
  • kandydatów do pracy
  • zleceniobiorców
  • współpracowników
  • kontrahentów
  • osób pełniących funkcję w organach spółki Administratora (np. wspólników, członków zarządu)
  • uczestników szkoleń i warsztatów

(Załączniki do Polityki – wzory informacji o przetwarzaniu danych       osobowych dla różnych kategorii osób).

  • Administrator prowadzi i aktualizuje Rejestr zmian w klauzulach informacyjnych stosowanych w ramach jego przedsiębiorstwa (wzór Rejestru zmian w klauzulach informacyjnych stanowi załącznik do Polityki).
  • Informacje o przetwarzaniu danych zawierają informację o wersji informacji i dacie ostatniej aktualizacji.
  • Z zastrzeżeniem ustępu 2 powyżej, Administrator informuje osobę o przetwarzaniu jej danych, przy pozyskiwaniu danych o tej osobie niebezpośrednio od niej.
  • Administrator informuje osobę o planowanej zmianie celu przetwarzania danych.
  • Administrator informuje osobę przed uchyleniem ograniczenia przetwarzania.
  • Administrator informuje odbiorców danych o prostowaniu, usunięciu lub ograniczeniu Przetwarzania danych (chyba, że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe).
  • Administrator informuje osobę o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą.
  • Administrator bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby (załącznik do Polityki  – wzór: „Powiadomienia o naruszeniu ochrony danych osobowych – zawiadomienie osoby, której dane dotyczą”).

III.4.b i c. ŻĄDANIA OSÓB

  1. Prawa osób trzecich – Realizując prawa osób, których dane dotyczą, Administrator wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste), Administrator może się zwrócić do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu do czasu zapewnienia gwarancji ochrony praw i wolności osób trzecich.
  2. Nieprzetwarzanie – Administrator informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.
  3. Odmowa – Administrator informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
  4. Dostęp do danych – Na żądanie osoby dotyczące dostępu do jej danych Administrator informuje osobę, czy przetwarza jej dane, oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie nieodpłatnych kopii danych (przy pierwszym egzemplarzu kopii).
  5. Kopie danych – Na żądanie Administrator wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych. Administrator może  wprowadzić cennik kopii danych, zgodnie z którym pobiera opłaty za kolejne kopie danych. Cena kopii danych skalkulowana zostanie na podstawie oszacowanego jednostkowego kosztu obsługi żądania wydania kopii danych.
  6. Sprostowanie danych Każda Osoba, której dane dotyczą, ma prawo żądania od Administratora sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych.
  7. Uzupełnienie danych – Administrator uzupełnia i aktualizuje dane na żądanie osoby. Administrator ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych (np. Administrator nie musi przetwarzać danych, które są Administratorowi zbędne). Administrator może polegać na oświadczeniu osoby co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Administrator procedur (np. co do pozyskiwania takich danych), prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne. Osoba, której dane dotyczą ma prawo zażądać niezwłocznego uzupełnienia danych osobowych zawartych w dokumentacji medycznej wyłącznie w zakresie w jakim nie będzie prowadzić to do naruszenia autonomii zawodowej osoby wykonującej zawód medyczny, która dokonywała wpisu do dokumentacji medycznej.
  8. Usunięcie danych – Na żądanie osoby Administrator usuwa dane, gdy:
    1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
    1. Osoba, której dane dotyczą, cofnęła zgodę będąca podstawą do przetwarzania danych zgodnie z art. 6 ust. 1 lit. a) RODO, a brak jest innej podstawy przetwarzania;
    1. Osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania danych, o którym mowa w § 10 poniżej i nie występują okoliczności, o których mowa w § 10 ust. 2 poniżej;
    1. dane osobowe są przetwarzane niezgodnie z prawem;
    1. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii Europejskiej lub prawie polskim;
    1. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. profil dziecka na portalu społecznościowym, udział w konkursie na stronie internetowej).

Administrator określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.

Jeżeli dane podlegające usunięciu zostały upublicznione przez Administratora, Administrator podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe o potrzebie usunięcia danych i dostępu do nich.

W przypadku usunięcia danych Administrator informuje osobę o odbiorcach danych, na żądanie tej osoby.

  • Ograniczenie przetwarzania –  Administrator dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:

a) osoba kwestionuje prawidłowość danych — na okres pozwalający sprawdzić ich prawidłowość,

b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,

c) Administrator nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,

d) osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją — do czasu stwierdzenia, czy po stronie Administratora zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.

W trakcie ograniczenia przetwarzania Administrator przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego. Administrator informuje osobę przed uchyleniem ograniczenia przetwarzania.

W przypadku ograniczenia przetwarzania danych Administrator informuje osobę o odbiorcach danych, na żądanie tej osoby.

  1. Przenoszenie danych – Na żądanie osoby Administrator wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Administratorowi, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej w systemach informatycznych Administratora.  Prawo pacjenta do przenoszenia danych nie znajduje zastosowania wobec danych osobowych przetwarzanych przez Administratora na podstawie art. 9 ust. 2 lit. h RODO, w tym w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę.
  2. Sprzeciw – Prawo osoby, której dane dotyczą  do sprzeciwu wobec przetwarzania danych osobowych nie znajduje zastosowania wobec danych osobowych przetwarzanych przez Administratora na podstawie art. 9 ust. 2 lit. h RODO, w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę.
    Prawo do sprzeciwu wobec przetwarzania danych osobowych znajduje zastosowanie tylko i wyłącznie wobec danych osobowych przetwarzanych przez Administratora:
  3. w celu wykonywania zadań realizowanych w interesie publicznym                 lub w ramach sprawowania władzy publicznej powierzonej                       Administratorowi (art. 6 ust. 1 lit. e RODO);
  4. w oparciu o przesłankę tzw. prawnie uzasadnionych interesów                  Administratora (art. 6 ust. 1 lit. f RODO).

Każda Osoba, której dane dotyczą, ma prawo wnieść sprzeciw w przypadku, gdy jej dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

  1. Prawo do ludzkiej interwencji przy automatycznym przetwarzaniu – Administrator nie zamierza przetwarzać danych w sposób automatyczny.  W każdym przypadku Administrator zapewnia możliwość odwołania się do interwencji i decyzji człowieka po stronie Administratora.

Szczegółowy opis realizacji praw osób, których dane dotyczą, ze wskazaniem odpowiednich terminów, procedur szczegółowych czy odstępstw od pełnienia żądań Osoby, zawarty jest w Polityce realizacji praw osób, których dane dotyczą, stanowiącej załącznik do niniejszej Polityki.

III.4.d. ZAWIADOMIENIE O NARUSZENIACH

  1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator uruchamia procedurę postępowania na wypadek wystąpienia naruszenia ochrony danych, w tym niezwłocznie dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych (patrz załącznik do Polityki: „Procedura postępowania na wypadek wystąpienia naruszenia ochrony danych”)
  2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować  ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Wzór zgłoszenia określa załącznik do Polityki.
  3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą. Wzór zawiadomienia stanowi załącznik do Polityki.

III.5. MINIMALIZACJA

  1. Administrator dba o minimalizację przetwarzania danych pod kątem:
    1. adekwatności danych do celów (ilości danych i zakresu przetwarzania)
    1. dostępu do danych,
    1. czasu przechowywania danych.

1.a. Minimalizacja zakresu – Administrator zweryfikował zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO.Administrator dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok orazprzeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych w ramach  planowanych zmian (privacy by design).

1.b. Minimalizacja dostępu – Administrator stosuje ograniczenia dostępu do danych osobowych:

  1. prawne(zobowiązania do poufności, zakresy upoważnień),
  2. fizyczne (zamykanie pomieszczeń, zamykanie szaf z dokumentacją),
  3. logiczne (ograniczenia uprawnieńdo systemów przetwarzających dane osobowe i zasobów sieciowych,w których rezydują dane osobowe).

Administrator dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób oraz zmianach podmiotów przetwarzających.

Administrator dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok.

Szczegółowe zasady bezpieczeństwa przetwarzania danych w systemie informatycznym oraz kontroli dostępu logicznego zawarte są w Polityce Zarządzania Systemem Informatycznym (załącznik do Polityki).

1.c. Minimalizacja czasu – Administrator wdraża mechanizmy kontroli cyklu życia danych osobowychu Administratora, w tym weryfikacji dalszej przydatności danych względemwskazanych w Rejestrze.

Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu, są usuwane z systemów informatycznych Administratora, jak też z kartotek papierowych, jednakże dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów informatycznych przetwarzanych przez Administratora. Procedury archiwizacji i tworzenia kopii zapasowych, uwzględniają wymagania kontroli nad cyklem życia danych, a w tym wymogi usuwania danych. Procedury archiwizacji i tworzenia kopii zapasowych zawarte są w Polityce Zarządzania Systemem Informatycznym (załącznik do Polityki).

Dane przetwarzane w formie kartotek papierowych z upływem okresów wskazanych w Rejestrze mogą być usunięte poprzez:

  1. zniszczenie mechaniczne – za pomocą niszczarki, w obecności komisji rewizyjnej w składzie Administrator + Inspektor Ochrony Danych Osobowych (lub inna osoba upoważniona prze Inspektora)
  2. anonimizację – nieodwracalny proces polegający na takim odebraniu atrybutów identyfikacyjnych danych, iż na podstawie przekształconych informacji nie sposób jest kiedykolwiek ponownie zidentyfikować osobę, której dane uległy anonimizacji.

III.6.  BEZPIECZEŃSTWO

  1. Zasady ochrony danych u Administratora

A) Administrator przetwarza Dane  z poszanowaniem następujących zasad:

  1. w oparciu o podstawę prawną zgodnie z prawem (legalizm) – w każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla Przetwarzania Danych osobowych,
  2. rzetelnie i uczciwie (rzetelność) – wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO,
  3. w sposób przejrzysty dla osoby, której dane  dotyczą (transparentność),
  4. w konkretnych celach  i nie „na zapas” (minimalizacja) – Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
  5. nie więcej niż potrzeba (adekwatność) – Dane osobowe są Przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu Przetwarzania Danych osobowych,
  6. z dbałością o prawidłowość danych (prawidłowość) – Dane osobowe są w razie potrzeby uaktualniane,
  7. nie dłużej niż potrzeba (czasowość) – czas przechowywania Danych osobowych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie będą one zanonimizowane bądź usuwane,
  8. zapewniając odpowiednie bezpieczeństwo (bezpieczeństwo) – Dane osobowe są zabezpieczone przed naruszeniami zasad ich ochrony.
  • Analiza ryzyka i adekwatności środków bezpieczeństwa – Administrator przeprowadza i dokumentuje analizy ryzyka oraz adekwatności środków bezpieczeństwa danych osobowych. W tym celu:
  • Administrator zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania — wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych;
  • Administrator kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają;
  • Administrator przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii. Administrator analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych, uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia;
  • Administrator ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania. W tym Administrator ustala przydatność i stosuje takie środki i podejście, jak:
  • pseudonimizacja,
  • szyfrowanie danych osobowych,
  • inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
  • Administrator zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez Administratora.
  •  Ocena skutków dla ochrony danych – Administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizą ryzyka ryzyko naruszenia praw i wolności osób jest wysokie.

Do oceny skutków dla ochrony danych Administrator posługuje się metodologią i aplikacją  PIA (Beta) – Privacy impact assessment – tj. aplikacją francuskiego organu nadzorczego CNIL, mającą pomóc administratorom danych osiągnąć i wykazać zgodność procesów przetwarzania z RODO.

Szczegółowy raport z oceny skutków dla ochrony danych stanowi załącznik do Polityki.

  • Środki bezpieczeństwa – Administrator stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka i oceny adekwatności, co oznacza, że zastosowane środki ochrony (techniczne i organizacyjne) są adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych.
  1. Środki techniczne i organizacyjne
    Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości Przetwarzanych Danych osobowych. Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii Danych osobowych.

Techniczne i organizacyjne środki ochrony Danych osobowych, w tym środki ochrony fizycznej, obejmują w szczególności następujące zabezpieczenia:

  1. opracowanie i wdrożenie niniejszej Polityki,
  2. opracowanie i wdrożenie Polityki Zarządzania Systemem Informatycznym,
  3. opracowanie i wdrożenie Procedury postępowania na wypadek wystąpienia naruszenia ochrony danych,
  4. dopuszczenie do Przetwarzania Danych wyłącznie osób upoważnionych, posiadających ważne upoważnienia nadane im przez Administratora, w możliwie wąskim zakresie,
  5. prowadzenie przez Administratora rejestru osób upoważnionych do przetwarzania danych,
  6. zobowiązane osób upoważnionych do zapoznania się z przepisami dotyczącymi ochrony Danych osobowych,
  7. zobowiązane osób upoważnione do zachowania Danych osobowych oraz sposobu ich zabezpieczania w tajemnicy,
  8. stosowanie pisemnych umów powierzenia przetwarzania Danych osobowych dla współpracy z podwykonawcami Przetwarzającymi Dane osobowe,
  9. kontrola widocznych śladów ingerencji osób trzecich, pożaru, zalania lub innego uszkodzenia przy pierwszym wejściu do obszaru przetwarzania w danym dniu,
  10. zastosowanie systemu alarmowego w budynku, na terenie którego znajduje się obszar przetwarzania danych przez Administratora,
  11. przetwarzanie odbywa się w pomieszczeniu zabezpieczonym drzwiami wyposażonymi w zabezpieczenie w postaci zamka lub kontrolę dostępu,
  12. przestrzeganie zasad przeciwpożarowych w obszarach przetwarzania danych, w tym  zabezpieczenie obszaru, w którym Przetwarzane są Dane osobowe przed skutkami pożaru za pomocą wolnostojącej gaśnicy,której miejsce przechowywania jest odpowiednio oznaczone,
  13. stosowanie zakazu spożywania napojów i płynnych posiłków oraz palenia przy urządzeniach i nośnikach Danych,
  14. dokonywanie Przetwarzania Danych osobowych w warunkach zabezpieczających dane przed dostępem do nich osób nieupoważnionych oraz ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych – inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej (z zastrzeżeniem sytuacji zagrożenia bezpieczeństwa zdrowia, życia i mienia wymagających interwencji służb ratunkowych, np. na skutek uruchomienia się alarmu przeciwpożarowego),
  15. zamykanie na klucz pomieszczeń tworzących obszar Przetwarzania danych osobowych na czas nieobecności pracowników i współpracowników, w sposób uniemożliwiający dostęp do nich osób trzecich,
  16. umieszczanie kluczowych zasobów tak aby ograniczyć do nich dostęp osób nieupoważnionych (m.in. korzystanie z zamykanych, szyfrowanych kasetek na klucze, stosowanie ograniczonej ilości kompletów zasobów kluczowych, dostęp do zasobów kluczowych jedynie wyznaczonych do tego osób),
  17. zakaz korzystania z kopiarek lub innych technik kopiowania i nagrywania wizji (np. skanerów, aparatów cyfrowych, kamer w urządzeniach przenośnych) w obszarach przetwarzania danych bez autoryzacji kierownictwa,
  18. korzystanie ze środków przechowywania i przetwarzania informacji poza siedzibą organizacji wyłącznie w sytuacjach wyjątkowych (np. konieczność pracy zdalnej z uwagi na stan epidemii) i za zezwoleniem kierownictwa,
  19. zakaz pozostawiania w miejscach publicznych bez nadzoru urządzeń lub nośników wynoszonych poza siedzibę Administratora,
  20. zabezpieczenie dokumentów medycznych i nośników zawierających Dane osobowe szczególnych kategorii, poprzez wykorzystanie zamykanych szafek pancernych,
  21. zabezpieczenie dokumentów innych niż medycznych i nośników zawierających Dane osobowe zwykłych kategorii, poprzez wykorzystanie zamykanych szafek,
  22. niszczenie dokumentów zawierających Dane osobowe po ustaniu ich przydatności  w sposób mechaniczny, za pomocą niszczarek dokumentów lub podmiotów zajmujących się profesjonalnie niszczeniem dokumentów, posiadających certyfikat bezpieczeństwa, chyba że obowiązujące przepisy prawa wymagają przechowywania dokumentów,
  23. stosowanie polityki „czystego biurka” i „czystego ekranu”,
  24. ustawienie monitorów komputerów, na których Przetwarzane są Dane osobowe w siedzibie Administratora lub w miejscu przez niego wyznaczonym, w sposób uniemożliwiający wgląd osobom nieupoważnionym do Danych osobowych,
  25. zastosowanie zabudowy meblowej recepcyjnej (podwyższonej lady recepcji) w sposób nieuniemożliwiający osobom trzecim dostęp do materiałów, monitora i dokumentów znajdujących się na biurku recepcyjnym,
  26. zastosowanie oznaczeń podłogowych w celu wyznaczenia bezpiecznej strefy i dystansu pomiędzy osobami stojącymi przy stanowisku recepcyjnym, a  osobami oczekującymi w kolejce,
  27. stosowanie tablic informacyjnych w celu ograniczenia osób znajdujących się jednocześnie przy stanowisko recepcyjnym,
  28. kontrola i nadzór nad Przetwarzaniem danych osobowych,
  29. monitorowanie zastosowanych środków ochrony, m.in. poprzez losowe weryfikowanie działań użytkowników, weryfikowanie ochrony przed atakami zewnętrznymi oraz wewnętrznymi,
  30. dokonywanie aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób oraz zmianach podmiotów przetwarzających,
  31. ograniczenie przetwarzania Danych osobowych w formie papierowej do niezbędnego minimum,
  32. każdorazowa weryfikacja czy sprzęt jest kompletny, nieuszkodzony, czy nie znajdują się na nim ślady zewnętrznej ingerencji – przed rozpoczęciem korzystania ze sprzętu w danym dniu,
  33. wprowadzenie odpowiednich zabezpieczeń na czas czynności konserwacyjnych sprzętu, z uwzględnieniem działań przeprowadzanych przez personel na miejscu lub poza siedzibą Administratora; jeśli zachodzi taka potrzeba i jest to możliwe i zasadne, przed przekazanie do serwisu urządzeń należy wymontować nośniki informacji (dyski twarde),
  34. przestrzeganie instrukcji producenta dotyczących ochrony sprzętu, np. ochrony przed wystawieniem na działanie silnego pola elektromagnetycznego,
  35. weryfikacja i aktualizacja dokumentacji z zakresu ochrony danych osobowych oraz weryfikacja przestrzegania zasad i procedur w niej zawartych, polegającą na sprawdzaniu:
  36. czy dokumentacja zgodna jest z obowiązującymi przepisami prawa;
  37. czy przewidziane w dokumentacji środki ochrony technicznej i organizacyjnej służące przeciwdziałaniu zagrożeniom są zgodne ze stanem rzeczywistym;
  38. czy przestrzegane są zasady, procedury i obowiązki wynikające z tej dokumentacji.
  • Środki zabezpieczeń infrastruktury informatycznej i telekomunikacyjnej

Do podstawowych środków bezpieczeństwa przetwarzania danych w zakresie infrastruktury informatycznej i telekomunikacyjnej u Administratora zaliczają się poniższe:

  1. Przetwarzanie Danych osobowych przy użyciu komputerów przenośnych oraz stacjonarnych (recepcja), zabezpieczonych programem antywirusowym,
  2. zabezpieczenie dostępu do systemu operacyjnego komputera, w którym Przetwarzane są Dane osobowe za pomocą procesu uwierzytelnienia z wykorzystaniem indywidualnego identyfikatora oraz Hasła,
  3. dostęp do dedykowanego systemu/oprogramowania, w którym przetwarzane są dane zawarte w dokumentacji medycznej, zabezpieczony za pomocą procesu uwierzytelnienia z wykorzystaniem indywidualnego identyfikatora oraz Hasła,
  4. stosowanie środków uniemożliwiających wykonywanie nieautoryzowanych kopii Danych osobowych Przetwarzanych przy użyciu systemów informatycznych,
  5. zastosowanie  środków ochrony Danych osobowych przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity,
  6. zastosowanie systemu Firewall do ochrony dostępu do sieci komputerowej,
  7. zamykanie  aktywnych sesji  po zakończeniu pracy,
  8. wyrejestrowywanie się z aplikacji lub usług sieciowych, kiedy nie są już więcej potrzebne,
  9. stosowanie mechanizmów kontroli dostępu do danych przetwarzanych w systemie informatycznym,
  10. w przypadku, kiedy dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, zapewnienie, aby:

-w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator,

-dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia,

  • zapewnienie, aby identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie mógł być przydzielony innej osobie,
  • system informatyczny służący do przetwarzania danych osobowych zabezpieczony jest, co najmniej przed:

-działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,

-utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej,

  • urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające Dane osobowe, przeznaczone do:

– likwidacji — muszą zostać pozbawione wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;

– przekazania podmiotowi nieuprawnionemu do przetwarzania danych — muszą zostać pozbawione wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;

– naprawy — muszą zostać, jeśli jest to możliwe lub zasadne z punktu widzenia naprawy pozbawione wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora lub Podmiotu przetwarzającego, z którym PWDL zawarł umowę zgodnie z at. 28 RODO,

  • ochrona przed zagrożeniami pochodzącymi z sieci publicznej poprzez co najmniej stosowanie oprogramowania antywirusowego,
  • wdrożenie oprogramowania antywirusowego, które umożliwia automatyczną aktualizację oraz wymuszenie regularnego skanowania komputerów przy pomocy oprogramowania antywirusowego,
  • zastosowanie mechanizmu automatycznej blokady dostępu do systemu informatycznego służącego do Przetwarzania Danych osobowych w przypadku braku aktywności użytkownika,
  • zapewnienie cyklicznego wykonywania kopii zapasowych Danych osobowych, nie rzadziej niż __________,
  • wykorzystywanie szyfrowania danych przy ich transmisji,
  • dokonywanie okresowego przeglądu ustanowionych użytkowników systemów i aktualizacji ich nie rzadziej niż raz na rok,
  • przechowywanie  kopii zapasowych/archiwalnych Danych osobowych w  w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem – na bezpiecznym serwerze zlokalizowanym poza obszarem przetwarzania (tj. w bezpiecznej chmurze obliczeniowej dostarczanej przez zewnętrznego dostawcę),
  • przechowywane kopii zapasowych w formie zaszyfrowanej,
  • usuwane kopii zapasowych niezwłocznie po ustaniu ich użyteczności,
  • podejmowanie starań starań, aby na komputerach przenośnych nie zostawały utrwalane/zapisywane żadne dane osobowe szczególnych kategorii, a jeżeli to niemożliwe – przechowywanie danych medycznych na komputerach w formie zaszyfrowanej.

Szczegółowy opis środków bezpieczeństwa dla danych osobowych przetwarzanych w Systemie informatycznym Administratora znajduje się w Polityce Zarządzania Systemem Informatycznym, stanowiącej załącznik do niniejszej Polityki.

  • Środki personalne
  • Administrator odpowiada za nadawanie/anulowanie upoważnień do Przetwarzania Danych osobowych w zbiorach papierowych czy też w systemach informatycznych,
  • wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Polityką ochrony danych osobowych, a także innymi dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem danych osobowych u Administratora,
  • uwzględniając możliwość pojawienia się konieczności wykonywania czynności w miejscu, w którym znajdują się nośniki zawierające Dane osobowe przez osoby z tzw. „personelu technicznego” (w tym np. osoby z serwisu sprzątającego) niemające upoważnienia do Przetwarzania Danych osobowych, Osoby upoważnione obowiązane są w należyty sposób zabezpieczać prowadzoną dokumentację zawierającą Dane osobowe, tak w formie papierowej, jak i elektronicznej, aby osoby nieupoważnione nie miały dostępu do treści Danych osobowych,
  • każda Osoba upoważniona może Przetwarzać Dane osobowe wyłącznie na polecenie Administratora  lub na podstawie przepisów obowiązującego prawa,
  • w przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora,
  • do obowiązków Administratora w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora na podstawie innych umów cywilnoprawnych) należy dopilnowanie, by:
  • Osoby te były odpowiednio przygotowane do wykonywania swoich obowiązków,
  • Osoby te były odpowiednio i cyklicznie (przynajmniej raz do roku) przeszkolone z zakresu ochrony danych osobowych, w tym wymogów zawartych w RODO, przy czym pierwsze szkolenie  powinno odbyć się przed rozpoczęciem przetwarzania danych osobowych u Administratora przez daną osobę,
  • Osoby te były pisemnie upoważnione do przetwarzania zgodnie ze wzorem upoważnienia stanowiącym załącznik do Polityki (lub równoważnym),
  • Osoby te zobowiązały się do zachowania Danych osobowych w tajemnicy i do przestrzegania odpowiednich polityk ochrony danych i procedur związanych z przetwarzaniem danych. Wzór odpowiedniego  oświadczenia stanowi załącznik do Polityki.
  • Pracownicy i współpracownicy Administratora zobowiązani są do:
  • ścisłego przestrzegania zakresu nadanego im upoważnienia,
  • Przetwarzania i ochrony Danych osobowych zgodnie z przepisami,
  • zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia,
  • zgłaszania incydentów związanych z  naruszeniem bezpieczeństwa Danych oraz niewłaściwym funkcjonowaniem systemów informatycznych i teleinformatycznych,
  • upoważnienia w stosunku do podmiotów trzecich, mogą być nadawane także w formie  umowy powierzenia przetwarzania danych,
  • Administrator czuwa nad tym, aby w zakresie upoważnień w sposób szczególny kierować się zasadą minimalizmu i adekwatności,
  • Administrator prowadzi rejestr nadanych  upoważnień do przetwarzania danych, zawierający, m.in. datę nadania i odwołania udzielonego przez Administratora  upoważnienia,
  • Administrator niezwłocznie odwoła udzielone upoważnienie do Przetwarzania Danych osobowych, w przypadku zakończenia obowiązywania umowy o pracę lub zakończenia obowiązywania innego stosunku prawnego będącego podstawą do nadania upoważnienia, o ile upoważnienie nie zostało udzielone na czas obowiązywanie danej umowy,
  • Administrator, poza sytuacją wskazaną powyżej, w każdym czasie może odwołać udzielone upoważnienie, jeżeli Przetwarzanie Danych osobowych przestało być konieczne do realizacji czynności przez osobę upoważnioną na podstawie zawartych umów z Administratorem  lub w przypadku, gdy osoba upoważniona Przetwarza Dane osobowe niezgodnie z nadanym jej upoważnieniem.
  • Zgłaszanie naruszeń – Administrator stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia. Szczegółowy proces związany z identyfikacją naruszeń oraz ich zgłaszaniem opisany jest w „Procedurze postępowania na wypadek wystąpienia naruszenia ochrony danych” , stanowiącej załącznik do niniejszej Polityki.

III.7. PRZETWARZAJĄCY

  1. Administrator może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej lub elektronicznej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO i tylko jeżeli są to dane, które może ujawnić bez naruszenia tajemnicy zawodowej.
    1. Przed powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.
      1. Administrator posiada narzędzia doboru  podmiotów przetwarzających dane na rzecz Administrator opracowane w celu zapewnienia, aby przetwarzający dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na Administratorze.
      1. Głównym narzędziem realizującym gwarancje wskazane powyżej, jest posługiwanie się opracowanym na potrzeby Administratora wzorcem „Umowy powierzenia przetwarzania danych”, stanowiącym załącznik do Polityki (lub w wyjątkowych sytuacjach korzystanie z innych wzorców, zawierających  minimalne wymagania co do umowy powierzenia przetwarzania danych określone w art. 28 RODO), a także zestaw pytań audytowych, służących weryfikacji potencjalnego procesora pod względem jego standardów ochrony danych osobowych.
      1.  Administrator rozlicza przetwarzających z wykorzystania podprzetwarzających, jak też z innych wymagań wynikających z umowy powierzenia przetwarzania danych osobowych.
      1. Administrator może pełnić funkcję Podmiotu przetwarzającego w przypadku pisemnego zlecenia mu przez innego administratora przetwarzania danych osób, co do których administrator dysponuje prawem przetwarzania ich danych.
      1. W przypadku, o którym mowa w pkt 6 powyżej Administrator, działający jako Podmiot przetwarzający, zobowiązuje się dbać o ochronę powierzonych danych osobowych, z dbałością co najmniej tak wysoką, jak w przypadku danych osobowych, wobec których jest Administratorem danych, z uwzględnieniem wszelkich procedur i polityk dotyczących ochrony i bezpieczeństwa danych wynikających z niniejszej Polityki.

III.8. EKSPORT DANYCH

,

  1. Dane osobowe przetwarzane przez Administratora nie są z jego inicjatywy i przez niego przekazywane poza Europejski Obszar Gospodarczy (EOG w 2019 r. = Unia Europejska, Islandia, Liechtenstein i Norwegia).
  2. Administrator może przekazać dane osobowych do państwa trzeciego (np. w związku z wysłaniem do klienta zwrotnej wiadomości e-mail z wykorzystaniem serwerów Google w Stanach Zjednoczonych – z uwagi na fakt korzystania przez klienta z usługi G-mail), jedynie z inicjatywy lub na wniosek  osoby, której dane dotyczą.
  3. Administrator zapewnia, że żaden podmiot – poza podmiotami świadczącymi niezbędne usługi na rzecz Administratora – nie uzyskuje dostępu do jakichkolwiek danych, które pozwalałyby mu na ustalenie tożsamości klientów Administratora.
  4. W przypadku wyjątków, o których mowa w pkt 3 powyżej, opisane przekazywanie danych odbywa się w oparciu o stosowną umowę pomiędzy Administratorem a danym podmiotem, zawierającą standardowe klauzule ochrony danych, bądź też w oparciu o decyzję Komisji Europejskiej z dnia 12 lipca 2016 r. stwierdzającą odpowiedni poziom ochrony danych w programie „Tarcza Prywatności”.
  5. Informacje na temat wszelkich planowanych zmian w zakresie przekazywania danych osób poza EOG, dostępne będą na stronie internetowej Administratora z przynajmniej 7-dniowym wyprzedzeniem.
  6. Administrator rejestruje w Rejestrze przypadki eksportu danych, czyli przekazywania danych poza Europejski Obszar Gospodarczy

III.9. PROJEKTOWANIE PRYWATNOŚCI

  1. Administrator zarządza wszelkimi zmianami mającymi wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizacji ich przetwarzania.
  2. W tym celu zasady prowadzenia nowych projektów i inwestycji rozwojowych Administratora odwołują się do zasad bezpieczeństwa danych osobowych i minimalizacji, wymagając oceny wpływu na prywatność, ochronę danych, uwzględnienia i zaprojektowania bezpieczeństwa oraz minimalizacji przetwarzania danych już na etapie planowania projektu czy inwestycji.

IV. POSTANOWIENIA KOŃCOWE

  1. Polityka jest wewnętrzną regulacją Administratora i jest objęta tajemnicą przedsiębiorstwa.  Każda Osoba upoważniona jest zobowiązana do zachowania treści Polityki w poufności i nieudostępniania jej osobom nieupoważnionym bez wyraźnego polecenia Administratora.
  2. Administrator wskazuje, że w przypadku, gdyby analiza działalności gospodarczej Administratora wymagała zmiany w zakresie bezpieczeństwa Przetwarzanych Danych osobowych lub zmianie uległy okoliczności wpływające na określenie zasad bezpieczeństwa dotyczących Danych osobowych, dokona aktualizacji i dostosowania Polityki, uwzględniając ww. okoliczności. O zmianie Polityki, Administrator powiadomi Osobę upoważnioną na co najmniej 7 dni przed wejściem w życie jej zaktualizowanej treści. 
  3. Za niedopełnienie obowiązków wynikających z niniejszego dokumentu współpracownicy Administratora i podmioty, którym Administrator na mocy odpowiedniej umowy powierzenia przetwarzana danych powierzył przetwarzanie Danych ponosi odpowiedzialność na podstawie RODO, ustawy o ochronie danych osobowych oraz Kodeksu karnego w odniesieniu do danych osobowych objętych tajemnicą zawodową.
  4. Polityka niniejsza wchodzi w życie z dniem 01.09.2020 r.
  5. Integralną część niniejszej Polityki stanowią następujące załączniki:


V. WYKAZ ZAŁĄCZNIKÓW

  1. Raport z Analizy ryzykaPolityka Zarządzania Systemem InformatycznymWzór Umowy powierzenia przetwarzania danych osobowychWzór Rejestru Czynności Przetwarzania DanychWzór Rejestru Kategorii Przetwarzania DanychWzór Rejestru naruszeń ochrony danych osobowychWzór Rejestru żądań i realizacji praw osób, których dotyczą dane osoboweWzór Rejestru upoważnień Wzór Rejestru udostępnień dokumentacji medycznej (art. 27 ust.4 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta)Wzór Rejestru  umów powierzenia danych osobowych Wzór Rejestru zgód na przetwarzanie danych osobowych Wzór Rejestru klauzul informacyjnychPolityka realizacji praw osób, których dane dotycząInformacje o przetwarzaniu danych osobowych dla poszczególnych kategorii osób:

(pacjentów, pracowników,kandydatów do pracy, zleceniobiorców, współpracowników, kontrahentów, osób pełniących funkcję w organach spółki Administratora (np. wspólników, członków zarządu, prokurentów i likwidatorów),

uczestników szkoleń i warsztatów

  1. Procedura postępowania na wypadek wystąpienia naruszenia ochrony danych
    1. Wzór formularza Zgłoszenia naruszenia ochrony danych osobowych do UODO
    1. Wzór Powiadomienia o naruszeniu ochrony danych osobowych – zawiadomienie osoby, której dane dotyczą
    1. Wzór Upoważnienia do przetwarzania danych osobowych
    1. Wzór Oświadczenia do upoważnienia do przetwarzania danych osobowych
    1. Zasady postępowania w wybranych sytuacjach związanych ze zwiększonym ryzykiem naruszenia praw pacjentów, w związku z przetwarzaniem danych osobowych przez podmiot leczniczy.