POLITYKA PRYWATNOŚCI

Home/POLITYKA PRYWATNOŚCI

Polityka Ochrony Danych Osobowych w Twoim Centrum Medycznym sp. z o.o. z siedzibą w Łomiankach

 

Zapewniając środki organizacyjne ochrony danych osobowych zgodnie z art. 24 ust. 1 Rozporządzenia Parlamentu i Rady Europejskiej (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) TWOJE CENTRUM MEDYCZNE sp. z o.o. z siedzibą w Łomiankach  wprowadza Politykę ochrony danych osobowych.

§ 1 Definicje

Terminy używane w dalszej treści Polityki mają następujące znaczenie:

 

Administrator TWOJE CENTRUM MEDYCZNE sp. z o.o. z siedzibą w Łomiankach
Dane dotyczące zdrowiadane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;
Dane osoboweInformacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane osobowe szczególnej kategoriiDane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej.
Dane osobowe dotyczące wyroków skazujących Dane osobowe dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa.
Forma elektronicznaForma prowadzenia dokumentów zawierających Dane osobowe w systemie informatycznym, w sposób pozwalający na ustalenie osoby składającej oświadczenie oraz zapoznanie się z treścią oświadczenia; forma dokumentowa w rozumieniu kodeksu cywilnego.
InstytutBudynek przy ul. Warszawskiej 55/3 w Łomiankach
KomplementariuszTWOJE CENTRUM MEDYCZNE sp. z o.o. z siedzibą w Łomiankach
Naruszenie danych osobowychNaruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego
z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Ocena skutków dla ochrony danychKwalifikowana analizy ryzyka i ocena adekwatności środków ochrony Danych osobowych dla planowanych procesów przetwarzania Danych osobowych.
Odbiorca danychOsoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się Dane osobowe.
Opiekun prawnyPrzedstawiciel prawny działający w imieniu Pacjenta na podstawie przepisów prawa lub prawomocnego wyroku sądowego.
Organ nadzorczyOrgan właściwy w sprawie ochrony danych osobowych na terenie Rzeczpospolitej Polskiej.
Osoba, której dane dotycząOsoba, która jest możliwa do zidentyfikowania na podstawie przetwarzanych Danych osobowych, w tym Pacjent, Opiekun prawny
Osoba działająca
z upoważnienia
Osoba fizyczna wykonująca wewnątrz organizacji Administratora działania na jego rzecz niezależnie od formy prawnej jej zatrudnienia przetwarzająca Dane osobowe na podstawie upoważnienia.
PersonelOsoby fizyczne wykonujące wewnątrz organizacji działania na rzecz Administratora niezależnie od formy prawnej ich zatrudnienia.
Podmiot przetwarzającyOsoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza Dane osobowe w imieniu Administratora na podstawie umowy powierzenia przetwarzania danych osobowych.
PodręcznikPodręcznik dla Personelu zawierające najważniejsze zasady przetwarzania Danych osobowych u Administratora.
PolitykaNiniejsza Polityka ochrony danych osobowych.
Portale społecznościowe Facebook, Google +, twitter, youtube, instagram.
PacjentOsoba korzystająca ze świadczeń zdrowotnych udzielanych przez Administratora
RODORozporządzenia Parlamentu i Rady Europejskiej (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Strona internetowahttp://tcmed.pl/
System informatycznySprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, zasad przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
ZarządCzłonek Zarządu Komplementariusza.

§ 2 Postanowienia ogólne

  1. Administrator jest podmiotem leczniczym świadczącym usługi medyczne.
  2. W zakresie przetwarzania danych osobowych Administrator jest zobowiązany do stosowania powszechnie obowiązujących przepisów prawa, w szczególności:

2.1. Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta;

2.2. Ustawy o działalności leczniczej.

  1. Administrator gwarantuje, że Dane osobowe są przetwarzane u Administratora :
    • zgodnie z prawem, rzetelnie i w sposób przejrzysty dla Osoby, której dane dotyczą;
    • wyłącznie w uzasadnionym celu;
    • z zachowaniem zasady minimalizacji Danych osobowych;
    • prawidłowe i w razie potrzeby uaktualniane;
    • wyłącznie przez okres koniecznych do realizacji celów;
    • w sposób zapewniający bezpieczeństwo Danych osobowych.
  2. Administrator przetwarza dane w sposób umożliwiający wykazanie spełniania obowiązków wynikających z RODO.
  3. Administrator przetwarza Dane osobowe w sposób tradycyjny (papierowy) oraz w sposób częściowo zautomatyzowany tj. przy użyciu Systemów informatycznych.
  4. Administrator przekazuje Dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie zgodnie z wymogami RODO oraz dbając o to, by nie został naruszony stopień ochrony Osób, której dane dotyczą.
  • 3 Zasady Polityki

 

  1. Polityka została sporządza uwzględniając charakter, zakres, kontekst i cele przetwarzania Danych osobowych oraz ryzyko naruszenia praw lub wolności Osób, której dane dotyczą o różnym prawdopodobieństwie i wadze zagrożenia.
  2. Podstawę opracowania Polityki stanowił audyt danych osobowych oraz środków organizacyjnych i technicznych u Administratora – w tym ich ocena pod kątem naruszenia praw lub wolności Osób, której dane dotyczą o różnym prawdopodobieństwie i wadze zagrożenia.
  3. Polityka określa zasady przetwarzania Danych osobowych przez Administratora, w tym określa obowiązki Administratora w zakresie przetwarzania Danych osobowych.
  4. Za wdrożenie Polityki u Administratora odpowiedzialny jest Zarząd.
  5. Politykę stosuje Administrator, Personel, Podmiot przetwarzający.
  • 4 Rozpoczęcie przetwarzania Danych Osobowych
  1. Administrator przed rozpoczęciem przetwarzania Danych osobowych:
    • przeprowadza Ocenę skutków dla ochrony danych w przypadkach opisanych w § 12 Polityki;
    • określa cel przetwarzania Danych osobowych;
    • określa zakres Danych osobowych koniecznych do osiągnięcia celu przetwarzania Danych osobowych;
    • określa okres przetwarzania Danych osobowych niezbędny do osiągnięcia celu przetwarzania Danych osobowych;
    • ustala podstawę prawną przetwarzania danych w oparciu o cel przetwarzania Danych osobowych.
  2. Administrator podejmując działania, o których mowa w ust. 1 powyżej kieruje się zasadami określonymi w § 2 ust. 3 Polityki.
  3. Podstawę przetwarzania Danych osobowych u Administratora może stanowić:
    • zgoda Osoby, której dane dotyczą na przetwarzanie swoich Danych osobowych w jednym lub większej liczbie określonych celów;
    • wykonanie umowy, której stroną jest Osoba, której dane dotyczą, lub podjęcie działań na żądanie Osoby, której dane dotyczą, przed zawarciem umowy;
    • wypełnienie obowiązku prawnego ciążącego na Administratorze;
    • ochrona żywotnych interesów Osoby, której dane dotyczą, lub innej osoby fizycznej;
    • wykonanie zadania realizowanego w interesie publicznym;
    • prawnie uzasadnione interesy realizowane przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa
      i wolności Osoby, której dane dotyczą, wymagające ochrony Danych osobowych, w szczególności, gdy Osoba, której dane dotyczą, jest dzieckiem.
  4. W przypadku przetwarzania Danych osobowych na podstawie zgody Osoby, której dane dotyczą Administrator zapewnia, aby:
    • zapytanie o zgodę w pisemnym oświadczeniu zostało przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem;
    • wyrażona zgoda była dobrowolna,
    • Osoba, której dane dotyczą mogła ją w dowolnym momencie wycofać w taki sam sposób, w jaki nastąpiło jej wyrażenie;
    • jasną i przejrzysty informację dla Osoby, której Dane dotyczą, o możliwości wycofania zgody.
    • niezwłoczne zaprzestaje przetwarzania Danych osobowych, w przypadku wycofania zgody, z zastrzeżeniem przetwarzania Danych osobowych na innej podstawie
    • wyrażenie zgody na przetwarzanie Danych osobowych nie może stanowić warunku zawarcia umowy lub świadczenia usługi.
  5. Administrator jest uprawniony do zautomatyzowanego przetwarzanie Danych osobowych wskutek którego Osoby, której dane dotyczą podlega decyzji wywołującej skutki prawne lub istotnie wpływającą na nią
    w podobny sposób, jeżeli ta decyzja:

    • jest niezbędna do zawarcia lub wykonania umowy między Osobą, której dane dotyczą,
      a Administratorem;
    • jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega Administrator
      i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów Osoby, której dane dotyczą; lub
    • opiera się na wyraźnej zgodzie Osoby, której dane dotyczą.
  6. Podstawę przetwarzania Danych osobowych szczególnej kategorii stanowi:
    • wyraźna zgoda Osoba, której dane dotyczą na przetwarzanie tych Danych osobowych w jednym lub kilku konkretnych celach, chyba że obowiązujące przepisy prawa stanowi, iż Osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania Danych osobowych szczególnej kategorii;
    • wypełnienie obowiązków i wykonywanie szczególnych praw przez Administratora lub Osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone powszechnie obowiązującymi przepisami prawa;
    • ochrona żywotnych interesów Osoby, której dane dotyczą, lub innej osoby fizycznej, a Osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
    • przetwarzanie Danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
    • przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
    • cel – profilaktyka zdrowotna lub medycyna pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w RODO;
    • względy związane z interesem publicznym w dziedzinie zdrowia publicznego, takie jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie powszechnie obowiązujących przepisów prawa;
    • cele archiwalne w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, na podstawie powszechnie obowiązujące przepisy prawa, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów Osoby, której dane dotyczą.
  7. Przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa Administrator dokonuje wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone przez powszechnie obwiązujące przepisy prawa.
  • 5 Obowiązki Administratora wobec Osoby, której dane dotyczą
  1. Administrator gwarantuje poszanowanie praw Osób, których dane dotyczą, a w szczególności prawa do uzyskania informacji.
  2. Podczas zbierania danych osobowych od Osoby, której dane dotyczą Administrator podaje Osobie, której dane dotyczą informacje, o których mowa w Załączniku nr 1 do Polityki.
  3. W przypadku zbierania Danych osobowych przez Administratora bezpośrednio od Osoby, której dane dotyczą:
    • w Instytucie– Administrator informuje o przetwarzaniu Danych osobowych w informacji umieszczonej na recepcji.
    • poprzez stronę internetową – Administrator informuje o przetwarzaniu Danych osobowych na odpowiedniej podstronie internetowej;
    • poprzez korespondencję pocztową – Administrator informuje o przetwarzaniu Danych osobowych w osobnym dokumencie stanowiącym Załącznik do korespondencji pocztowej;
    • poprzez korespondencję mailową – Administrator informuje o przetwarzaniu Danych osobowych w stopce maila;
    • będącej Personelem lub podmiotem świadczącym usługi na rzecz Administratora – Administrator informuje o przetwarzaniu Danych osobowych w osobnym dokumencie stanowiącym załącznik do umowy o pracę albo umowy o świadczenie usług;
    • będącej Pacjentem lub Opiekunem prawny – Administrator informuje o przetwarzaniu Danych osobowych w osobnym dokumencie.
  4. Jeżeli Administrator nie uzyskał danych bezpośrednio od Osoby, której dane dotyczą, Administrator przekazuje informacje, o których mowa w Załączniku nr 2 do Polityki:
    • najpóźniej w terminie miesiąca od dnia pozyskania Danych osobowych;
    • jeżeli dane osobowe mają być stosowane do komunikacji z Osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z Osobą, której dane dotyczą; lub
    • jeżeli planuje się ujawnić Dane osobowe Odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
  5. W przypadku zbierania Danych osobowych przez Administratora nie bezpośrednio od Osoby, której dane dotyczą
    • poprzez korespondencję mailową – Administrator informuje o przetwarzaniu Danych osobowych w stopce oraz odesłaniu do podstrony internetowej.
    • poprzez korespondencję pocztową – Administrator informuje o przetwarzaniu Danych osobowych w osobnym dokumencie stanowiącym Załącznik do korespondencji pocztowej.
    • 6 Realizacja praw Osób, których dane dotyczą
  6. Administrator gwarantuje respektowanie praw Osób, których dane dotyczą w zakresie:
    • potwierdzenia przetwarzania Danych osobowych;
    • uzyskania dostępu do Danych osobowych;
    • uzyskania kopii Danych osobowych;
    • żądania uzupełnienia, sprostowania Danych osobowych;
    • prawa sprzeciwu wobec przetwarzania Danych osobowych;
    • prawa do usunięcia Danych osobowych;
    • prawa do ograniczenia Danych osobowych;
    • prawa do przenoszenia Danych osobowych.
  7. Wnioski o realizację praw Osób, której dane dotyczą można złożyć w formie pisemnej lub elektronicznej na adres mailowy przygotowany przez Administratora do realizacji wniosków.
  8. W przypadku wpływu wniosku Osoby, której dane dotyczą każdy Członek Personelu jest zobowiązany przekazać wniosek Osoby, której dane dotyczą Zarządowi.
  9. W przypadku braku informacji pozwalających na zidentyfikowanie Osoby, której dane dotyczą, Administrator w miarę możliwości informuje o tym Osobę, której Dane dotyczą.
  10. Administrator udziela informacji:
    • bez zbędnej zwłoki nie później niż w terminie miesiąca od dnia otrzymania żądania od Osoby, której dane dotyczą o  działaniach podjętych na żądanie Osoby, której dane dotyczą;
    • W terminie trzech miesięcy od dnia otrzymania żądania, w przypadku poinformowania Osoby, której dane dotyczą o przyczynie przedłużenia terminu z uwagi na skomplikowany charakter żądania lub liczbę żądań.
    • niezwłocznie, lecz nie później niż w terminie miesiąca od otrzymania żądania, w przypadku, gdy Administrator nie podejmuje działań w związku z żądaniem Osoby, której dane dotyczą, Administrator o:
    • powodach niepodjęcia działań;
    • możliwości wniesienia skargi do Organu Nadzorczego;
    • skorzystania z ochrony prawnej przed sądem.
  11. Za realizację żądań Osoby, której dane dotyczą odpowiada Zarząd.
  12. Personel zobowiązany jest do uczestnictwa w działaniach Zarządu w celu realizacji żądania Osoby, której dane dotyczą i zastosowanie poleceń Zarządu, które wynikają z realizacji żądania Osoby, której dane dotyczą.
  13. Administrator udziela odpowiedzi Osobie, której dane dotyczą w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie.
  14. Odpowiedzi udziela się:
    • na piśmie
    • lub w inny sposób, w tym w stosownych przypadkach – elektronicznie.
    • Ustnie, jeżeli osoba, której dane dotyczą, tego zażąda, odpowiedzi można udzielić, o ile innymi sposobami potwierdzi się tożsamość Osoby, której dane dotyczą.

PRAWO DOSTĘPU DO DANYCH OSOBOWYCH

  1. Administrator umożliwia Osobie, której dane dotyczą
    • uzyskanie potwierdzenia, czy przetwarzane są Dane osobowe jej dotyczące, \
    • jeżeli przetwarzanie ma miejsce, również uzyskanie dostępu do Danych osobowych oraz następujących informacji:
      • cele przetwarzania;
      • kategorie Danych osobowych;
      • informacje o odbiorcach lub kategoriach Odbiorców, którym Dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
      • w miarę możliwości planowany okres przechowywania Danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
      • informacje o prawie do żądania od Administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego Osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
      • informacje o prawie wniesienia skargi do Organu nadzorczego;
      • jeżeli Dane osobowe nie zostały zebrane od Osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
      • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla Osoby, której dane dotyczą
      • odpowiednie zabezpieczenia w przypadku przy przekazywaniu do państwa trzeciego lub organizacji międzynarodowej.
  1. Administrator dostarcza osobie, której Dane dotyczą, kopię Danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której Dane dotyczą, Administrator pobiera opłatę w wysokości wynikającej z kosztów administracyjnych. Administrator jest uprawniony do ustalenia regulaminu opłat za udostępniania kolejnych kopii.

PRAWO DO SPROSTOWANIA

  1. Administrator dokonuje sprostowania nieprawidłowych Danych osobowych na żądanie Osoby, której dane dotyczą, niezwłocznie po otrzymaniu takiego żądania.
  2. Administrator uzupełnia niekompletne Dane osobowe na żądanie osoby, której Dane dotyczą, niezwłocznie po otrzymaniu takiego żądania.

USUNIĘCIE DANYCH OSOBOWYCH

  1. Na żądanie osoby, której Dane dotyczą, Administrator usuwa dotyczące je Dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
    • Dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
    • Osoba, której Dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie, i nie ma innej podstawy prawnej przetwarzania;
    • Osoba, której Dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której Dane dotyczą, wnosi sprzeciw wobec przetwarzania w celu marketingu bezpośredniego;
    • Dane osobowe były przetwarzane niezgodnie z prawem;
    • Dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega Administrator;
    • Dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
  2. Jeżeli Administrator upublicznił Dane osobowe, które ma obowiązek usunąć, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować Administratorów przetwarzających te Dane osobowe, że Osoba, której Dane dotyczą, żąda, by Administratorzy ci usunęli wszelkie łącza do tych Danych, kopie tych Danych osobowych lub ich replikacje.
  3. Wniosek o którym mowa w ust. 14 powyżej nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne:
    • do korzystania z prawa do wolności wypowiedzi i informacji;
    • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;
    • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
    • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, o ile prawdopodobne jest, że usunięcie Danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
    • do ustalenia, dochodzenia lub obrony roszczeń.

OGRANICZENIE PRZETWARZANIA DANYCH OSOBOWYCH

  1. Administrator ogranicza przetwarzanie Danych osobowych na żądanie osoby, której Dane dotyczą, w następujących przypadkach:
    • Osoba, której dane dotyczą, kwestionuje prawidłowość Danych osobowych – na okres pozwalający Administratorowi sprawdzić prawidłowość Danych osobowych;
    • przetwarzanie jest niezgodne z prawem, a Osoba, której dane dotyczą, sprzeciwia się usunięciu Danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
    • Administrator nie potrzebuje już Danych osobowych do celów przetwarzania, ale są one potrzebne Osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
    • Osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu Osoby, której dane dotyczą.
  2. Administrator w okresie ograniczenia przetwarzania Danych osobowych jest uprawniony wyłącznie do przechowywania Danych osobowych.
  3. Przetwarzanie Danych osobowych jest dopuszczalne w szerszym zakresie niż określony w ust. 17 powyżej wyłącznie:
    • za zgodą Osoby, której dane dotyczą, lub
    • w celu ustalenia, dochodzenia lub obrony roszczeń, lub
    • w celu ochrony praw innej osoby fizycznej lub prawnej, lub
    • z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
  4. Przed uchyleniem ograniczenia przetwarzania Administrator informuje o tym Osobę, której dane dotyczą, która żądała ograniczenia.

COFNIĘCIE ZGODY

  1. Jeżeli przetwarzanie odbywa się na podstawie zgody Osoby, której dane dotyczą, i w sposób zautomatyzowany, Administrator umożliwia osobom, których Dane dotyczą, otrzymanie kopii ich Danych osobowych w formie elektronicznej, w formacie powszechnie używanym, ustrukturyzowanym formacie, nadającym się do odczytu maszynowego, umożliwiającym tej osobie przesłanie Danych osobowych do innego dostawcy usług, odczytanie Danych osobowych w sposób automatyczny przez innego dostawcę i korzystanie z Danych osobowych w ramach usług innego dostawcy.
  2. O ile jest to technicznie możliwe, na żądanie Osoby, której dane dotyczą, Administrator przesyła Dane osobowe bezpośrednio innemu Administratorowi.

SPRZECIW WOBEC PRZETWARZANIA DANYCH OSOBOWYCH

  1. Administrator zaniecha przetwarzania Danych osobowych niezwłocznie po otrzymaniu sprzeciwu Osoby, której dane dotyczą, jeżeli przetwarzanie było niezbędne do wykonania zadania realizowanego w interesie publicznym lub do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią. Administrator może nie uwzględnić sprzeciwu, jeżeli wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności Osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
  2. Administrator zaniecha przetwarzania Danych osobowych do celów marketingu bezpośredniego niezwłocznie po otrzymaniu sprzeciwu Osoby, której dane dotyczą, wobec przetwarzania do takich celów.

 

  • 7 Środki organizacyjne i techniczne
  1. Realizując swoje obowiązki Administrator współpracuje z inspektorem ochrony danych – w przypadku powołania inspektora, Podmiotami Przetwarzającymi, a także Organem nadzorczym.
  2. Administrator stosuje następujące środki organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z powszechnie obowiązującymi przepisami prawa, w tym RODO:
    • opracował i wdrożył Politykę;
    • opracował Podręcznik dla Personelu;
    • Polityka jest stosowana i aktualizowana zgodnie z jej postanowieniami;
    • do przetwarzania danych są dopuszczone wyłącznie Osoby działające z upoważnienia i na polecenie Administratora oraz Podmioty przetwarzające na podstawie umowy powierzenia przetwarzania danych osobowych;
    • Osoby działające z upoważnienia zostały przeszkolone w zakresie powszechnie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz Polityki za pomocą Podręcznika;
    • Osoby działające z upoważnienia zostały zobowiązane do zachowania Danych osobowych w tajemnicy oraz mogą z mocy prawa przetwarzać Dane osobowe, w tym Dane dotyczące zdrowia.
    • Podmioty przetwarzające Dane osobowe gwarantują ochronę Danych osobowych zgodnie z powszechnie obowiązującymi przepisami prawa;
    • przetwarzanie Danych osobowych dokonywane jest w warunkach zabezpieczających Dane osobowe przed dostępem osób nieupoważnionych oraz przed ich utratą,
    • przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są Dane osobowe jest dopuszczalne tylko w obecności Osoby działającej z upoważnienie lub Administratora oraz w warunkach zapewniających bezpieczeństwo Danych osobowych,
    • Administrator prowadzi rejestr czynności przetwarzania, zgodnie z RODO;
    • Administrator monitoruje Naruszenia ochrony danych osobowych i dokonuje wymaganych przez przepisy prawa zgłoszeń i zawiadomień;
    • Administrator dokonuje analizy przetwarzania danych osobowych;
    • Administrator przeprowadza Ocenę skutków dla ochrony danych osobowych;
    • Administrator przeprowadził Analizę wyznaczenia inspektora;
    • Administrator współpracuje z Organem nadzorczym;
    • przekazywanie Danych osobowych do podmiotów trzecich (udostępnianie i powierzanie) jest nadzorowane oraz odbywa się na zasadach zgodnych z RODO.
  3. Przetwarzanie danych osobowych odbywa się w obszarach przetwarzania Danych osobowych, którego wykaz pomieszczeń stanowi Załącznik nr 3 do Polityki.
  4. Administrator stosuje następujące środki techniczne ochrony Danych osobowych:
    • zabezpieczenia pomieszczeń, w których przetwarzane są Dane osobowe;
    • zabezpieczenia sprzętowe infrastruktury informatycznej i telekomunikacyjnej;
    • zabezpieczenia narzędzi programowych i baz danych (techniczne i programowe).
  5. Szczegółowy opis zabezpieczeń zawarty jest w Załącznik nr 4 do Polityki.

 

  • 8 Osoby działające z upoważnienia
  1. Administrator zobowiązuje się, że Dane osobowe zawarte w dokumentacji medycznej będą przetwarzały jedynie:
    • osoby wykonujące zawód medyczny;
    • inne osoby wykonujące czynności pomocnicze przy udzielaniu świadczeń zdrowotnych, a także czynności związane z utrzymaniem systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnieniem bezpieczeństwa tego systemu, na podstawie upoważnienia Administratora.
  2. Przed rozpoczęciem przetwarzania Danych osobowych Osoby działające z upoważnienia:
    • zapoznają się z zasadami ochrony Danych osobowych u Administratora poprzez szkolenie lub udostępnienie Podręcznika;
    • otrzymują pisemne upoważnienie do przetwarzania Danych osobowych u Administratora, którego wzór stanowi Załącznik nr 5 do Polityki;
    • zobowiązują się do zachowania tajemnicy przetwarzanych Danych osobowych, zgodnie z Załącznik nr 6 do Polityki.
  3. Osoby działające z upoważnienia przetwarzają Dane osobowe wyłącznie na polecenie Administratora, które zostało określone w upoważnieniu.
  4. Administrator odwołuje udzielone upoważnienie w przypadku:
    • nieobecności Osoby działającej z upoważnienia dłuższej niż 3 miesiące dni;
    • nieobecności Osoby działającej z upoważnienia w czasie wprowadzania zmian w zakresie ochrony Danych osobowych u Administratora;
    • zaprzestania wykonywania przez Osobę działającą z upoważnienia obowiązków uzasadniających potrzebę upoważnienia jej do przetwarzania danych osobowych;
    • rozwiązania stosunku prawnego łączącego Osobę działającą z upoważnienia z Administratorem;
    • naruszenia zasad ochrony Danych osobowych określonych w Polityce lub obowiązujących przepisach prawa.
  5. Administrator prowadzi ewidencję upoważnień, której wzór stanowi Załącznik nr 7 do Polityki.
  6. Administrator prowadzi ewidencję upoważnień w Formie elektronicznej.
  7. Ewidencja upoważnień jest aktualizowana niezwłocznie po każdej zmianie informacji w niej zawartych.
  8. W przypadku zmian przepisów dotyczących ochrony Danych osobowych Administrator niezwłocznie organizuje informuje Personel o zmianach poprzez:
    • organizację szkolenie dla Personelu w zakresie zmian przepisów lub
    • aktualizację Podręcznika.
    • 9 Powierzanie przetwarzania danych osobowych
  9. Administrator może powierzyć przetwarzanie Danych osobowych Podmiotowi przetwarzającemu w drodze umowy zawartej w formie pisemnej lub w Formie elektronicznej.
  10. Administrator przed powierzeniem danych osobowych weryfikuje Podmiot przetwarzający pod kątem zapewnienia przez Podmiot przetwarzający wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, w tym w szczególności wiedzy fachowej, wiarygodności, doświadczenia i zasobów w zakresie ochrony Danych osobowych. Zapewnienie może polegać na przyjęciu oświadczeń Podmiotu przetwarzającego.
  11. Podmiot przetwarzający może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 RODO, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42 RODO.
  12. W przypadku niespełnienia wymagań ochrony Danych osobowych przez Podmiot przetwarzający Administrator do dnia dostosowania środków ochrony Danych osobowych przez Podmiot przetwarzający nie powierza przetwarzania Danych osobowych Podmiotowi przetwarzającemu.
  13. Podmiot przetwarzający jest uprawniony do dalszego powierzenia przetwarzania Danych osobowych wyłącznie za uprzednią zgodą Administratora oraz wyłącznie podmiotowi, który zapewnia wystarczające gwarancje, by przetwarzanie spełniało wymogi obowiązujących przepisów prawa i Polityki oraz chroniło prawa Osób, których dane dotyczą.
  14. Umowa pomiędzy Podmiotem przetwarzającym a podmiotem, któremu zlecono dalsze powierzenie przetwarzania Danych osobowych powinna stanowić, że podmiot, któremu zlecono dalsze przetwarzanie Danych osobowych jest zobowiązany do wykonywania obowiązków Podmiotu przetwarzającego wynikających z umowy powierzenia.
  15. Podmiot przetwarzający obowiązany jest wykorzystywać powierzone mu Dane osobowe wyłącznie w celach i w zakresie, które zostały wskazane w zawartej z nim umowie, jak również zachować poufność Danych osobowych powierzonych mu do przetwarzania.
  16. Podmiot przetwarzający obowiązany jest między innymi do:
    • przetwarzania Danych osobowych wyłącznie na udokumentowane polecenie Administratora,
    • stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzania Danych osobowych odpowiednią do zagrożeń oraz kategorii Danych osobowych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem powszechnie obowiązujących przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
    • zobowiązania osób, które zostały upoważnione do przetwarzania Danych osobowych do zachowania w tajemnicy tych danych oraz sposobów i zabezpieczania;
    • zgłaszania stwierdzenia Naruszeń ochrony danych osobowych;
    • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora usunięcia lub zwrócenia mu wszelkich Danych osobowych oraz usunięcia wszelkich ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie Danych osobowych;
    • udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w niniejszym artykule;
    • umożliwienia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
    • 10 Rejestr czynności przetwarzania
  17. Liczba osób zatrudnionych u Administratora nie przekracza 250 osób, jednak w związku z przetwarzanie Danych szczególnej kategorii Administrator od dnia 25 maja 2018 roku prowadzi rejestr czynności przetwarzania Danych osobowych wobec, których jest Administratorem.
  18. Wzór rejestru czynności przetwarzania stanowi Załącznik nr 8 do Polityki.
  19. Administrator prowadzi rejestr, o których mowa w ust. 1 w Formie elektronicznej.
  20. Administrator udostępnia rejestr czynności przetwarzania na żądanie Organu nadzorczego.
  21. W przypadku, gdy w ramach zawarcia umowy z podmiotem trzecim Administratorowi zostaną powierzone Dane Osobowe przez podmiot trzeci Administrator jest zobowiązany do prowadzenia rejestru kategorii czynności.
  22. Wzór rejestru kategorii czynności przetwarzania stanowi Załącznik nr 9 do Polityki.
  23. Administrator prowadzi rejestr, o których mowa w ust. 6 w Formie elektronicznej.
  24. Rejestry, o których mowa w ust. 1 i 6 powyżej, są aktualizowane regularnie, nie rzadziej niż co 3 miesiące.
  25. Na żądanie Organu nadzorczego Administrator udostępnia mu rejestry, o których mowa w ust. 1 i 6 powyżej.
  • 11 Procedura postępowania w przypadku Naruszenia ochrony danych osobowych
  1. W przypadku stwierdzenia Naruszenia ochrony danych osobowych lub prawdopodobieństwa Naruszenia ochrony danych osobowych, każdy członek Personelu jest zobowiązany niezwłocznie powiadomić o tym fakcie Zarząd, a następnie stosować się do podjętych przez niego decyzji.
  2. Administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin od godziny stwierdzenia naruszenia – zgłasza je Organowi Nadzorczemu.
  3. W przypadku dokonania zgłoszenia Organowi Nadzorczemu po upływie 72 godzin Administrator dołącza wyjaśnienie przyczyn opóźnienia.
  4. Administrator nie jest zobowiązany do dokonania zgłoszenia w przypadku, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
  5. Wzór zgłoszenia stanowi Załącznik nr 10 do Polityki.
  6. Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą o Naruszeniu ochrony danych osobowych.
  7. Wzór zawiadomienia osoby, której dane dotyczą stanowi Załącznik nr 11 do Polityki.
  8. Administrator nie jest zobowiązany do dokonania zawiadomienia osoby, której dane dotyczą w przypadku, gdy naruszenie ochrony danych osobowych:
    • nie powoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych;
    • Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
    • Administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
    • zawiadomienie wymagałoby niewspółmiernie dużego wysiłku.
  9. W przypadku, gdy zawiadomienie wymagałoby niewspółmiernie dużego wysiłku Administrator wyda komunikat na Stronie internetowej lub na Portalach społecznościowych lub zastosuje podobny środek, za pomocą którego Osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
  10. Administrator prowadzi postępowanie wyjaśniające, w toku, którego przeprowadza analizę ryzyka naruszenia praw lub wolności, ustala przyczynę zaistniałego zagrożenia lub incydentu, wskazuje jakie są jego potencjalne skutki oraz jakie działania zaradcze należy podjąć w celu naprawy tego stanu.
  11. Administrator ustala również osoby odpowiedzialne za naruszenie oraz zabezpiecza dowody w danej sprawie i dokumentuje swoje ustalenia.
  12. Administrator jest także odpowiedzialny za analizę incydentów bezpieczeństwa lub zagrożeń ochrony danych osobowych w celu ustalenia, czy istnieje konieczność podjęcia działań korygujących lub zapobiegawczych.
  13. Jeśli Administrator taką potrzebę stwierdza, określa źródło powstania incydentu lub zagrożenia, zakres działań korygujących lub zapobiegawczych, termin realizacji oraz osobę odpowiedzialną.
  14. Administrator jest odpowiedzialny za nadzór nad poprawnością i terminowością wdrażanych działań korygujących lub zapobiegawczych.
  15. Wszystkie powyższe czynności są przez Administrator rejestrowane w Rejestrze Naruszeń ochrony danych osobowych, które wzór stanowi załącznik nr 12 do Polityki
  • 12 Procedura Oceny skutków dla ochrony danych osobowych
  1. Administrator przed rozpoczęciem planowanego przetwarzania danych osobowych dokonuje Oceny skutków dla ochrony danych osobowych planowanych operacji przetwarzania Danych osobowych, gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
  2. Ocena skutków dla ochrony danych osobowych wymagana jest w przypadku:
    • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
    • przetwarzania na dużą skalę Danych osobowych szczególnej kategorii lub Danych osobowych dotyczących wyroków skazujących i naruszeń prawa;
    • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
  3. Dokonując weryfikacji, czy dane przetwarzane są na dużą skalę, Administrator uwzględnia:
    • liczbę Osób, których dane dotyczą – konkretna liczba albo procent określonej grupy

społeczeństwa;

  • zakres przetwarzanych Danych osobowych;
  • okres, przez jaki Dane osobowe są przetwarzane;
  • zakres geograficzny przetwarzania Danych osobowych.
  1. W przypadku rezygnacji z przeprowadzania oceny skutków dla ochrony danych osobowych w przypadku planowanego przetwarzania danych osobowych Administrator sporządza oświadczenie wraz
    z uzasadnieniem dla niedokonania oceny oddziaływania na ochronę danych osobowych
  2. Dokonując Oceny skutków dla ochrony danych osobowych Administrator konsultuje się z Inspektorem.
  3. Dokonując Oceny skutków dla ochrony danych osobowych, Administrator jest uprawniony do konsultacji z Personelem, audytorami, prawnikami i informatykami lub innymi osobami, których wiedza i doświadczenie jest niezbędne do przeprowadzenia Oceny skutków dla ochrony danych osobowych.
  4. Jeżeli dana operacja przetwarzania jest całkowicie lub częściowo realizowana przez Podmiot przetwarzający, Administrator jest uprawniony do konsultacji z Podmiotem przetwarzającym.
  5. Administrator jest uprawniony do zlecenia podmiotom zewnętrznym przeprowadzenia Oceny skutków dla ochrony danych osobowych.
  6. Ocena skutków dla ochrony danych osobowych przetwarzania zawiera co najmniej:
    • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez Administratora;
    • charakter, kontekst, zakres i cele przetwarzania danych osobowych;
    • zidentyfikowane aktywa za pomocą, których przetwarzane są dane osobowe;
    • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
    • zidentyfikowane źródła ryzyka;
    • ocenę ryzyka naruszenia praw lub wolności Osób, których dane dotyczą wraz z prawdopodobieństwem i powagą wystąpienia takiego ryzyka;
    • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę Danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów Osób, których dane dotyczą, i innych osób, których sprawa dotyczy, w szczególności środki mające na celu zminimalizowanie ryzyka.
  7. Ocena skutków dla ochrony Danych powinna rozpocząć się jak najwcześniej w fazie projektowania operacji przetwarzania Danych Osobowych. Jeżeli zachodzi taka potrzeba, w szczególności ze względu na zastosowane w projekcie środki techniczne lub organizacyjne, w miarę postępu procesu rozwoju lub w związku z istotną modyfikacją procesu, poszczególne etapy oceny należy powtórzyć.
  8. Administrator dokonuje przeglądu Ocen skutków dla ochrony danych osobowych, by stwierdzić, czy przetwarzanie Danych osobowych odbywa się zgodnie z Oceną skutków dla ochrony danych osobowych.
  9. Administrator konsultuje się z Organem nadzorczym przed rozpoczęciem przetwarzania, jeżeli Ocena skutków dla ochrony danych osobowych, wykazała, że przetwarzanie powodowałoby wysokie ryzyko, w szczególności, gdy wystąpienie ryzyka może skutkować znaczącymi, a nawet nieodwracalnymi skutkami dla Osoby, której dane będą przetwarzane.
  10. Administrator dokonuje ponownej Oceny skutków dla ochrony danych osobowych nie rzadziej niż raz na trzy lata, w szczególności w miarę postępów środków technologicznych stosowanych przez Administratora.
  11. W celu przyczynienia się do zwiększenia zaufania, którym obdarza się Administratora, Administrator jest uprawniony do publikacji wniosków z Oceny skutków dla ochrony Danych w BIP.

 

  • 13 Procedura powołania Inspektora
  1. Administrator wyznaczy inspektora ochrony danych w przypadku, gdy:
    • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematyczne­go monitorowania osób, których dane dotyczą, na dużą skalę; lub
    • główna działalność administratora lub podmiotu przetwarza­jącego polega na przetwarzaniu na dużą skalę szczególnych ka­tegorii danych osobowych, danych osobowych dotyczących wyroków skazujących i czynów zabronionych.
  2. Administrator wyznaczy inspektora ochrony danych na podstawie kwalifikacji zawodowych, a w szczególności:
    • odpowiedniej wiedzy z zakresu krajowych i europejskich przepisów o ochronie Danych osobowych i praktyk, jak również dogłębnej znajomość RODO;
    • wiedzy na temat danego sektora i Administratora;
    • wiedzy na temat operacji przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u Administratora i jego potrzeb w zakresie ochrony Danych osobowych;
    • wiedzy w zakresie procedur administracyjnych i funkcjonowania Administratora;
    • cech osobowych, w tym rzetelnego podejścia i wysokiego poziomu etyki zawodowej;
    • kwalifikacji, w tym umiejętności z zakresu skutecznego dzielenia się wiedzą, komunikacji, zarządzania projektami, negocjacji czy mediacji.
    • umiejętności wypełnienia zadań, o których mowa w ust. 12 poniżej.
  3. Inspektor może być członkiem Personelu lub wykonywać zadania na podstawie umowy o świadczenie usług.
  4. Inne zadania, które wykonuje Inspektor nie mogą powodować konfliktu interesów co do zadań o których mowa w ust. 12 poniżej.
  5. U Administratora następujące stanowiska nie mogą być łączone z funkcją inspektora ochrony danych:
    • Komplementariusz;
    • Członkowie Zarządu Komplementariusza.
  6. Administrator opublikuje dane kontaktowe Inspektora na Stronie internatowej i zawiadomi o jego wyznaczeniu Organ nadzorczy w terminie 14 dni do dnia wyznaczenia Inspektora.
  7. Administrator zapewnia, aby Inspektor był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych, w szczególności zapewnia:
    • Udział Inspektora w spotkaniach przedstawicieli wyższego i średniego szczebla u Administratora;
    • Udostępnianie Inspektora wszelkich informacji dotyczących planowanego przetwarzania danych osobowych odpowiednio wcześniej, umożliwiając Inspektor zajęcie stanowiska;
    • Uwzględnianie stanowiska Inspektora w decyzjach o przetwarzaniu Danych osobowych, a w przypadku postępowania niezgodnie z nim udokumentowanie przypadków i postępowania niezgodnego z zaleceniami Inspektora ochrony Danych osobowych.
    • Uczestnictwo Inspektora przy podejmowaniu decyzji dotyczących przetwarzania Danych osobowych.
  8. Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań.
  9. Administrator zapewnia Inspektora zasoby niezbędne do wykonania tych zadań oraz dostęp do Danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
  10. Administrator ani Członkowie Personelu nie są uprawnienia do wydawania instrukcji co do wykonywania zadań Inspektora tj. co do:
    • dotyczących sposobu rozpoznania sprawy;
    • środków jakie mają zostać podjęte;
    • celu jaki powinien zostać osiągnięty,
    • faktu, czy należy skontaktować się z organem nadzorczym;
    • przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony Danych osobowych.
  11. Administrator jest zobowiązany do uwzględnienia stanowiska Inspektora. W przypadku nieuwzględnienia stanowiska Administrator jest zobowiązany do sporządzenia udokumentowania przypadków i powodów postępowania niezgodnie ze stanowiskiem Inspektora.
  12. Inspektor ma następujące zadania:
    • informowanie Administratora, członków Personelu, którzy przetwarzają Dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie Danych osobowych i doradzanie im w tej sprawie;
    • monitorowanie przestrzegania RODO, Polityki, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty
    • udzielanie na żądanie zaleceń co do oceny oddziaływania na ochronę Danych osobowych oraz monitorowanie jej wykonania;
    • współpraca z Organem nadzorczym;
    • pełnienie funkcji punktu kontaktowego dla Organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami co do oceny skutków dla ochrony Danych osobowych oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
  13. Inspektor wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

 

  • 14 Procedura współpracy z Organem nadzorczym
    1. Administrator współpracuje z Organem nadzorczym w ramach wykonywania przez niego swoich zadań.
    2. Administrator na żądanie Organu nadzorczego udostępnia mu rejestr czynności przetwarzania w celu monitorowania operacji przetwarzania.
    3. Administrator umożliwia Inspektorowi – w przypadku wyznaczenia -kontakt z Organem nadzorczym.
    4. Administrator konsultuje się z Organem Nadzorczym w przypadkach, o których mowa w § 13 Polityki.
    5. Administrator zgłasza Organowi nadzorczemu Naruszenia ochrony danych osobowych, zgodnie z § 12 Polityki.
    6. Administrator jest zobowiązany dostarczyć Organowi nadzorczy wszystkie informacje i dokumenty wymagane przez Organ nadzorczy.
    7. Administrator oraz Personel na każde żądanie Organu nadzorczy są zobowiązani do złożenia zeznania, wydania opinii, okazania przedmiotu oględzin albo udziału w innej czynności urzędowej.
    8. Administrator jest zobowiązany do współpracy z kontrolującym podczas przeprowadzonej kontroli.
    9. Każdy członek Personelu po powzięciu informacji lub zawiadomienia o przeprowadzeniu kontroli przez Organ nadzorczy jest zobowiązany do niezwłocznego poinformowania Administratora.
    10. Administrator jest zobowiązany zapewnić:
  • wstęp na grunt oraz do budynków, lokali lub innych pomieszczeń;
  • wgląd do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli;
  • przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
  1. Administrator oraz Personel są zobowiązani do złożenia pisemnych lub ustnych wyjaśnień kontrolującemu.
  2. Administrator zapewnia kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, a w szczególności sporządza we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub w systemach informatycznych Administratora.
  3. Administrator jest zobowiązany wykonywać zobowiązania nałożone przez Organ nadzorczy w wyniku natychmiastowo wykonalnych lub prawomocnych decyzji albo postanowień.

 

  • 15 Zakończenie przetwarzania Danych osobowych
  1. Administrator kończy przetwarzanie Danych osobowych po ustaniu celu, dla którego Dane osobowe były przetwarzane lub w przypadku otrzymania zasadnego, zgodnego z prawem wniosku o usunięcie Danych osobowych, oświadczenia o cofnięciu zgody lub sprzeciwu wobec przetwarzania Danych osobowych.
  2. Zakończenie przetwarzania Danych osobowych odbywa się poprzez:
    • trwałe i nieodwracalne usunięcie Danych osobowe z Systemów informatycznych lub
    • likwidację nośników informacji zawierających Dane osobowe poprzez pozbawienia wcześniej zapisu tych Danych osobowych, a w przypadku, gdy nie jest to możliwe, uszkodzenie w sposób uniemożliwiający ich odczytanie lub
    • zniszczenie dokumentów zawierających Dane osobowe w sposób trwały i nieodwracalny, uniemożliwiający ich ponowny odczyt.
  3. Z przeprowadzenia zakończenia przetwarzania Danych osobowych sporządza się protokół.
  4. Administrator wyznaczy osobę odpowiedzialną za dokonanie czynności koniecznych do zakończenia przetwarzania Danych osobowych.
  5. Administrator każdorazowo w umowach z Podmiotami przetwarzającymi ureguluje okresów retencji Danych osobowych.
  • 16 Aktualizacja środków ochrony danych osobowych
  1. Odpowiedzialny za wdrożenie Polityki jest Dyrektor.
  2. Administrator dokonuje przeglądu i sprawdzenia Polityki pod kątem zgodności:
    • z obowiązującymi przepisami prawa;
    • z organizacją przetwarzania danych osobowych u Administratora;
    • z wprowadzanymi zamianami w systemach informatycznych
    • z stosowanymi środkami technicznymi i organizacyjnymi ochrony danych osobowych;
    • z rekomendacjami Organu nadzorczego;
    • z wytycznymi, zaleceniami oraz najlepszymi praktykami określonymi przez Europejską Radę Ochrony Danych na podstawie art. 70 ust. 1 lit. d-j i m RODO. Krajowej Rady Fizjoterapeutów;
    • uchwalonych Kodeksów postępowania dotyczących podmiotów leczniczych.
  3. Administrator monitoruje rekomendacjami Organu nadzorczego, wytycznymi, zaleceniami oraz najlepszymi praktykami określonymi przez Europejską Radę Ochrony Danych na podstawie art. 70 ust. 1 lit. d-j i m RODO uwzględnia je w swoich działaniach.
  4. Administrator dokonuje odpowiednich zmian Polityki wynikających z przeglądu i sprawdzenia Polityki.
  5. Administrator wyznacza Inspektora w przypadku zmiany okoliczności stanowiących podstawę jego wyznaczenia.
  6. Administrator informuje o zamianach Polityki Personel.
  7. Administrator prowadzi rejestr zmian Polityki, który stanowi Załącznik 13 do Polityki
  8. Administrator przynajmniej raz do roku dokonuje przeglądu wszystkich Systemów informatycznych przetwarzających dane osobowe oraz środków technicznych i organizacyjnych ochrony danych osobowych;
  9. Administrator może, stosownie do potrzeb, przeprowadzić wewnętrzny audyt zgodności przetwarzania danych z przepisami o ochronie danych osobowych.
  10. Zakres, przebieg i rezultaty audytu dokumentowane są zgodnie z wytycznymi Administratora.
  11. Administrator może zlecić przeprowadzenie audytu zewnętrznego przez wyspecjalizowany podmiot.
  • 17 Postanowienia końcowe
  1. Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.
  2. W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy obowiązujących przepisów prawa.
  3. Polityka wchodzi w życie w dniu 25 maja 2018 roku.
  4. Z dniem wejścia w życie Polityki uchyla się Politykę Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe w Filharmonii Narodowej.
  5. Załącznik do Polityki:
    • Wzór klauzuli informacyjnej Administratora, gdy pozyskuje dane bezpośrednio od Osoby, której dane dotyczą.
    • Wzór klauzuli informacyjnej Administratora, gdy pozyskuje dane nie bezpośrednio od Osoby, której dane dotyczą.
    • Obszary przetwarzania Danych osobowych.
    • Opis zabezpieczeń.
    • Wzór Upoważnienia.
    • Wzór Oświadczenia.
    • Ewidencja udzielonych upoważnień.
    • Rejestr czynności przetwarzania.
    • Rejestr kategorii przetwarzania
    • Wzór zgłoszenia Naruszenia ochrony danych osobowych do Organu Nadzorczego.
    • Wzór zawiadomienia Osoby, której dane dotyczą.
    • Rejestr Naruszeń ochrony danych osobowych.
    • Rejestr zmian Polityki.