POLITYKA OCHRONY DANYCH OSOBOWYCH

BRZEZIŃSKI MAREK ROMAN

INDYWIDUALNA PRAKTYKA LEKARSKA

 

Niniejsza Polityka Ochrony Danych Osobowych, zwana dalej: „Polityką”, została sporządzona przede wszystkim w zgodzie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm., dalej: „RODO”), ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (t.j. Dz. U. z 2019 r. poz. 1127 z późn. zm., dalej: „u.p.p.”) oraz ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (t.j. Dz. U. z 2020 r. poz. 295 z późn. zm.).

Polityka stanowi zbiór spójnych, precyzyjnych reguł i zasad, według których Administrator danych osobowych przetwarza dane osobowe Pacjentów, jak również zarządza oraz udostępnia zasobami i systemami informacyjnymi.

Polityka ustanawia zasady bezpieczeństwa przetwarzania danych osobowych osób fizycznych, w szczególności w zgodzie z zasadami uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych.

Administrator danych osobowych ma na uwadze, aby przetwarzanie danych polegało w szczególności na: minimalizacji przetwarzania, jak najszybszej pseudonimizacji danych, przejrzystości co do funkcji i przetwarzania, a także umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych.

Administrator danych osobowych stosuje środki w celu zapewnienia bezpieczeństwa przetwarzania danych, w szczególności doskonali zabezpieczenia systemów służących przetwarzaniu danych.

Wszystkie osoby, o których mowa w niniejszej Polityce zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa oraz postanowieniami Polityki, a także innymi dokumentami wewnętrznymi i procedurami związanymi z przetwarzaniem danych osobowych w gabinecie lekarskim lekarza Marka Brzezińskiego.

 

DEFINICJE

Użyte w Polityce definicje są wspólne dla wszystkich dokumentów powiązanych z niniejszą Polityką oraz dla pozostałych dokumentów, które zostały przyjęte przez Administratora danych osobowych w zakresie ochrony danych.

1. Administrator danych osobowych (ADO, Administrator) – lekarz Marek Brzeziński, prowadzący działalność gospodarczą pod firmą „Brzeziński Marek Roman – Indywidualna Praktyka Lekarska”, NIP: 584-250-21-01, którego gabinet lekarski mieści się w Płocku przy ulicy Jachowicza 16 lok. 6 (09-402 Płock).
2. Dane osobowe (lub „dane”) – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
3. Dane osobowe szczególnej kategorii – dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
4. Osoba upoważniona – osoba, która otrzymała od Administratora danych osobowych upoważnienie do przetwarzania danych lub została wyznaczona i jest uprawniona do przetwarzania danych osobowych.
5. Upoważnienie – oświadczenie nadawane przez ADO wskazujące z imienia i nazwiska osobę, która ma prawo przetwarzać dane w zakresie wskazanym w tym oświadczeniu.
6. Podmiot przetwarzający – organizacja lub osoba, której Administrator danych osobowych powierzył przetwarzanie danych osobowych.
7. Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
8. Pseudonimizacja danych – przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji.
9. Rejestr – Rejestr czynności przetwarzania danych osobowych.

 

INFORMACJE OGÓLNE

Polityka stanowi zbiór wymogów, zasad i regulacji ochrony danych osobowych przetwarzanych w ramach praktyki lekarskiej wykonywanej przez lekarza Marka Brzezińskiego.

Polityka składa się z:

1. opisu zasad ochrony danych osobowych, obowiązujących u Administratora;
2. załączników uszczegóławiających i uzupełniających niniejszą Politykę.

 

Celem Polityki jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonywać obowiązki Administratora w zakresie bezpieczeństwa danych osobowych. W szczególności do celów Polityki należy:

1. 1. zabezpieczenie zasobów systemów, infrastruktury technicznej, sprzętu i osprzętu przed kradzieżą, zniszczeniem lub uszkodzeniem;
   2. uniemożliwienie instalowania i posługiwania się oprogramowaniem nielegalnym lub niebezpiecznym;
   3. uniemożliwienie dostępu do informacji zawartych w systemach informatycznych osobom do tego nieupoważnionym;
   4. uniemożliwienie zniszczenia lub nieuprawnionej zmiany danych osobowych;
   5. zabezpieczenie przed kradzieżą dokumentacji zawierającej dane osobowe.

 

Za nadzór i monitorowanie przestrzegania postanowień Polityki odpowiada Administrator.

Administrator oraz wszyscy pracownicy Administratora obowiązani są stosować niniejszą Politykę. Administrator zapewnia zgodność postępowania pracowników Administratora z niniejszą Polityką w odpowiednim zakresie, gdy dochodzi do przekazania im przez niego danych osobowych.

Polityka jest przechowywana przez Administratora w wersji elektronicznej. Może być także przechowywana w wersji papierowej, w miejscu wykonywania przez Administratora działalności gospodarczej.

Administrator udostępnia Politykę do wglądu osobom upoważnionym do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, w celu zapoznania się z treścią Polityki.

Dla skutecznej realizacji Polityki Administrator zapewnia:

1. odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne;
2. kontrolę i nadzór nad przetwarzaniem danych osobowych;
3. monitorowanie zastosowanych środków ochrony.

 

Kryteriami ochrony danych osobowych są:

1. legalność – Administrator dba o ochronę prywatności i przetwarza dane zgodnie z prawem;
   

1. bezpieczeństwo – Administrator zapewnia odpowiedni poziom bezpieczeństwa danych;
2. ochrona praw jednostki – Administrator umożliwia osobom, których dane przetwarza, wykonywanie ich praw i prawa te realizuje, z uwzględnieniem wyłączeń odnoszących się do wykonywania przez niego zadań ustawowych;
3. rozliczalność – Administrator dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność z prawem ich realizacji.

 

Dane osobowe są przetwarzane przez Administratora z poszanowaniem poniższych zasad:

1. w oparciu o podstawę prawną i zgodnie z prawem (legalizm); 
2. rzetelnie i uczciwie (rzetelność);
3. w sposób przejrzysty dla osoby, której dane dotyczą (transparentność); 
4. w konkretnych celach i nie „na zapas” (minimalizacja);
5. nie więcej niż potrzeba (adekwatność);
6. z dbałością o prawidłowość danych (prawidłowość); 
7. nie dłużej niż potrzeba (czasowość);
8. z zapewnieniem odpowiedniego bezpieczeństwa danych (bezpieczeństwo).

 

Przetwarzanie danych osobowych następuje głównie w gabinecie lekarskim lekarza Marka Brzezińskiego, mieszczącym się w Płocku przy ulicy Jachowicza 16 lok. 6 (09-402 Płock).

Dane osobowe przetwarzane są nadto na będących własnością Administratora komputerach przenośnych oraz innych nośnikach danych znajdujących się poza obszarem gabinetu lekarskiego, o którym mowa powyżej.

 

SYSTEM OCHRONY DANYCH OSOBOWYCH

System ochrony danych osobowych Administratora składa się w szczególności z następujących elementów:

1. Inwentaryzacja danych. Administrator dokonuje identyfikacji zasobów danych osobowych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych, w tym:
   1. przypadków przetwarzania danych osobowych szczególnej kategorii;
   2. przypadków przetwarzania danych osób, których Administrator nie identyfikuje;
   3. przypadków przetwarzania danych dzieci;
   4. profilowania;
   5. współadministrowania danymi;
2. Rejestr. Administrator opracowuje, prowadzi i utrzymuje Rejestr. Rejestr jest narzędziem rozliczania zgodności z ochroną danych. Wzór Rejestru stanowi załącznik nr 2 do Polityki. Rejestr prowadzony jest w postaci elektronicznej i uzupełniany przez Administratora po każdorazowym zidentyfikowaniu nowej czynności związanej z przetwarzaniem danych;
3. Podstawy prawne. Administrator zapewnia, identyfikuje oraz weryfikuje podstawy prawne przetwarzania danych i rejestruje je w Rejestrze, w tym inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy przetwarzanie danych odbywa się na podstawie prawnie uzasadnionego interesu;
4. Obsługa praw jednostki. ADO spełnia obowiązki względem osób, których dane przetwarza oraz zapewnia obsługę ich praw, realizując żądania osób, których dane dotyczą, w tym:
   1. obowiązki informacyjne – przekazuje informacje przy zbieraniu danych i w innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tego obowiązku;
   2. możliwość wykonania żądań – weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania osoby, której dane dotyczą;
   3. obsługa żądań – zapewnia odpowiednie procedury, aby żądania osób były realizowane w terminach i w sposób wymagany przez RODO, a także aby były dokumentowane;
   4. zawiadomienie o naruszeniach – stosuje procedury pozwalające na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych;
5. Minimalizacja. Administrator stosuje zasady i metody zarządzania minimalizacją (privacy by default), a w tym:
   1. zasady zarządzania adekwatnością danych;
   2. zasady reglamentacji i zarządzania dostępem do danych;
   3. zasady zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności;
6. Bezpieczeństwo. ADO zapewnia odpowiedni poziom bezpieczeństwa danych, w tym stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Prezesowi Urzędu Ochrony Danych Osobowych;
7. Podmioty przetwarzające. Administrator określa zasady doboru Podmiotów przetwarzających, wymogów co do warunków przetwarzania (umowa powierzenia), zasad weryfikacji wykonywania umów powierzenia. Wzór umowy powierzenia danych osobowych stanowi załącznik nr 3 do Polityki.
8. Privacy by design. Administrator zarządza zmianami mającymi wpływ na prywatność osób fizycznych. W tym celu procedury wdrożone przez Administratora uwzględniają konieczność oceny wpływu zmiany na ochronę danych, zapewnienie prywatności już w fazie projektowania.
9. Przetwarzanie danych osobowych szczególnych kategorii. ADO identyfikuje przypadki, w których przetwarza lub może przetwarzać dane osobowe szczególnej kategorii oraz zapewnia zgodność z prawem przetwarzania takich danych. W przypadku zidentyfikowania przetwarzania danych tego rodzaju, Administrator postępuje zgodnie z przyjętymi zasadami w tym zakresie.
10. Współadministrowanie – Administrator identyfikuje przypadki współadministrowania danymi i postępuje w tym zakresie zgodnie z przyjętymi zasadami.

 

OBOWIĄZKI I KOMPETENCJE ADMINISTRATORA

Administrator swoimi działaniami i organizacją zapewnia, że:

1. dane osobowe przetwarzane są w sposób legalny, na podstawie art. 6 ust. 1 lit. b) i c), art. 9 ust. 2 lit. h) RODO, art. 24 u.p.p. lub innych właściwych przepisów prawa. W przypadku konieczności pozyskania zgody na przetwarzanie danych osobowych Administrator pozyska zgodę, której treść będzie spełniać przesłanki wyliczone w art. 7 RODO;
2. zakres pozyskiwanych danych wynika z przepisów prawa i jest adekwatny do zdefiniowanych celów przetwarzania;
3. został określony konkretny czas, przez jaki dane są przetwarzane;
4. osoby, których dane są przetwarzane zostały poinformowane, zgodnie z art. 12-14 RODO, przy czym wzór klauzuli informacyjnej znajduje się w załączniku nr 1 do Polityki;
5. obowiązek informacyjny wobec Pacjentów Administratora może być wykonywany poprzez umieszczenie na tablicy informacyjnej w gabinecie lekarskim. Administrator zamieści również klauzulę informacyjną na stronie internetowej, jak również okaże Pacjentowi treść klauzuli przy pierwszym kontakcie z Pacjentem;
6. ze wszystkimi współpracującymi podmiotami gospodarczymi zostały zawarte, stosownie do treści przepisu art. 28 ust. 3 RODO, umowy powierzenia przetwarzania danych osobowych lub w umowach podstawowych (głównych) zostały wprowadzone postanowienia odnoszące się do obowiązków zapewnienia przestrzegania przepisów dotyczących ochrony danych osobowych;
7. jeżeli dane osobowe nie zostały pozyskane bezpośrednio od osób, których dotyczą, Administrator musi osoby te powiadomić w skuteczny sposób, umożliwiający im powzięcie wiedzy o przetwarzaniu danych.

 

Wszystkie dane osobowe są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:

1. w każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych;
2. dane są przetwarzane rzetelnie i w sposób przejrzysty;
3. dane zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nie są przetwarzane dalej w sposób niezgodny z tymi celami;
4. dane są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu ich przetwarzania;
5. dane osobowe są prawidłowe i w razie potrzeby uaktualniane;
6. czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, dla których zostały zebrane, a po tym okresie są one usuwane;
7. wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO;
8. dane są zabezpieczone przed wszelkimi naruszeniami ich ochrony.

 

Administrator nie przekazuje osobom, których dane dotyczą informacji w sytuacji, w której dane te muszą zostać poufne zgodnie z obowiązkiem zachowania w tajemnicy informacji związanych z Pacjentem (art. 14 ust. 5 lit. d) RODO oraz art. 13 u.p.p.).

 

Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:

1. naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe;
2. udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym;
3. zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;
4. niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
5. przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
6. spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych;
7. naruszenie praw osób, których dane są przetwarzane.

 

W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych osoba, której dane zostały naruszone zobowiązana jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora.

 

PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH

Administrator dokumentuje w Rejestrze podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania.

Wskazując ogólną podstawę prawną (zgoda, umowa, obowiązek prawny, żywotne interesy, zadanie publiczne/władza publiczna, uzasadniony interes), jak również podstawę prawną przy przetwarzaniu danych osobowych szczególnych kategorii (profilaktyka zdrowotna, diagnoza medyczna, zapewnienie opieki zdrowotnej, leczenie) ADO dookreśla podstawę w czytelny sposób, gdy jest to potrzebne.

Pracownik Administratora ma obowiązek znać podstawy prawne, zgodnie z którymi dokonuje konkretnych czynności przetwarzania danych osobowych. Jeżeli podstawą jest uzasadniony interes, pracownik ma obowiązek znać konkretny realizowany przetwarzaniem interes. Oświadczenie pracownika w tym zakresie zawiera wzór upoważnienia do przetwarzania danych stanowiący załącznik nr 4 do Polityki.

 

REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH

Rejestr stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę informacyjną względem procesu przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.

Rejestr prowadzi Administrator. Inwentaryzuje i monitoruje w nim sposób, w jaki wykorzystuje dane osobowe.

Rejestr jest jednym z podstawowych narzędzi umożliwiających Administratorowi rozliczanie obowiązków związanych z ochroną danych.

W Rejestrze, dla każdej czynności przetwarzania danych, którą Administrator uznał za odrębną dla potrzeb Rejestru, odnotowuje w szczególności:

1. nazwę czynności;
2. dane administratora/współadministratora;
3. cel przetwarzania;
4. opis kategorii osób i opis kategorii danych;
5. opis kategorii odbiorców danych;
6. informację o przekazaniu danych do państwa trzeciego;
7. planowany termin usunięcia danych;
8. ogólny opis technicznych i organizacyjnych środków ochrony danych.

 

Wzór Rejestru stanowi Załącznik nr 2 do Polityki. Wzór Rejestru może zawierać także kolumny nieobowiązkowe. Pełniejsza treść Rejestru ułatwia zarządzanie zgodnością ochrony danych i rozliczenie się z niej.
 

PRZEJRZYSTE INFORMOWANIE I PRZEJRZYSTA KOMUNIKACJA ADMINISTRATORA Z OSOBĄ, KTÓREJ DANE DOTYCZĄ

Administrator dba o czytelność oraz styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza, a także dba o dotrzymywanie prawnych terminów realizacji obowiązków względem tych osób.

Administrator wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych.

W celu realizacji praw jednostki ADO zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany.

Jeśli nie znajdują zastosowania wyłączenia odnoszące się do realizacji zadań ustawowych, Administrator w szczególności:

1. określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych;
2. informuje osobę o przedłużeniu ponad jeden miesiąc terminu na rozpatrzenie żądania tej osoby;
3. informuje osobę przy pozyskiwaniu danych osobowych od tej osoby o przetwarzaniu jej danych;
4. informuje osobę o przetwarzaniu jej danych, także w sytuacji pozyskiwania danych o tej osobie od osoby trzeciej;
5. określa sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, tam gdzie to jest możliwe;
6. informuje osobę o planowanej zmianie celu przetwarzania danych;
7. informuje osobę o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe;
8. informuje osobę o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą;
9. bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.

 

PROCEDURA REJESTRACJI PACJENTÓW

Rejestracja Pacjentów w gabinecie lekarskim Administratora odbywa się przede wszystkim telefonicznie.

Weryfikacja tożsamości Pacjenta odbywa się w sposób nieutrudniający dostępu do uzyskania świadczenia zdrowotnego z ograniczeniem ryzyka uzyskania danych osobowych przez osobę trzecią. 

Po przybyciu Pacjenta do gabinetu lekarskiego dokonujący rejestracji pracownik Administratora, w szczególności:

1. prosi Pacjenta o okazanie dokumentu weryfikującego tożsamość;
2. jeżeli Pacjent odmawia okazania dokumentu weryfikującego tożsamość, prosi Pacjenta o podanie danych identyfikacyjnych, tj. numeru PESEL lub innego numeru identyfikacji.

 

Jeżeli Pacjent dobrowolnie bez wezwania okazuje dokument weryfikujący tożsamość lub przekazuje ustnie informacje, umożliwiające ustalenie tożsamości nie należy odmawiać przyjęcia dobrowolnie podanych danych (motyw 57 RODO).

Ustalenie tożsamości Pacjenta jest elementem wymaganym przepisami prawa zarówno na gruncie u.p.p. (art. 25 ust. 1), jak również ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (art. 20) oraz ustawy z dnia 28 kwietnia 2011 r. o systemie informacji o ochronie zdrowia (t.j. Dz. U. z 2019 r. poz. 408 z późn. zm.). 

 

ŻĄDANIA OSÓB, KTÓRYCH DANE DOTYCZĄ

Jeśli nie znajdują zastosowania wyłączenia odnoszące się do realizacji zadań ustawowych, Administrator:

1. realizując prawa osób, których dane dotyczą, wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich; w szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób, ADO może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu;
2. informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw;
3. informuje osobę, w terminie miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych;
4. na żądanie osoby dotyczące dostępu do jej danych, informuje osobę, czy przetwarza jej dane oraz o szczegółach przetwarzania, zgodnie z art. 15 RODO, a także udziela osobie dostępu do danych jej dotyczących; dostęp do danych może być zrealizowany przez wydanie kopii danych, z uwzględnieniem prawidłowego sposobu udostępniania dokumentacji medycznej (art. 27 u.p.p.);
5. na żądanie wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania kopii danych; 
6. dokonuje sprostowania nieprawidłowych danych na żądanie osoby; ADO ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga; w przypadku sprostowania danych ADO informuje osobę o odbiorcach danych, na żądanie tej osoby;
7. uzupełnia i aktualizuje dane na żądanie osoby; ADO ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych; Administrator  może polegać na oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych procedur, przepisów prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne;
8. na żądanie osoby, usuwa dane, gdy:
   1. dane nie są niezbędne do celów, w których zostały zebrane, jak również nie są przetwarzane w innych celach;
   2. zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania;
   3. osoba wniosła skuteczny sprzeciw względem przetwarzania danych;
   4. dane były przetwarzane niezgodnie z prawem;
   5. konieczność usunięcia wynika z obowiązku prawnego.

 

Administrator określa taki sposób obsługi prawa do usunięcia danych, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikuje, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.

Jeżeli dane podlegające usunięciu zostały upublicznione przez Administratora lub osobę upoważnioną, Administrator podejmuje rozsądne działania, w tym środki techniczne, by poinformować inne podmioty przetwarzające te dane osobowe, o potrzebie usunięcia danych i dostępu do nich.

Jeśli nie znajdują zastosowania wyłączenia odnoszące się do realizacji zadań ustawowych, Administrator dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:

1. osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość;
2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając ograniczenia ich wykorzystywania;
3. Administrator nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
4. osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie ADO zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.

 

MINIMALIZACJA DANYCH

Administrator dba o minimalizację przetwarzania danych pod kątem:

1. adekwatności danych do celów (ilości danych i zakresu przetwarzania);
2. dostępu do danych;
3. czasu przechowywania danych.

 

Administrator zweryfikował zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO.

Administrator dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok.

Administrator przeprowadza weryfikację zmian co do ilości i zakresu przetwarzanych danych w ramach procedur zarządzania zmianą (privacy by design).

Administrator stosuje ograniczenia dostępu do danych osobowych: prawne (zobowiązania do poufności, zakresy upoważnień), fizyczne (strefy dostępu, zamykanie pomieszczeń) i logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których znajdują się dane osobowe).

Administrator dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób, oraz zmianach Podmiotów przetwarzających.

Administrator dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok.

Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów informatycznych Administratora, jak też z dokumentacji podręcznej i głównej. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez Administratora. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystania kopii zapasowych uwzględniają wymogi usuwania danych.

 

BEZPIECZEŃSTWO

ADO zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych, w szczególności ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania, w szczególności ustala przydatność i stosuje takie środki i podejście jak:

1. pseudonimizacja;
2. szyfrowanie danych osobowych;
3. inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
4. środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.

 

Administrator stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Prezesowi Urzędu Ochrony Danych w terminie 72 godzin od ustalenia naruszenia. 

Administrator zapewnia stosowanie środków technicznych i organizacyjnych niezbędnych dla poufności, integralności, rozliczalności i ciągłości przetwarzanych danych. Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. Środki obejmują w szczególności:

1. opracowanie i wdrożenie Polityki Ochrony Danych Osobowych wraz z załącznikami;
2. zastosowanie technicznych i organizacyjnych środków bezpieczeństwa informacji opartych na posiadanej wiedzy oraz posiadanych środkach finansowych;
3. dopuszczenie do przetwarzania danych osób posiadających upoważnienia nadane przez Administratora;
4. prowadzenie ewidencji osób upoważnionych do przetwarzania danych;
5. zaznajomienie pracowników Administratora z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego;
6. zobowiązanie pracowników Administratora do zachowania danych w tajemnicy;
7. przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są informacje, w tym dane osobowe tylko w obecności Administratora lub osoby upoważnionej oraz w warunkach zapewniających ich bezpieczeństwo;
8. zamykanie na klucz wszystkich pomieszczeń, w których przetwarza się informacje, w tym dane osobowe, w przypadku opuszczenia pomieszczenia przez ostatniego pracownika Administratora – także w godzinach pracy;
9. przechowywanie informacji, w tym danych osobowych w wersji tradycyjnej (papierowej) lub elektronicznej (pendrive, płyta CD/DVD, dyskietka, dysk USB) po zakończeniu pracy w zamykanych na klucz meblach biurowych, a tam, gdzie jest to możliwe – w szafach metalowych lub pancernych;
10. niszczenie w niszczarce nieaktualnych lub błędnych wydruków zawierających informacje, w tym dane osobowe;
11. zabezpieczenie hasłem dostępu do systemu operacyjnego komputerów, na których przetwarzane są dane osobowe, jak również logowanie do systemu operacyjnego metodą weryfikacji linii papilarnych;
12. uwierzytelnienie z wykorzystaniem identyfikatora użytkownika i hasła dostępu do zbioru danych osobowych w systemie teleinformatycznym;
13. blokowanie ekranów na stanowiskach, na których przetwarzane są dane osobowe, przy każdorazowym odejściu od stanowiska pracy;
14. w pomieszczeniu, gdzie przyjmowani są Pacjenci monitory komputerów, na których przetwarzane są informacje, w tym dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane; w pozostałych pomieszczeniach dopuszcza się ustawienie monitora w inny sposób, jednak w przypadku przebywania w pomieszczeniu osoby nieupoważnionej do przetwarzania konkretnych informacji, w tym danych osobowych – pracownik Administratora jest zobowiązany do uruchomienia wygaszacza ekranu, aby na monitorze nie było żadnych informacji zawierających dane osobowe;
15. cykliczne wykonywanie kopii bezpieczeństwa, z których w przypadku awarii odtwarzane są dane; 
16. programy zainstalowane na komputerach obsługujących przetwarzanie danych osobowych są użytkowane z zachowaniem praw autorskich i posiadają licencje;
17. wyposażenie drzwi, w co najmniej jeden zamek o skomplikowanym mechanizmie;
18. zabezpieczenie pomieszczeń pod względem pożarowym zgodnie z obowiązującymi przepisami;
19. zabezpieczenie stanowisk komputerowych przed oprogramowaniem złośliwym i wirusami;
20. serwery oraz komputery realizujące funkcję serwerów są zabezpieczone przed utratą danych spowodowaną awarią zasilania lub zakłóceń w sieci zasilającej;
21. dostęp do informacji, w tym danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora i hasła.

 

OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH OSOBOWYCH

Do przetwarzania danych osobowych uprawnione są wyłącznie osoby upoważnione przez Administratora.

Administrator jest uprawniony do przyznawania upoważnień w przedmiocie przetwarzania danych osobowych, w drodze pisemnego upoważnienia do przetwarzania danych osobowych. Nadanie upoważnienia do przetwarzania danych osobowych wymaga zaznajomienia się z przepisami dotyczącymi ochrony danych osobowych oraz niniejszą Polityką, w zakresie niezbędnym do czynności wykonywanych w ramach udzielonego upoważnienia.

Nadanie upoważnienia do przetwarzania danych osobowych musi nastąpić przed rozpoczęciem przetwarzania danych przez osobę upoważnioną. 

Upoważnienie sporządza się w dwóch egzemplarzach. Jeden egzemplarz przekazuje się upoważnionemu pracownikowi, drugi załącza się do akt osobowych pracownika. Upoważnienie do przetwarzania danych osobowych wygasa z chwilą rozwiązania umowy zawartej przez Administratora z osobą, której zostało nadane lub w przypadku gdy zostało nadane na czas określony – z upływem czasu, na jaki zostało nadane.

Wzór upoważnienia do przetwarzania danych stanowi załącznik nr 4 do Polityki.

Administrator prowadzi ewidencję wszystkich osób upoważnionych do przetwarzania danych osobowych, zawierającą następujące dane osoby upoważnionej:

1. imię i nazwisko;
2. datę nadania upoważnienia;
3. numer upoważnienia;
4. datę ustania upoważnienia;
5. zakres upoważnienia;
6. login/identyfikator w systemie teleinformatycznym;
7. datę przeszkolenia.

 

Wzór ewidencji upoważnień do przetwarzania danych stanowi załącznik nr 5 do Polityki.

 

ZASADY POSTĘPOWANIA Z DOKUMENTAMI, W TYM DOKUMENTACJĄ MEDYCZNĄ

Zasady postępowania z dokumentami zawierającymi dane osobowe obowiązują wszystkich pracowników Administratora.

Za pracowników Administratora uważa się każdą osobę zatrudnioną na podstawie stosunku pracy, zleceniobiorców, stażystów, praktykantów, osoby współpracujące oraz samozatrudnione na rzecz Administratora.

Każdy pracownik Administratora zobowiązany jest do przechowywania na biurku tylko tych dokumentów, które są mu niezbędne do pracy w danym momencie. Należy unikać przechowywania dokumentów niepotrzebnych do bieżących zadań.

Po zakończeniu pracy z dokumentami zawierającymi dane osobowe należy odłożyć je do szafy zamykanej na klucz.

Dokumenty niepotrzebne w dalszej pracy i niepodlegające archiwizacji należy niszczyć w niszczarce.

Każdy Pacjent, na wniosek, ma prawo dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych. Dokumentacja medyczna Pacjenta udostępniana jest również jego przedstawicielowi ustawowemu bądź osobie przez Pacjenta upoważnionej. Pracownik Administratora powinien mieć pewność w zakresie tożsamości osoby udzielającej upoważnienia. W przypadku, gdy Pacjent upoważnienia udziela bezpośrednio w obecności pracownika Administratora, dopuszczalna powinna być każda forma takiego oświadczenia.

W przypadku złożenia upoważnienia przy braku obecności pracownika Administratora dopuszczalne powinny być różne alternatywne sposoby upoważnienia, które jednak w dostateczny sposób potwierdzają tożsamość Pacjenta. Mogą być to chociażby:

1. upoważnienie podpisane kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym;
2. upoważnienie udzielone za pośrednictwem systemów informatycznych, np. Internetowe Konto Pacjenta, uwierzytelniające osobę upoważniającą.

 

Wzór wykazu wniosków o udostępnienie dokumentacji medycznej stanowi załącznik nr 6 do Polityki.

Na Administratorze spoczywa obowiązek prowadzenia, przechowywania i udostępniania dokumentacji medycznej w sposób określony w Rozdziale 7 u.p.p. oraz w ustawie z dnia 28 kwietnia 2011 r. o systemie informacji o ochronie zdrowia (t.j. Dz. U. z 2019 r. poz. 408 z późn. zm.), a także zapewnienia ochrony danych zawartych w tej dokumentacji.

 

PODMIOTY PRZETWARZAJĄCE

Administrator określa zasady doboru i weryfikacji Podmiotów przetwarzających (np. biuro rachunkowe czy też firmy medyczne, którym Administrator zleca przeprowadzenie badań), aby podmioty te dawały wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na Administratorze.

Administrator przyjął minimalne wymagania co do umowy powierzenia przetwarzania danych. Wzór umowy powierzenia przetwarzania danych stanowi Załącznik nr 3 do Polityki.

Administrator rozlicza Podmioty przetwarzające z wykorzystania dalszych podmiotów przetwarzających, jak też z innych wymagań, zgodnie z zasadami powierzania przetwarzania danych osobowych.
 

NARUSZENIA ZASAD OCHRONY DANYCH OSOBOWYCH

W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

 

W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, ADO zgłasza fakt naruszenia zasad ochrony danych Prezesowi Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Zgłoszenia dokonuje się poprzez wypełnienie dedykowanego formularza elektronicznego, dostępnego na stronie internetowej Urzędu Ochrony Danych Osobowych.

Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.

 

BEZPIECZEŃSTWO SYSTEMÓW INFORMATYCZNYCH

Ochronie podlegają dane osobowe niezależnie od formy ich przechowywania, sprzęt komputerowy, systemy operacyjne i informatyczne oraz pomieszczenia, w których odbywa się proces przetwarzania danych.

Miejscami najbardziej zagrożonymi w kontekście naruszenia ochrony danych osobowych są pomieszczenia gabinetu lekarskiego Administratora, w których znajdują się urządzenia służące do przetwarzania danych osobowych, do których mogą mieć nieuprawniony dostęp osoby nieupoważnione.

Do innych zagrożeń, na które może być narażone przetwarzanie danych osobowych należy zaliczyć:

1. uszkodzenie/awarię systemu operacyjnego;
2. uszkodzenie/zniszczenie danych osobowych w wyniku złamania zabezpieczeń fizycznych lub programowych przez osoby nieupoważnione;
3. naprawy i konserwacje systemu lub sieci teleinformatycznej wykonywane przez osoby nieuprawnione;
4. inne zdarzenia losowe. 

 

Każdy użytkownik upoważniony do pracy w systemie informatycznym, w którym przetwarzane są dane osobowe, powinien posiadać własny odrębny identyfikator i hasło dostępu.
Rozwiązanie stosunku pracy lub innej umowy, na podstawie której osoba współpracuje z Administratorem i posiada dostęp do danych osobowych powoduje utratę dostępu do przetwarzania danych i natychmiastowe wyrejestrowanie użytkownika z systemu.

Tworzone przez użytkownika hasło dostępowe musi spełniać następujące wymagania:

1. długość hasła: minimum 8 znaków;
2. nie może zawierać nazwy konta użytkownika;
3. musi zawierać znaki ze wszystkich kategorii:
   1. wielkie litery; 
   2. małe litery; 
   3. cyfry;
   4. znaki specjalne (!@#$_^&%).

 

Użytkownik jest zobowiązany zmieniać hasło co najmniej raz na miesiąc, czyniąc to osobiście w każdym z wykorzystywanych systemów teleinformatycznych.

Nowo tworzone hasło musi się różnić od pięciu poprzednich haseł wykorzystywanych przez danego użytkownika.

Hasło nie powinno kojarzyć się w żaden sposób z użytkownikiem (należy unikać imion, nazwisk rodziny, dzieci i znajomych, dat urodzenia, numerów telefonów) oraz otoczeniem użytkownika (należy unikać imion zwierząt domowych, adresu, numeru rejestracyjnego lub nazwy samochodu).

Użytkownik zobowiązany jest do utrzymania haseł dostępu w tajemnicy, w szczególności do dołożenia starań, w celu uniemożliwienia zapoznania się z nimi osób trzecich, nawet po ustaniu ich ważności.

Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do zbierania lub przetwarzania danych osobowych, mogą być dopuszczone wyłącznie osoby posiadające aktualne, ważne upoważnienie do przetwarzania danych osobowych.

Administrator zapoznaje pracowników i współpracowników z przepisami o ochronie danych osobowych oraz postanowieniami niniejszej Polityki.

Użytkownik rozpoczynający pracę zobowiązany jest przestrzegać procedur, które mają na celu sprawdzenie zabezpieczenia pomieszczenia, w którym przetwarzane są dane osobowe, swojego stanowiska pracy oraz stanu sprzętu komputerowego.

Wykorzystywanie zasobów sieci Internet następuje wyłącznie do realizacji zadań w związku z prowadzoną przez Administratora działalnością leczniczą.

Użytkownicy mają bezwzględny zakaz instalowania oprogramowania niewiadomego pochodzenia. O każdorazowej potrzebie instalacji dodatkowego oprogramowania powinien zostać powiadomiony Administrator.

Pracownicy Administratora są uprawnieni do wykorzystywania poczty elektronicznej do zadań na stanowiskach pracy pod warunkiem, że korzystają z adresów pocztowych Administratora. Istnieje bezwzględny zakaz korzystania z prywatnych skrzynek pocztowych do realizacji zadań pracowniczych.

Dopuszczalne jest przesyłanie plików zawierających dane osobowe drogą elektroniczną pod następującymi warunkami:

1. plik zawierający dane osobowe został zaszyfrowany i jest chroniony hasłem;
2. hasło do pliku winno być przekazane wiadomością sms lub odrębną wiadomością mailową;
3. wiadomość mailowa powinna zawierać adnotację, że jest kierowana do konkretnego odbiorcy i pouczenie, że jeśli została błędnie przesłana to jej przypadkowy odbiorca powinien ją usunąć;
4. należy zażądać potwierdzenia otrzymania wiadomości mailowej przez odbiorcę.

 

Użytkownik odbierający wiadomości mailowe kierowane do Administratora ma obowiązek zachować szczególną ostrożność w przypadkach, kiedy wiadomości zawierają załączniki, w których znajdują się pliki do rozpakowania. W każdej podejrzanej sytuacji użytkownik powinien skonsultować się z Administratorem.

Wysyłając korespondencję mailową do kilku odbiorców, użytkownik ma obowiązek korzystania z opcji „UDW” tj. ukrycia odbiorców wiadomości.

Wiadomości e-mail wysyłane przez Administratora oraz pracowników Administratora powinny zawierać informacje o przetwarzaniu danych osobowych. Wzór stopki wiadomości e-mail stanowi załącznik nr 7 do Polityki.

Administrator dopuszcza możliwość korzystania z komputerów przenośnych do realizacji zadań i prowadzenia działalności leczniczej.

W przypadku korzystania z komputerów przenośnych konieczne jest zachowanie szczególnych środków ostrożności, które uniemożliwią kradzież sprzętu oraz pozostawienie go bez nadzoru.

Komputer przenośny, na którym przechowuje się dane osobowe musi być bezwzględnie zabezpieczony hasłem lub uruchamiany metodą weryfikacji linii papilarnych użytkownika.

Użytkownik ma zakaz wykorzystywania na komputerach przenośnych niezweryfikowanych sieci bezprzewodowych, tj. publicznych, hotelowych i innych, które mogą umożliwić przeglądanie operacji przez osoby nieupoważnione.

Administrator odpowiada za niezawodność pracy systemów informatycznych i sprzętu informatycznego, z uwzględnieniem wytycznych dostawców sprzętu i oprogramowania.

Konserwacja sprzętu i oprogramowania winna odbywać się w miarę potrzeb, nie rzadziej jednak niż raz do roku.

Naprawy i konserwacje sprzętu w gabinecie lekarskim Administratora muszą się odbywać w czasie obecności lub pod nadzorem Administratora lub upoważnionej przez niego osoby.

Administrator dopuszcza możliwość dokonywania serwisowania i napraw za pomocą narzędzi zdalnych.

Nośniki papierowe (wydruki) nie przeznaczone do ponownego użytku oraz niearchiwizowane, powinny być natychmiast niszczone.

 

INFORMACJE DODATKOWE

Nie ujmując znaczenia i doniosłości przepisów RODO, wykonujący dzialalność leczniczą Administrator, jak również pracownicy Administratora powinni mieć przede wszystkim na względzie obowiązek ratowania zdrowia i życia ludzkiego, poświęcając dobro jakim jest ochrona danych osobowych. Niezależnie od przepisów związanych z ochroną danych osobowych, wykorzystywanie danych Pacjenta powinno następować zawsze z poszanowaniem prywatności, intymności oraz godności Pacjenta, w tym jego prawa do zachowania w tajemnicy informacji z nim związanych, co wynika wprost z przepisu art. 20 ust. 1 u.p.p. 

Administrator oraz pracownicy Administratora mają świadomość, że do minimum należy ograniczyć ryzyko ujawnienia danych osobowych dotyczących Pacjenta, w szczególności danych dotyczących zdrowia, np. poprzez ściszony głos czy też unikanie omawiania stanu zdrowia Pacjenta w miejscach, w których przebywają osoby nieuprawnione itp.

W przypadku kontaktu telefonicznego osoby dzwoniącej do gabinetu lekarskiego Administratora, pracownik Administratora powinien dostatecznie zweryfikować uprawnienie tej osoby do uzyskania informacji poprzez zadanie pytań kontrolnych, np. zapytanie o numer PESEL Pacjenta lub adres jego miejsca zamieszkania. 

Należy kierować się zasadą minimalizacji i przekazywać telefonicznie jedynie te informacje, które są niezbędne do działania w stanie wyższej konieczności. Dodatkowych informacji udziela się po ustaleniu tożsamości osoby uprawnionej (np. osoby upoważnionej przez Pacjenta). 

 

POSTANOWIENIA KOŃCOWE

Polityka wraz z załącznikami stanowi wewnętrzną regulację Administratora i obowiązuje wszystkich pracowników i współpracowników Administratora.

Wszelkie zmiany Polityki obowiązują od dnia ich wprowadzenia w życie w sposób przyjęty u Administratora, z zaznaczeniem tychże zmian w Polityce.

Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszej Polityki traktowane będą jako ciężkie naruszenie obowiązków pracowniczych lub niewykonanie zobowiązania w przypadku stosunku prawnego innego niż stosunek pracy.

W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy powszechnie obowiązującego prawa, w tym w szczególności przepisy RODO i u.p.p.

 

SPIS ZAŁĄCZNIKÓW DO POLITYKI

1. Załącznik nr 1 – klauzula informacyjna.
2. Załącznik nr 2 – rejestr czynności przetwarzania danych.
3. Załącznik nr 3 – umowa powierzenia przetwarzania danych osobowych.
4. Załącznik nr 4 – upoważnienie do przetwarzania danych osobowych.
5. Załącznik nr 5 – ewidencja upoważnień.
6. Załącznik nr 6 – wykaz wniosków o udostępnienie dokumentacji medycznej.
7. Załącznik nr 7 – wzór stopki wiadomości e-mail.