Polityka prywatności

1. Wstęp

1.1 Słowniczek

Administrator danych osobowych / Administrator / ADO – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

W rozumieniu Polityki bezpieczeństwa ADO jest podmiot wykonujący działalność leczniczą – SPÓŁKA LEKARSKA AGATA PASZEK-BLUSZCZ, WOJCIECH BLUSZCZ SPÓŁKA PARTNERSKA, ul. Budowlana 28, 41-808 Zabrze.

Administrator systemów informatycznych / ASI – osoba fizyczna lub prawna, wspierająca ADO
w zapewnieniu zgodności działania infrastruktury informatycznej z zasadami ochrony danych osobowych.

Inspektor ochrony danych / IOD – osoba fizyczna, wspierająca ADO w realizacji obowiązków, wynikających z przepisów o ochronie danych osobowych, w tym RODO i Ustawy.

Obszar przetwarzania danych osobowych – teren, na którym ADO dokonuje przetwarzania danych osobowych w formie papierowej lub elektronicznej.

Organ nadzorczy – podmiot odpowiedzialny za nadzór nad przestrzeganiem przepisów RODO. Organem nadzorczym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych.

Podmiot przetwarzający / procesor – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu i na rzecz ADO.

Prezes Urzędu Ochrony Danych Osobowych / Prezes UODO – organ właściwy do spraw ochrony danych osobowych w Polsce; organ nadzorczy w rozumieniu RODO.

Przepisy o ochronie danych osobowych – obowiązujące przepisy prawa, dotyczące ochrony danych osobowych. Są nimi w szczególności RODO, Ustawa oraz przepisy z branży ADO, przede wszystkich ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.

RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych)

Polityka bezpieczeństwa – ten dokument.

Ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.

1.2 Polityka bezpieczeństwa i cel jej stosowania

  1. Polityka bezpieczeństwa jest polityką ochrony danych w rozumieniu art. 24 ust. 2 RODO.
  2. Polityka bezpieczeństwa została opracowana z uwzględnieniem:
    1. przepisów o ochronie danych osobowych,
    2. wytycznych Prezesa UODO i innych organów zaangażowanych w ochronę danych osobowych,
    3. dobrych praktyk, wytycznych lub standardów branży, którą reprezentuje ADO.
  3. Polityka bezpieczeństwa służy zapewnieniu takiego poziomu bezpieczeństwa przetwarzanych przez ADO danych osobowych, która uchroni je przed:
    1. dostępem osób nieupoważnionych,
    2. nieuprawnioną zmianą, utratą, uszkodzeniem lub zniszczeniem.
  4. Polityka bezpieczeństwa jest poddawana okresowym przeglądom. W razie potrzeby dokonuje się stosownych zmian jej treści, uwzględniając w szczególności:
    1. przepisy lub wytyczne, o których mowa w ust. 2 powyżej,
    2. aktualny stan wiedzy technicznej,
    3. możliwości logistyczne, kadrowe i finansowe ADO.
  5. Integralną część Polityki bezpieczeństwa stanowią załączniki do niej (wskazane w rozdziale
    8
    poniżej). Ponadto ADO może wprowadzać – lub dopuszczać do stosowania – dodatkowe wytyczne, regulaminy lub instrukcje, mające na celu realizację zasad ochrony danych osobowych, wskazanych w Polityce bezpieczeństwa.
  6. Polityka bezpieczeństwa jest dokumentem wewnętrznym ADO. Jej treść nie może być udostępniana osobom lub podmiotom nieupoważnionym.

1.3 Podstawowe zasady ochrony danych osobowych

  1. ADO zapewnia realizację następujących zasad wykorzystania danych osobowych:
    1. zgodność z prawem, rzetelność i przejrzystość,
    2. ograniczenie celu,
    3. minimalizacja danych,
    4. prawidłowość,
    5. ograniczenie przechowywania,
    6. integralność i poufność,

– w rozumieniu przepisów o ochronie danych osobowych.

  1. ADO wykazuje przestrzeganie zasad ochrony danych osobowych w szczególności poprzez:
    1. Politykę bezpieczeństwa,
    2. dodatkowe wytyczne, regulaminy i instrukcje,
    3. papierowe lub elektroniczne wykazy, ewidencje, notatki służbowe lub korespondencję.

2. Podmioty zaangażowane w ochronę danych osobowych i ich obowiązki

2.1 ADO

  1. ADO decyduje o celach i środkach przetwarzania danych osobowych.
  2. ADO podejmuje działania, mające na celu zapewnienie:
    1. odpowiedniego poziomu bezpieczeństwa danych osobowych,
    2. zgodności przetwarzania danych osobowych z zasadami, wskazanymi w rozdziale 1.3 powyżej.
  3. Działania ADO, o których mowa w ust. 2 powyżej, obejmują w szczególności:
    1. wdrażanie odpowiednich rozwiązań organizacyjnych, zabezpieczeń fizycznych
      i rozwiązań informatycznych (wskazanych w rozdziale 5 i załącznikach do Polityki bezpieczeństwa),
    2. nadawanie upoważnień osobom, które w celach służbowych potrzebują dostępu do danych osobowych,
    3. zapewnienie, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
  4. Jeżeli osoba, której dane dotyczą, wykaże ADO, że dane osobowe jej dotyczące są niekompletne, nieaktualne, nieprawdziwe, zebrane z naruszeniem prawa lub zbędne do realizacji celu, dla którego je zebrano – ADO jest zobowiązany do podjęcia niezbędnych kroków, mających na celu naprawę tego stanu rzeczy.
  5. ADO prowadzi rejestr czynności przetwarzania, zgodnie z art. 30 ust. 1 RODO. Wzór rejestru stanowi załącznik nr 9 do Polityki bezpieczeństwa.
  6. ADO dokonuje analizy ryzyka czynności przetwarzania danych osobowych, zgodnie z art. 32 ust. 2 ROD. ADO dokonuje także oceny skutków, zgodnie z art. 35 ust. 1 RODO, jeżeli w wyniku analizy zostanie ustalone, że czynność przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych albo gdy taki obowiązek wynika z przepisów prawa lub wytycznych organu nadzorczego. Analiza ryzyka i ocena skutków dokonywane są zgodnie z procedurą, stanowiącą załącznik nr 1 do Polityki bezpieczeństwa.
  7. Jeżeli doszło do naruszenia ochrony danych osobowych, ADO niezwłocznie podejmuje odpowiednie kroki, mające na celu realizację obowiązków opisanych w art. 33-34 RODO. Procedura postępowania z naruszeniami została opisana w rozdziale 6 i załączniku nr 3 do Polityki bezpieczeństwa.
  8. ADO wyznacza IOD.

2.2 IOD

  1. Do zadań IOD należy wspieranie ADO oraz innych osób i podmiotów zaangażowanych
    w ochronę danych osobowych, w szczególności poprzez:
    1. informowanie o obowiązkach związanych z ochroną danych osobowych i doradzanie w tej sprawie,
    2. monitorowanie przestrzegania przepisów oraz polityk w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu oraz powiązane z tym audyty,
    3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
    4. współpraca z organem nadzorczym,
    5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa
      w art. 36 RODO oraz – w stosownych przypadkach – prowadzenie konsultacji we wszystkich innych sprawach,
    6. wspieranie ADO w realizacji obowiązków wskazanych w Polityce bezpieczeństwa
      i innych dokumentach, wskazanych w rozdziale 1.3 powyżej.
  2. Szczegółowe zasady funkcjonowania IOD w strukturach ADO opisuje załącznik nr 18 do Polityki bezpieczeństwa.

2.3 ASI

  1. ADO może wyznaczyć na ASI osobę współpracującą z ADO lub powierzyć wykonywanie obowiązków ASI podmiotowi zewnętrznemu.
  2. Do zadań ASI należy zapewnienie przestrzegania zasad ochrony danych osobowych, przetwarzanych za pomocą aplikacji, programów, systemów lub urządzeń wykorzystywanych przez ADO, w szczególności przez realizację zadań i działań wskazanych w załączniku nr 11 do Polityki bezpieczeństwa.
  3. ASI podlega bezpośrednio najwyższemu kierownictwu ADO.
  4. Jeżeli ADO nie wyznaczył ASI, za realizację obowiązków wskazanych w ust. 2 powyżej odpowiada ADO lub osoba wskazana przez ADO. Wprowadzone u ADO uregulowania, dotyczące ASI, stosuje się wówczas odpowiednio do ADO lub osoby wskazanej przez ADO.

2.4 Osoby upoważnione do przetwarzania danych osobowych

  1. Do przetwarzania danych u ADO dopuszczone są jedynie osoby upoważnione przez ADO.
  2. Upoważnienie jest nadawane zgodnie ze wzorem, stanowiącym załącznik nr 14 do Polityki bezpieczeństwa oraz procedurą, stanowiącą załącznik nr 13 do Polityki bezpieczeństwa. ADO może dopuścić – po konsultacji z IOD – nadanie upoważnienia w inny sposób, np. przez zawarcie treści upoważnienia w umowie będącej podstawą współpracy z daną osobą.
  3. Po nadaniu upoważnienia do przetwarzania danych osobowych osoba upoważniona otrzymuje od ASI (lub osoby wskazanej przez ASI) dostęp do aplikacji, programów, systemów lub urządzeń niezbędnych do wykonywania jej obowiązków. W trakcie pracy osoba upoważniona jest zobowiązana do przestrzegania zaleceń związanych z pracą w systemach, na komputerach
    i innych urządzeniach, opisanych w załączniku nr 7 do Polityki bezpieczeństwa.
  4. Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana do:
    1. przestrzegania:
      1. Polityki bezpieczeństwa,
      2. innych obowiązujących u ADO wytycznych, regulaminów lub instrukcji dotyczących ochrony danych osobowych,
      3. poleceń ADO, IOD lub ASI związanych z ochroną danych osobowych.
    2. zachowania w tajemnicy zarówno danych osobowych, jak i sposobów ich zabezpieczenia,
    3. zgłaszania naruszeń lub podejrzeń naruszeń bezpieczeństwa danych osobowych, zgodnie z procedurą wskazaną w rozdziale 6 Polityki bezpieczeństwa.
  5. Działanie lub zaniechanie osoby upoważnionej, w wyniku którego doszło do naruszenia przestrzegania procedur lub poleceń, wskazanych w ust. 4 powyżej, może:
    1. mieć konsekwencje dyscyplinarne,
    2. zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych
      (w przypadku współpracy na podstawie Kodeksu pracy),
    3. zostać uznane za ważny powód uzasadniający wypowiedzenie lub rozwiązanie umowy będącej podstawą współpracy.
  6. Po zakończeniu współpracy z ADO:
    1. upoważnienie do przetwarzania danych osobowych automatycznie wygasa,
    2. dostęp osoby upoważnionej do używanych przez nią aplikacji, programów, systemów lub urządzeń jest odbierany lub blokowany.

2.5 Osoby przebywające w obszarze przetwarzania danych osobowych

  1. Osoby współpracujące z ADO, które w związku z realizacją swoich obowiązków przebywają na obszarze przetwarzania danych osobowych i których zakres obowiązków nie uzasadnia nadania upoważnienia do przetwarzania danych osobowych, podpisują oświadczenie
    o poufności, którego wzór stanowi załącznik nr 4 do Polityki bezpieczeństwa.
  2. Osoby, o których mowa w ust. 1 powyżej, w przypadku wejścia w posiadanie danych osobowych lub informacji o ich zabezpieczeniach, są zobowiązane do zachowania tajemnicy w tym zakresie, zarówno w trakcie współpracy z ADO, jak i po jej zakończeniu.
  3. Osoby, o których mowa w ust. 1 powyżej, w razie powzięcia informacji o naruszeniu lub podejrzeniu naruszenia ochrony danych osobowych, są zobowiązane do zawiadomienia o tym IOD lub bezpośredniego przełożonego.
  4. Jeżeli osoby, o których mowa w ust. 1 powyżej, realizują swoje obowiązki w imieniu i na rzecz kontrahenta, którego łączy z ADO umowa o świadczenie usług, obowiązek wskazany w ust. 1 powyżej może być zastąpiony odpowiednim zobowiązaniem umownym.

3. Zasady przetwarzania danych osobowych

  1. Przetwarzanie danych osobowych przez ADO jest dopuszczalne w razie istnienia przynajmniej jednej z podstaw, wskazanych w:
    1. art. 6 ust. 1 RODO – w zakresie danych osobowych zwykłych,
    2. art. 9 ust. 2 RODO – w zakresie szczególnych kategorii danych,
    3. art. 10 RODO – w zakresie danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.
  2. W zakresie przetwarzania danych w oparciu o podstawy wskazane w ust. 1 powyżej ADO wykorzystuje wzory zgód, oświadczeń itp. treści oraz procedur związanych z ich stosowaniem, przygotowane lub zatwierdzone do stosowania przez IOD.
  3. W razie wątpliwości dotyczących podstaw prawnych dla przetwarzania danych osobowych ADO dokonuje konsultacji z IOD. Jeżeli:
    1. ADO nie dokonuje jeszcze przetwarzania danych, którego dotyczy wątpliwość
       – przetwarzanie danych może mieć miejsce dopiero po rozstrzygnięciu wątpliwości,
    2. ADO dokonuje już przetwarzania danych, którego dotyczy wątpliwość – do czasu rozstrzygnięcia wątpliwości ADO podejmuje kroki mające na celu wstrzymanie przetwarzania danych osobowych.
  4. Wobec osób, których dane osobowe ADO przetwarza, realizowany jest – na zasadach określonych w art. 13-14 RODO – obowiązek informacyjny. W uzasadnionych sytuacjach, uzgodnionych z IOD, dopuszczalne jest warstwowe spełnianie obowiązku informacyjnego. ADO wykorzystuje w tym zakresie wzory obowiązków informacyjnych i procedur z nimi związanych, przygotowane lub zatwierdzone do stosowania przez IOD.
  5. ADO przyjmuje wnioski związane z prawami osób, których dane dotyczą, określone w art. 15
    -22 RODO. Przy realizacji tych zadań ADO dba w szczególności o:
    1. potwierdzenie tożsamości i uprawnień wnioskodawców,
    2. przekazywanie informacji w sposób jasny, czytelny i zrozumiały,
    3. łatwość dostępu do danych,
    4. udzielanie odpowiedzi na wnioski w terminach wskazanych w art. 12 ust. 3 RODO.
  6. Procedura realizacji wniosków z art. 15-22 RODO stanowi załącznik nr 8 do Polityki bezpieczeństwa.
  7. ADO dokumentuje sposób realizacji praw osób, których dane dotyczą. Dokumentowanie może następować w szczególności przez gromadzenie korespondencji związanej z wnioskami lub inny, uzgodniony z IOD sposób.
  8. Udostępnianie informacji lub dokumentacji medycznej odbywa się zgodnie z procedurą, stanowiącą załącznik nr 12 do Polityki bezpieczeństwa.
  9. Weryfikacja tożsamości pacjentów i innych osób odbywa się zgodnie z procedurą, stanowiącą załącznik nr 15 do Polityki bezpieczeństwa.

4. Przekazywanie danych osobowych w ramach współpracy z podmiotami zewnętrznymi

W sytuacji, w której:

  1. ADO przekazuje dane osobowe podmiotowi zewnętrznemu, gdzie ADO decyduje
    o celach i środkach wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.1.1 poniżej,
  2. podmiot zewnętrzny przekazuje dane osobowe ADO, gdzie podmiot zewnętrzny decyduje
    o celach i środkach wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.1.2 poniżej,
  3. ADO przekazuje dane osobowe podmiotowi zewnętrznemu, gdzie każda ze stron realizuje własne cele wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.2 poniżej,
  4. podmiot zewnętrzny przekazuje dane osobowe ADO, gdzie każda ze stron realizuje własne cele wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.2 poniżej,
  5. ADO wspólnie z podmiotem zewnętrznym lub podmiotami zewnętrznymi wspólnie decydują
    o celach wykorzystania danych osobowych – ADO stosuje wytyczne z rozdziału 4.3 poniżej.

4.1 Powierzenie

4.1.1 ADO jako administrator danych

W sytuacji, gdy ADO powierza przetwarzanie danych osobowych podmiotowi zewnętrznemu jako podmiotowi przetwarzającemu, stosuje się następujące wytyczne:

  1. przed rozpoczęciem współpracy ADO weryfikuje, czy podmiot zewnętrzny zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Weryfikacja może nastąpić w szczególności poprzez zobowiązanie podmiotu zewnętrznego do wypełnienia ankiety, stanowiącej załącznik nr 5 do Polityki bezpieczeństwa,
  2. powierzenie przetwarzania danych osobowych następuje w drodze podpisania umowy powierzenia, aneksu do umowy głównej lub dodania odpowiedniej treści fragmentu do umowy głównej. Wzór umowy powierzenia stanowi załącznik nr 6 do Polityki bezpieczeństwa (w porozumieniu z IOD możliwe jest wykorzystanie innego wzoru umowy powierzenia,
    w szczególności przekazanego przez drugą stronę umowy).

4.1.2 ADO jako podmiot przetwarzający

W sytuacji, gdy podmiot zewnętrzny powierza przetwarzanie danych osobowych ADO jako podmiotowi przetwarzającemu, stosuje się następujące wytyczne:

  1. powierzenie przetwarzania danych osobowych następuje w drodze podpisania umowy powierzenia, aneksu do umowy głównej lub dodania odpowiedniej treści fragmentu do umowy głównej. Wzór umowy powierzenia stanowi załącznik nr 6 do Polityki bezpieczeństwa (w porozumieniu z IOD możliwe jest wykorzystanie innego wzoru umowy powierzenia, w szczególności przekazanego przez drugą stronę umowy),
  2. ADO umieszcza informację o fakcie powierzenia przetwarzania w rejestrze kategorii czynności przetwarzania. Wzór rejestru stanowi załącznik nr 10 do Polityki bezpieczeństwa.

4.2 Udostępnienie

W sytuacji, w której ADO lub podmiot zewnętrzny udostępniają sobie dane osobowe, udostępnienie danych osobowych wymaga podpisania umowy udostępnienia, aneksu do umowy głównej lub dodania odpowiedniej treści fragmentu do umowy głównej. Treść umowy oraz inne obowiązki ADO związane
z udostępnieniem są wcześniej konsultowane przez ADO z IOD.

4.3 Współadministracja

W sytuacji, gdy ADO staje się współadministratorem danych osobowych, określenie zasad wykorzystania danych osobowych wymaga zawarcia umowy o współadministrowaniu, aneksu do umowy głównej lub dodania odpowiedniej treści fragmentu do umowy głównej. Treść umowy oraz inne obowiązki ADO związane ze współadministrowaniem są wcześniej konsultowane przez ADO z IOD.

5. Środki stosowane w celu zapewnienia bezpieczeństwa danych osobowych

5.1 Rozwiązania organizacyjne

ADO stosuje w szczególności następujące środki organizacyjne:

  1. wdrożenie i stosowanie Polityki bezpieczeństwa,
  2. wdrożenie i stosowanie innych wytycznych, regulaminów i instrukcji, mających na celu realizację zasad ochrony danych osobowych i bezpieczeństwa informacji,
  3. zobowiązanie osób zatrudnionych do zachowania w tajemnicy zarówno danych osobowych, jak i sposobów ich zabezpieczenia.
  4. zapewnienie kontroli nad działaniem osób upoważnionych do przetwarzania danych osobowych i osób przebywających w obszarze przetwarzania danych osobowych,
  5. zapewnienie kontroli nad działaniami osób postronnych, tymczasowo przebywających
    w obszarze przetwarzania danych osobowych.

5.2 Zabezpieczenia fizyczne

  1. ADO stosuje w szczególności następujące zabezpieczenia fizyczne:
    1. możliwość zamykania pomieszczeń, w których przetwarzane są dane osobowe,
    2. zapewnienie osobom zatrudnionym dostępu do szafek, szuflad lub szaf zamykanych na klucz,
    3. dostęp do niszczarek dokumentów papierowych.
  2. W przypadku niszczenia przez ADO większej liczby papierowych lub elektronicznych nośników potwierdzeniem dokonania zniszczenia zgodnie z procedurami bezpieczeństwa jest protokół, którego wzór stanowi załącznik nr 16 do Polityki bezpieczeństwa.
  3. Bardziej szczegółowe informacje na temat stosowanych u ADO zabezpieczeń fizycznych znajdują się w załączniku nr 17 do Polityki bezpieczeństwa.

5.3 Rozwiązania informatyczne

  1. ADO stosuje w szczególności następujące rozwiązania informatyczne:
    1. uwierzytelnianie osób pracujących w aplikacjach, programach lub systemach informatycznych (w szczególności z wykorzystaniem loginów i haseł),
    2. aplikacje, programy lub systemy chroniące przed złośliwym oprogramowaniem,
    3. środki gwarantujące ciągłą pracę systemów informatycznych,
    4. środki gwarantujące możliwość odtworzenia danych w razie wystąpienia zdarzenia niepożądanego,
  2. Bardziej szczegółowe informacje na temat stosowanych u ADO rozwiązań informatycznych znajdują się w załączniku nr 11 do Polityki bezpieczeństwa.

6. Naruszenia ochrony danych osobowych

  1. Każda osoba upoważniona do przetwarzania danych osobowych jest odpowiedzialna za ich bezpieczeństwo.
  2. Każda osoba współpracująca z ADO, podejrzewająca lub stwierdzająca naruszenie ochrony danych osobowych, zobowiązana jest do niezwłocznego zgłoszenia takiego naruszenia. Zgłoszenia dokonuje się na formularzu, którego wzór stanowi załącznik nr 2 do Polityki bezpieczeństwa lub w inny, uzgodniony z IOD sposób.
  3. Zasady postępowania w przypadku podejrzenia lub stwierdzenia naruszenia ochrony danych osobowych opisuje załącznik nr 3 do Polityki bezpieczeństwa.

7. Postanowienia końcowe

  1. Polityka bezpieczeństwa obowiązuje od dnia jej wprowadzenia w sposób przyjęty u ADO. Wszelkie zmiany Polityki bezpieczeństwa obowiązują od dnia ich wprowadzenia w sposób przyjęty u ADO.
  2. Z dniem wprowadzenia Polityki bezpieczeństwa traci ważność wcześniej obowiązująca u ADO dokumentacja ochrony danych osobowych.
  3. W sprawach nieuregulowanych w Polityce bezpieczeństwa mają zastosowanie przepisy
    o ochronie danych osobowych.
Powiadomienie o plikach cookie WordPress od Real Cookie Banner