Polityka prywatności

REGULAMIN BEZPIECZENSTWA PRZETWRZANIA DANYCH OSOBOWYCH W PODMIOCIE LECZNICZYM

Adam Sęktas Fizjo Admed nr Księgi rejestrowej : 000000259324

§ 1
Postanowienia ogólne i definicje
1. Regulamin określa zasady przetwarzania danych osobowych przez Adam Sęktas Fizjo Admed, REGON : 382879000, NIP: 9512318282, wpisany do rejestrów podmiotów wykonujących działalność leczniczą przez Wojewodę Mazowieckiego pod nr 000000259324;
2. Użyte w niniejszym Regulaminie określnie, pisane dużą literą w celu zaznaczenia, że są to pojęcia zdefiniowane, mają znaczenie zgodnie z poniższymi definicjami :
1) Regulamin – niniejszy regulamin określający zasady przetwarzania i ochrony danych osobowych przez podmiot leczniczy : Adam Sęktas Fizjo Admed;
2) Fizjo Admed – podmiot leczniczy : Adam Sęktas Fizjo Admed REGON : 382879000, NIP: 9512318282, wpisany do rejestrów podmiotów wykonujących działalność leczniczą przez Wojewodę Mazowieckiego pod nr 000000259324;
3) Administrator danych osobowych – Adam Sęktas prowadzący działalność gospodarczą pod firmą Adam Sęktas Fizjo Admed jest administratorem danych osobowych w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) w zakresie, w jakim samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych,
4) Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania bezpośrednio lub pośrednio osobie fizycznej, w szczególności: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
5) Osoba upoważniona do przetwarzania danych osobowych – osoba, która ma dostęp do danych osobowych przetwarzanych przez Fizjo Admed na podstawie obowiązujących przepisów lub osoba, która została upoważniona do przetwarzania Danych osobowych;
6) Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora danych;
7) Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

§ 2
Cel przetwarzania Danych osobowych
1. Administrator danych osobowych przetwarza Dane osobowe zgodnie z obowiązującym prawem w zakresie w jakim jest to konieczne dla jego potrzeb i wypełnienia jego obowiązków.
2. Administrator podejmuje działania w celu zabezpieczenia Danych osobowych przed ich udostępnieniem osobom nieupoważnionym lub przywłaszczeniem przez te osoby oraz przetwarzaniem z naruszeniem prawa, w tym przed nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem danych.
3. Administrator danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw osób których dane przetwarza podejmuje (w szczególności) następujące działania w celu osiągnięcia celu wskazanego w pkt 1 :
1) wdraża odpowiednie środki techniczne i organizacyjne,
2) zapewnia legalność procesów przetwarzania danych;
3) sprawuje nadzór nad zabezpieczeniem danych;
4) na bieżąco identyfikuje i analizuje zagrożenia oraz ryzyko związane z bezpieczeństwem przetwarzanych danych;
5) kontroluje i monitoruje funkcjonowanie zabezpieczeń, wdrożonych w celu ochrony danych przetwarzanych w systemach informatycznych (o których mowa w § 3 ust. 1 pkt 1 ) oraz przetwarzanych w sposób tradycyjny (o których mowa w § 3 ust. 1 pkt 1 )

§ 3
Rodzaje przetwarzanych Danych osobowych i sposób przetwarzania Danych osobowych
1. Administrator danych osobowych przetwarza następujące kategorie Danych osobowych :
1) dane pacjentów Fizjo Admed , w tym dane dotyczące ich stanu zdrowia;
2) dane przedstawicieli ustawowych pacjentów
3) dane osób współpracujących z Fizjo Admed, przy pomocy których Fizjo Admed wykonuje działalność leczniczą;
4) dane stron umów zawartych przez Fizjo Admed;
5) dane osób z którymi Fizjo Admed kontaktuje się w ramach prowadzenia działalności leczniczej.
2. Dane osobowe przetwarzane są :
1) w systemie informatycznym – w elektronicznej dokumentacji medycznej dostarczanej przez usługodawcę : ZnanyLekarz Sp. z o.o. na podstawie umowy zawartej z Administratorem danych osobowych;
2) w sposób tradycyjny – w zbiorach ewidencyjnych. Każdy zbiór ewidencyjny prowadzony jest oddzielnie dla danego rodzaju dokumentów zawierających dane osobowe. Administrator danych osobowych prowadzi wykaz zbiorów ewidencyjnych, o których mowa w pkt 2), wg wzoru stanowiącego załącznik nr 1 do Regulaminu.

§ 4
Podstawy prawne przetwarzania i udostępniania danych osobowych
1. Dane osobowe, zgodnie z zasadą legalności, przetwarzane są przez Fizjo Admed na następujących podstawach:
1) przetwarzanie jest niezbędne do wypełnienia obowiązku ciążącego na Fizjo Admed (art. 6 ust. 1 lit. c RODO).
2) przetwarzanie jest niezbędne do wykonania umowy zawartej Fizjo Admed (art. 6 ust. 1 lit. b RODO).
3) w oparciu o zgodę osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO);
4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej (art. 6 ust. 1 lit. d RODO);
5) w celu zrealizowania prawnie uzasadnionego interesu Fizjo Admed bądź strony trzeciej (art. 6 ust. 1 lit. f RODO).
2. We wszystkich przypadkach, w których jedyną podstawą do przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO oraz art. 9 ust. 2 lit a RODO), Fijzo Admed odbiera ją w formie pisemnej. sformalizowany i możliwy do udowodnienia, w tym również interpretuje ją jako wyraźne działanie potwierdzające.

§ 5
Organizacja przetwarzania danych osobowych
1. W celu realizacji celu określonego w § 2 Administrator danych osobowych :
1) zapewnia środki techniczne i rozwiązania organizacyjne odpowiednie do zagrożeń i kategorii danych osobowych objętych ochroną;
2) zapewnia – w niezbędnym zakresie – szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony;
3) szacuje ryzyka związanego z zapewnieniem bezpieczeństwa danych osobowych;
4) monitoruje skuteczność zastosowanych zabezpieczeń ochrony danych osobowych;
5) sprawuje nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe oraz do kontroli przebywających w nich osób;
6) monitoruje przestrzegania zasad ochrony danych osobowych;
7) prowadzi i utrzymuje niezbędną dokumentacji wynikającej z obowiązujących przepisów w zakresie ochrony danych,
8) współpracuje z organem nadzorczym tj. Prezesem Urzędu Ochrony Danych Osobowych oraz Rzecznikiem Praw Pacjentów;
2. W celu przetwarzania Danych osobowych w systemie informatycznym, o którym mowa w § 3 ust. 2 pkt 1 zgodnie z celem określonym w § 2, w Fizjo Admed stosuje się następujące zasady przetwarzania danych :
1) stosuje się sprzęt komputerowy z aktualnym oprogramowaniem i aktualnym oprogramowaniem antywirusowym;
2) dostępu do sprzętu komputerowego ograniczony jest wyłącznie dla upoważnionych osób – uwierzytelnianie użytkowników;
3) stosuje loginy i hasła w celu dostępu do sprzętu komputerowego dla każdego użytkownika;
4) wymaga się zmiany haseł, o których mowa w pkt 3 raz w miesiącu;
5) identyfikuje się i analizuje na bieżąco zagrożenia, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych;
6) stosuje się nadzór nad fizycznym zabezpieczeniem pomieszczeń serwerowni i węzłów sieci komputerowej;
7) nadzoruje się naprawy oraz konserwacją sprzętu komputerowego,
8) obowiązkowe jest wyłączania komputera lub blokowania stacji roboczej przez użytkownika podczas czasowej nieobecności albo wizyty osoby nieposiadającej upoważnienia do przetwarzania danych osobowych.
9) wykonuje się kopie zapasowe Danych osobowych;
10) prowadzi się ewidencję osób posiadających dostęp do systemów informatycznych – wykaz aktywnych kont dostępu do systemów informatycznych prowadzony jest wg wzoru stanowiącego załącznik nr 2 do Regulaminu
3. W celu przetwarzania Danych osobowych w zbiorach ewidencyjnych , o których mowa w § 3 ust. 2 pkt 2 zgodnie z celem określonym w § 2, w Fizjo Admed stosuje się następujące zasady przetwarzania danych :
1) przechowuje się dokumenty w zamykanych pomieszczeniach;
2) przechowuje się dokumenty w zamykanych szafkach lub szufladach;
3) niepozostawia się na biurku i na innych urządzeniach jakiejkolwiek dokumentacji albo nośników danych zawierających dane osobowe;
4) części powierzchni lokalu, w której Fizjo Admed prowadzi działalność i w której przetwarzane są Dane osobowe są wydzielone lub zorganizowane w taki sposób aby uniemożliwiało to dostępu do danych osobowych osób nieupoważnionych.

§ 6
Dostęp do danych osobowych i upoważnienia do ich przetwarzania
1. Dane osobowe przetwarzane w Fizjo Admed przetwarzane są :
a) przez osoby wykonujące zawód medyczny – na podstawie przepisu ustawy z dn. 06.11.2008r. o prawach pacjenta i Rzeczniku Praw Pacjenta;
b) przez inne osoby niż wykonujące zawód medyczny – na podstawie upoważnienia nadanego przez Administratora;
2. Administrator prowadzi :
a) rejestr osób wykonujących zawód medyczny przetwarzających Dane osobowe – wg wzoru stanowiącego załącznik nr 3 do Regulaminu;
b) rejestr osób , którym wydano upoważnienie do przetwarzania Danych osobowych – wg wzoru stanowiącego załącznik nr 4 do Regulaminu;
3. Dane osobowe w Fizjo Admed przetwarzana są przez osoby upoważnione według następujących zasad:
a) dostęp do Danych osobowych mają jedynie osoby wskazane w pkt 1;
b) dostęp do Danych osobowych obejmujących dane o stanie zdrowia pacjentów Fizjo Admed mają wyłącznie osoby wskazane w pkt 1a)
c) osoby upoważnione do przetwarzania Danych osobowych przetwarzają te dane w zakresie upoważnienie i w celach wynikających z tego upoważnienia;
d) osoby upoważnione do przetwarzania danych osobowych zobowiązana jest do zachowania w tajemnicy informacji na temat procesów przetwarzania danych osobowych, w czasie trwania zatrudnienia, jak również po jego ustaniu;
e) upoważnienia do przetwarzania danych osobowych nadawane są zgodnie z zasadą minimalizacji, tj. w zakresie niezbędnym do wykonywania czynności związanych z pełnioną funkcją lub pracą na danym stanowisku;
4. Osoby upoważnione do przetwarzania danych osobowych zobowiązane są do zachowania poufności wobec danych osobowych, jakie przetwarzają, jak również do czynności przetwarzania – zarówno w okresie obowiązywania, jak i po wygaśnięciu upoważnienia do przetwarzania danych osobowych lub stosunku pracy.

§ 7
Powierzenie przetwarzania danych
1. W przypadkach gdy Administrator powierza przetwarzanie Danych osobowych zawiera odpowiednie umowy z podmiotami, którym powierza przetwarzanie tych danych – umowy w trybie art. 28 RODO.
2. Administrator prowadzi rejestr podmiotów, z którymi zawarł umowy dotyczące powierzenia przetwarzania danych osobowych wg wzoru stanowiącego załącznik nr 5 do Regulaminu.

§ 8
Obowiązek informacyjny
1. Administrator informuje daną osobę o przetwarzaniu jej danych osobowych – art. 13 i art. 14 RODO.
2. W informacji o przetwarzaniu danych osobowych Administrator podaje następujące dane :
a) swoje dane identyfikacyjne (ewidencyjne), w tym dane kontaktowe;
b) cele i podstawy prawne przetwarzania danych osobowych;
c) informacje o odbiorcach danych lub kategoriach odbiorców;
d) informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (o ile dotyczy);
e) okres, przez który dane będą przechowywane, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu;
f) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO w prawnie uzasadnionym interesie realizowanym przez Administratora lub przez stronę trzecią, informacje o przysługujących podmiotowi danych prawach;
g) jeżeli przetwarzanie odbywa się na podstawie zgody, której dane dotyczą – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
h) informacje o praw przysługujących osobom, których Dane osobowe są przetwarzane ;
i) informacje o zautomatyzowanym podejmowaniu decyzji.
3. Informacje, wskazane w pkt 2, przekazywane są w chwili gdy Administrator uzyskuje dostęp do Danych osobowych (pozyskuje Dane osobowe) , a jeżeli jest to wówczas niemożliwe Administrator przekazuje informację w rozsądnym terminie gdy przekazania informacji stało się możliwe;
4. Wzór informacji o przetwarzaniu danych osobowych stanowi załącznik nr 6 do Regulaminu.

§ 9
Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania
1. Administrator prowadzi :
a) Rejestr czynności przetwarzania – w celu ewidencjonowania procesów przetwarzania Danych osobowych, i
b) Rejestr kategorii czynności przetwarzania – w celu ewidencjonowania kategorii czynności przetwarzania Danych osobowych
2. W Rejestrze czynności przetwarzania podaje się:
1) nazwę czynności;
2) cel przetwarzania;
3) opis kategorie osób;
4) opis kategorii danych;
5) podstawę prawną przetwarzania;
6) źródło danych;
7) ogólny opis technicznych i organizacyjnych środków ochrony danych;
– Rejestr czynności przetwarzania prowadzony jest wg wzoru stanowiącego załącznik nr 7 do Regulaminu
3. W Rejestrze kategorii czynności przetwarzanie podaje się:
1) kategorię przetwarzań;
2) kategorie danych powierzonych do przetwarzania;
3) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa;
4) dane administratora danych osobowych;
5) dane podmiotów, którym dane są pod powierzane oraz kategorie tych pod powierzeń;
– Rejestr kategorii czynności przetwarzania prowadzony jest wg wzoru stanowiącego załącznik nr 8 do Regulaminu.

§ 10
Realizacja praw osób , których Dane osobowe są przetwarzane
1. Administrator zapewnia osobom których Dane osobowe są przetwarzane prawo do :
1) dostępy do tych danych;
2) sprostowania danych;
3) usunięcia danych;
4) ograniczenia przetwarzania;
5) przeniesienia danych;
6) wniesienia sprzeciwu wobec przetwarzania;
7) niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.
2. Administrator po otrzymaniu wniosku dotyczącego realizacji praw osoby, której Dane osobowe są przetwarzane weryfikuje jego zasadność oraz informuje osobę składająca wniosek o sposobie realizacji żądania.
3. Administrator prowadzi ewidencje, której wzór stanowi załącznik nr 9 do Regulaminu, wniosków osób, które zwróciły się o realizację praw wskazanych w ust.1.

§ 11
Incydenty naruszenia bezpieczeństwa przetwarzania danych
1. Za incydent naruszenia bezpieczeństwa przetwarzania danych osobowych uważa się każde zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych osobowych przetwarzanych w Fizjo Admed.
2. Każdy współpracownik Fizjo Admed w przypadku stwierdzenia wystąpienia lub podejrzenia wystąpienia incydentu naruszenia bezpieczeństwa przetwarzania danych osobowych zgłasza to Administratorowi danych osobowych;
3. Po otrzymaniu zgłoszenia, o którym mowa w pkt 2, Administrator odnotowuje otrzymanie zgłoszeniai wyjaśnia czy doszło do naruszenia bezpieczeństwa przetwarzania danych osobowych i przyczyny naruszenia bezpieczeństwa przetwarzania danych osobowych;
4. w przypadku stwierdzenia, że zaistniało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których Dane osobowe są przetwarzane, Administrator albo osoba upoważniona przez Administratora, bez zbędnej zwłoki zgłasza naruszenie do organu nadzorczego – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
5. Administrator danych osobowych po ocenie ryzyka naruszenia praw lub wolności osób fizycznych decyduje o konieczności i jeżeli jest to zasadne, bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu, jasnym i prostym językiem opisując charakter naruszenia ochrony danych osobowych.
6. Każdy incydent bezpieczeństwa przetwarzaniach danych jest ewidencjonowany. Wzór ewidencji określa załącznik nr 1 do Regulaminu.

§ 12
Postanowienia końcowe
1. Regulamin poddawana jest ocenie nie rzadziej niż raz w roku kalendarzowym pod względem skuteczności zapewnienia ochrony Danych osobowych i ich przetwarzania zgodnie z obowiązującymi przepisami.
2. W razie zmian Regulaminu przyjmuje się tekst jednolity Regulaminu.
3. Każda osoba upoważniona do przetwarzania danych osobowych jest zobowiązana, przed rozpoczęciem przetwarzania danych osobowych, do zapoznania się z Regulaminem.
4. Lista załączników do Regulaminu :
a) Wykaz zbiorów ewidencyjnych, w których gromadzone są dokumenty w formie papierowej – zał. Nr 1;
b) Ewidencja osób posiadających dostęp do systemów informatycznych – wykaz aktywnych kont dostępu do systemów informatycznych – zał. Nr 2;
c) Ewidencja osób wykonujących zawód medyczny przetwarzających Dane osobowe – zał. Nr 3;
d) Ewidencja osób , którym wydano upoważnienie do przetwarzania Danych osobowych – zał. Nr 4;
e) Rejestr podmiotów, z którymi Administrator zawarł umowy dotyczące powierzenia przetwarzania danych osobowych – zał. Nr 5;
f) Wzór informacji o przetwarzaniu danych osobowych – zał. Nr 6;
g) Rejestr czynności przetwarzania – zał. Nr 7;
h) Rejestr kategorii czynności przetwarzania – zał. Nr 8;
i) Rejestr wniosków dotyczących realizacja praw osób, których dane osobowe są przetwarzane – zał. Nr 9;
j) Rejestr incydentów lub podejrzenia zaistnienia incydentów bezpieczeństwa przetwarzaniach danych osobowych – zał. Nr 10.