Tulmed Sp. z o.o. | RODO
16883
page-template-default,page,page-id-16883,ajax_fade,page_not_loaded,,side_area_uncovered_from_content,vss_responsive_adv,vss_width_1000,footer_responsive_adv,qode-content-sidebar-responsive,qode-theme-ver-13.1.2,qode-theme-bridge,qode_advanced_footer_responsive_768,wpb-js-composer js-comp-ver-5.4.5,vc_responsive

RODO

Informacje ogólne

 

Polityka Bezpieczeństwa danych osobowych jest to zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji zasobów zawierających dane osobowe.

Politykę stosuje się do danych osobowych niezależnie od formy, zakresu przetwarzania, oraz lokalizacji zbioru. Poza tym sposób postępowania z danymi musi być zgodny z wymogami prawnymi stosowanymi na terenie Państwa Polskiego, a w szczególności z Ustawą o Ochronie Danych Osobowych oraz Ogólnym Rozporządzeniem o Ochronie Danych Osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016, dalej jako RODO).

W przedstawionej dokumentacji za Administratora Danych Osobowych (ADO) rozumie się Niepubliczny Zakład Opiekuńczo – Leczniczy Tulmed Sp. z o.o. Administratora Danych Osobowych reprezentuje Zarząd Spółki. ADO jest zobowiązany do:

  1. Wspierania działań mających na celu ochronę danych osobowych, oraz regularną weryfikację stanu bezpieczeństwa systemu.
  2. Zastosowania środków organizacyjnych i technicznych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
  3. Prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych.
  4. Zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

ADO powołuje Inspektora Ochrony Danych (IOD). Do zadań IOD należy w szczególności:

  • Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  • Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  • Koordynacja procesu analizy ryzyka związanego z przetwarzaniem danych osobowych,
  • Informowanie administratora (lub podmiotu przetwarzającego) oraz pracowników, którzy przetwarzają dane osobowe, o spoczywających na nich obowiązkach i doradzanie im w tej sprawie,
  • Koordynacja procesu reakcji na incydenty w zakresie bezpieczeństwa informacji,
  • Nadzorowanie zasady bezpieczeństwa danych osobowych przetwarzanych w systemach teleinformatycznych i monitorowanie poziomu bezpieczeństwa IT,
  • Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami;
  • Sprawowanie nadzoru nad dokumentacją ochrony danych osobowych.

Ochrona danych osobowych przetwarzanych w Niepubliczny Zakład Opiekuńczo – Leczniczy Tulmed Sp. z o.o. (zwany dalej NZOL lub ADO) obowiązuje wszystkie osoby (bez względu na zajmowane stanowisko oraz miejsce wykonywania jak również charakter stosunku pracy), które mają dostęp do danych osobowych zbieranych, przetwarzanych oraz przechowywanych w NZOL w związku z prowadzoną działalnością. Na potrzeby niniejszej polityki za pracownika uznaje się wszystkie te osoby (niezależnie od stosunku zatrudnienia).

Osoby mające dostęp do danych osobowych zobowiązane są do stosowania środków określonych w niniejszej polityce, regulacjach wewnętrznych NZOL, oraz innych aktach prawnych z którymi pracownik został zapoznany. Środki te mogą wiązać pracownika zarówno podczas trwania stosunku pracy jak i po jego ustaniu.

 

 

Klauzula informacyjna dla osób objętych monitoringiem wizyjnym

 

  1. Szanowna Pani Panie, Administratorem Twoich danych osobowych gromadzonych w systemie monitoringu wizyjnego jest

Niepubliczny Zakład Opiekuńczo – Leczniczy Tulmed Sp. z o. o. zwany dalej: „Administratorem”. Możesz skontaktować się z Administratorem pisząc na adres: Tulniki 65, 21-220 Siemień lub telefonując pod numer 83 3547524. Możesz również skontaktować się z Administratorem za pośrednictwem powołanego przez niego inspektora ochrony danych , pisząc na adres: jacek.borsukiewicz@togatus.pl

  1. Twoje dane przetwarzane są w celu ochrony obiektu i mienia oraz zapewnienia bezpieczeństwa na terenie Niepubliczny Zakład Opiekuńczo – Leczniczy Tulmed Sp. z o. o.. Monitoring wizyjny realizowany jest w ramach prawnie uzasadnionego interesu Administratora.
  2. Twoje dane osobowe przetwarzane są wyłącznie w zakresie związanym z realizacją powyższych celów. Nie udostępniamy Twoich danych innym odbiorcom oprócz podmiotów upoważnionych na podstawie przepisów prawa.
  3. Administrator nie zamierza przekazywać Twoich danych do państwa trzeciego ani do organizacji międzynarodowych.
  4. Twoje dane będą przechowywane nie dłużej niż przez okres jednego miesiąca. Przetwarzanie danych osobowych za pomocą systemu monitoringu wizyjnego obejmuje: Poniżej lista miejsc objętych monitoringiem:

Budynek NZOL Tulniki 65

  1. Masz prawo żądać od Administratora dostępu do swoich danych, ich sprostowania, zaktualizowania, jak również masz prawo do ograniczenia przetwarzania danych. Zasady udostępnienia dokumentacji pracowniczej zostały określone przez przepisy polskiego prawa.
  2. W związku z przetwarzaniem Twoich danych osobowych przez Administratora przysługuje Ci prawo wniesienia skargi do organu nadzorczego.

8.*   W oparciu o Twoje dane osobowe Administrator nie będzie podejmował wobec Ciebie zautomatyzowanych decyzji, w tym decyzji będących wynikiem profilowania*.

* Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej,  w szczególności do analizy lub prognozy aspektów dotyczących pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

 

Klauzula informacyjna dla podmiotów wykonujących działalność leczniczą

 

 Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016, dalej jako Rozporządzenie) informuję, iż:

1) Administratorem Pani/Pana danych osobowych jest Niepubliczny Zakład Opiekuńczo – Leczniczy Tulmed Sp. z o. o.

2) Administrator wyznaczył Inspektora Ochrony Danych, z którym mogą się Państwo kontaktować w sprawach przetwarzania Państwa danych osobowych za pośrednictwem poczty elektronicznej: jacek.borsukiewicz@togatus.pl

3) Na podstawie art. 6 ust. 1 lit. b), c) i f) Rozporządzenia oraz celem przetwarzania  Pana/Pani danych osobowych w związku z udzielaniem świadczeń zdrowotnych jest bezpieczeństwo i organizacja pracy.

4) Odbiorcami Pani/Pana danych osobowych będą osoby fizyczne lub prawne, organy publiczne lub inne podmioty, którym administrator je ujawnia do celów wynikających w związku z prawnie uzasadnionymi interesami realizowanymi przez administratora.

5) Pani/Pana dane osobowe przechowywane będą  zgodnie z obowiązującymi przepisami a w pozostałych przypadkach do ustania przyczyn biznesowych oraz do momentu odwołania zgody.

6) Posiada Pani/Pan prawo do żądania od Administratora dostępu do danych osobowych, prawo do ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych, prawo do cofnięcia zgody w dowolnym momencie.

7) Ma Pani/Pan prawo wniesienia skargi do Organu Nadzorczego.

 

Klauzula informacyjna dla Pracowników  Niepubliczny Zakład Opiekuńczo – Leczniczy Tulmed Sp. z o. o.

 

 Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016, dalej jako Rozporządzenie) informuję, iż:

1) Administratorem Pani/Pana danych osobowych jest Niepubliczny Zakład Opiekuńczo – Leczniczy Tulmed Sp. z o.o.

2) Administrator wyznaczył Inspektora Ochrony Danych, z którym mogą się Państwo kontaktować w sprawach przetwarzania Państwa danych osobowych za pośrednictwem poczty elektronicznej: jacek.borsukiewicz@togatus.pl

3) Na podstawie art. 6 ust. 1 lit. b), c) i f) Rozporządzenia oraz Kodeksu Pracy z dnia 26 czerwca 1974r. celem przetwarzania  Pana/Pani danych osobowych jest zatrudnianie, bezpieczeństwo i organizacja pracy.

4) Odbiorcami Pani/Pana danych osobowych będą osoby fizyczne lub prawne, organy publiczne lub inne podmioty, którym administrator je ujawnia do celów wynikających w związku z prawnie uzasadnionymi interesami realizowanymi przez administratora.

5) Pani/Pana dane osobowe przechowywane będą przez okres 50 lat, na podstawie Kodeksu Pracy a w pozostałych przypadkach do ustania przyczyn biznesowych oraz do momentu odwołania zgody.

6) Posiada Pani/Pan prawo do żądania od administratora dostępu do danych osobowych, prawo do ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych, prawo do cofnięcia zgody w dowolnym momencie.

7) Ma Pani/Pan prawo wniesienia skargi do Organu Nadzorczego.

 

Klauzula informacyjna dla kandydatów do pracy w Niepubliczny Zakład Opiekuńczo – Leczniczy Tulmed Sp. z o.o.

 

 Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016, dalej jako Rozporządzenie) informuję, iż:

1) Administratorem Pani/Pana danych osobowych jest Niepubliczny Zakład Opiekuńczo – Leczniczy Tulmed Sp. z o. o.

2) Administrator wyznaczył Inspektora Ochrony Danych, z którym mogą się Państwo kontaktować w sprawach przetwarzania Państwa danych osobowych za pośrednictwem poczty elektronicznej: jacek.borsukiewicz@togatus.pl

3)  Pani Pana dane przetwarzane będą dla potrzeb aktualnej i przyszłych rekrutacji na podstawie art. 6 ust. 1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r   a oraz Kodeksu Pracy z dnia 26 czerwca 1974r.

4) Odbiorcami Pani/Pana danych osobowych będą osoby fizyczne lub prawne, organy publiczne lub inne podmioty, którym administrator je ujawnia do celów wynikających w związku z prawnie uzasadnionymi interesami realizowanymi przez administratora.

5) Pani/Pana dane osobowe przechowywane będą przez okres rekrutacji, w pozostałych przypadkach do ustania przyczyn biznesowych oraz do momentu odwołania zgody.

6) Posiada Pani/Pan prawo do żądania od administratora dostępu do danych osobowych, prawo do ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych, prawo do cofnięcia zgody w dowolnym momencie.

7) Ma Pani/Pan prawo wniesienia skargi do organu nadzorczego.

Ocenę skutków dla ochrony danych osobowych (DPIA) przeprowadza każdorazowy właściciel procesu wskazany przez administratora danych.

DPIA jest przeprowadzana przy każdorazowej istotnej zmianie procesu przetwarzania danych osobowych, np. zmiana dostawcy usług, zmiana sposobu przetwarzania danych, wymiana zasobów biorących udział w procesie.

Analizę ryzyka dla zasobów biorących udział w procesach przeprowadza każdorazowy właściciel procesu wskazany przez administratora danych lub administrator danych samodzielnie lub  przy pomocy IOD.

 

Klauzula informacyjna dla Pacjenta

 

Zgodnie z art. 13 ust. 1 Ogólnego Rozporządzenia o Ochronie Danych (RODO) informujemy, że:

1) Administratorem danych osobowych Pacjentów jest Niepubliczny Zakład Opiekuńczo – Leczniczy Tulmed Sp. z o. o.

2) Administrator wyznaczył Inspektora Ochrony Danych, z którym mogą się Państwo kontaktować w sprawach przetwarzania Państwa danych osobowych za pośrednictwem poczty elektronicznej: jacek.borsukiewicz@togatus.pl

3) Administrator będzie przetwarzał Państwa dane osobowe na podstawie art. 9 ust. 2 lit. h) RODO, tj. w celu zapewnienia opieki zdrowotnej, co wynika z ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz ustawy z dnia 15 kwietnia 2011 r.
o działalności leczniczej.

4) Dane osobowe mogą być udostępnione innym uprawnionym podmiotom, na podstawie przepisów prawa, a także na rzecz podmiotów, z którymi administrator zawarł umowę powierzenia przetwarzania danych w związku z realizacją usług na rzecz administratora
(np. laboratorium zewnętrznym, kancelarią prawną, dostawcą oprogramowania, zewnętrznym audytorem, zleceniobiorcą świadczącym usługę z zakresu ochrony danych osobowych).

5) Administrator nie zamierza przekazywać Państwa danych osobowych do państwa trzeciego lub organizacji międzynarodowe.

6) Mają Państwo prawo uzyskać kopię swoich danych osobowych w siedzibie administratora.

 

Dodatkowo zgodnie z art. 13 ust. 2 RODO informujemy, że:

1) Państwa dane osobowe będą przechowywane przez okres wynikający z przepisów prawa, tj. z art. 29 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta,

2) przysługuje Państwu prawo dostępu do treści swoich danych, ich sprostowania lub ograniczenia przetwarzania, a także prawo do wniesienia skargi do organu nadzorczego.

 

PROCEDURY

 

PROCEDURA 1

 

Prawo do ograniczenia przetwarzania danych

 

 

Procedura  bezpieczeństwa przetwarzania danych osobowych

 

Data wprowadzenia:

00.00.2018 r.

Numer

Procedury :

1

Realizacja prawa do ograniczenia przetwarzania danych osoby, której dane dotyczą Nr wersji procedury : 1.0
Ilość stron : 2

 

  1. Uczestnicy procedury:
  • wnioskodawca;
  • osoba upoważniona do przetwarzania danych osobowych;
  • Administrator Systemu Informatycznego;
  • Administrator danych.
  1. Wymagane dokumenty:
  • wniosek osoby, której dane dotyczą, o ograniczenie przetwarzania jego danych osobowych;
  • ewidencja udzielanych informacji w sprawach dotyczących praw osób, których dane dotyczą;
  • odpowiedź na wniosek.
  1. Przesłanki warunkujące skuteczność żądania:

Osoba, której dane dotyczą, ma prawo żądania ograniczenia przetwarzania w następujących przypadkach:

  • osoba ta kwestionuje prawidłowość danych osobowych – na okres pozwalający sprawdzić prawidłowość tych danych;
  • przetwarzanie jest niezgodne z prawem, a osoba ta sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
  • administrator Danych nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne tej osobie do ustalenia, dochodzenia lub obrony roszczeń;
  • osoba ta wniosła sprzeciw wobec przetwarzania jej danych – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora Danych są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
  1. Procedura:
  • rejestracja wniosku
  • ustalenie zasadności żądania;
  • przedstawienie propozycji działania Administratorowi danych;
  • w przypadku żądania uzasadnionego (pkt 3):
    • powiadomić Administratora danych o konieczności ograniczenia przetwarzania danych,
    • na podstawie decyzji Administratora danych ograniczyć przetwarzanie tylko do przechowywania danych,
    • przygotować odpowiedź na żądanie i przedstawić ją do podpisu Administratorowi danych,
    • wysłać odpowiedź wnioskodawcy i poinformować o odbiorcach danych, jeżeli żądano tego we wniosku,
    • poinformować pisemnie odbiorców danych o decyzji ograniczenia przetwarzania,

W przypadku podjęcia decyzji o ograniczeniu przetwarzania danych – dane te można przetwarzać wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego;

  1. W przypadku żądania nieuzasadnionego:
  • sporządzić decyzję odmowną ograniczenia przetwarzania z uzasadnieniem,
  • przedstawić decyzję do podpisu Administratorowi danych;
  • przesłać decyzję wnioskodawcy listem poleconym.

 

PROCEDURA 2

 

Prawo dostępu do danych

 

 

Procedura  bezpieczeństwa przetwarzania danych osobowych

 

Data wprowadzenia:

00.00.2018 r.

Numer

Procedury :

2

Realizacja prawa dostępu do danych osobowych osoby, której dane dotyczą Nr wersji procedury : 1.0
Ilość stron : 1
  1. Uczestnicy procedury:
  • wnioskodawca
  • osoby wyznaczone do realizacji prawa przez Administratora;
  • Administrator danych.
  1. Wymagane dokumenty:
  • wniosek o udostępnienie danych osobowych;
  • wzór odpowiedzi na żądanie prawa dostępu do danych;
  • ewidencja udzielanych informacji w sprawach dotyczących praw osób, których dane dotyczą.
  1. Procedura:
  • ujęcie wniosku na ewidencję;
  • przygotowanie odpowiedzi na wniosek;
  • przedstawienie Administratorowi danych wniosku do podpisu;
  • wysłanie odpowiedzi do wnioskodawcy;
  • dokonanie wpisu w ewidencji o wysłaniu odpowiedzi na wniosek.
  1. Uwagi:
  • udzielane informacje:
    • cele przetwarzania danych osobowych,
    • kategorie danych osobowych,
    • odbiorcy lub kategorie odbiorców danych,
    • planowany okres przechowywania danych osobowych lub kryteria ustalania tego okresu,
    • informacje o prawie do sprostowania danych, usunięcia lub ograniczenia przetwarzania danych osobowych oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
    • informacja o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych w Warszawie,
    • informacja źródle pozyskania danych osobowych,
    • informacja o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu oraz istotne informacje o zasada ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
  • wnioskodawcy dostarcza się kopie danych osobowych podlegających przetwarzaniu. Za kolejne kopie pobiera się opłatę, wynikającą z kosztów administracyjnych.

 

PROCEDURA 3

 

Prawo do sprostowania danych

 

 

Procedura  bezpieczeństwa przetwarzania danych osobowych

 

Data wprowadzenia:

00.00.2018 r.

Numer

Procedury :

3

Realizacja prawa do sprostowania danych osoby,
której dane dotyczą
Nr wersji procedury : 1.0
Ilość stron : 1

 

  1. Uczestnicy procedury:
  • wnioskodawca;
  • osoba upoważniona do przetwarzania danych osobowych;
  • Administrator Systemu Informatycznego;
  • Administrator danych.
  1. Wymagane dokumenty:
  • wniosek osoby, której dane dotyczą, o sprostowanie danych osobowych;
  • ewidencja udzielanych informacji w sprawach dotyczących praw osób, których dane dotyczą;
  • odpowiedź na wniosek;
  • opcjonalnie – dodatkowe oświadczenie o przetwarzaniu danych osobowych.
  1. Procedura:
  • rejestracja wniosku;
  • sprostowanie nieprawidłowych danych osobowych w zbiorze przetwarzanym w systemie informatycznym lub przetwarzanym tradycyjnie;
  • przygotowanie odpowiedzi na wniosek o sprostowaniu danych;
  • przedstawienie odpowiedzi na wniosek do podpisu Administratorowi danych;
  • przesłanie wnioskodawcy odpowiedzi na wniosek;
  • opcjonalnie – przesłanie wnioskodawcy dodatkowego oświadczenia o przetwarzaniu danych osobowych;
  • przesłać odbiorcom danych informację o decyzji sprostowania danych.

 

PROCEDURA 4

 

Prawo do usunięcia danych – bycia zapomnianym

 

 

Procedura  bezpieczeństwa przetwarzania danych osobowych

 

Data wprowadzenia:

00.00.2018 r.

Numer

Procedury :

4

Realizacja prawa do usunięcia danych – do bycia zapomnianym – osoby, której dane dotyczą Nr wersji procedury : 1.0
Ilość stron : 2

 

  1. Uczestnicy procedury:
  • wnioskodawca;
  • osoba upoważniona do przetwarzania danych osobowych;
  • Administrator Systemu Informatycznego;
  • Administrator danych.
  1. Wymagane dokumenty:
  • wniosek osoby, której dane dotyczą, o usunięcie danych osobowych („bycia zapomnianym”);
  • ewidencja udzielanych informacji w sprawach dotyczących praw osób, których dane dotyczą;
  • odpowiedź na wniosek.
  1. Przesłanki warunkujące żądanie usunięcia danych („do bycia zapomnianym”):
  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych „zwykłych” lub „szczególnych kategorii” i nie ma innej podstawy prawnej przetwarzania;
  • osoba, której dane dotyczą, wnosi sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania jej danych osobowych:
    • w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi Danych,
    • do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora Danych, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem,
    • opartych na profilowaniu;

i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,

    • na potrzeby marketingu bezpośredniego, w tym profilowania;
  • dane osobowe są przetwarzane niezgodnie z prawem;
  • dane osobowe muszą być usunięte w celu wywiązania się z obowiązku prawnego;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego oferowanych dziecku, które ukończyło 16 lat.

W przypadku upublicznienia danych osobowych Administratora Danych ma obowiązek usunąć te dane osobowe, podejmując w tym celu rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich repliki.

  1. Nieskuteczność żądania:

Żądanie usunięcia danych („bycia zapomnianym”) jest nieskuteczne w zakresie w jakim przetwarzanie jest niezbędne:

  • do korzystania z prawa do wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi Danych;
  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego:
    • profilaktyki zdrowotnej, medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa lub zgodnie z umową z pracownikami służby zdrowia,
    • interes publiczny w dziedzinie zdrowia publicznego, taki jak ochrona przed zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa, które przewiduje odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową,

z zastrzeżeniem warunków i zabezpieczeń, że dane osobowe będą przetwarzane przez lub na odpowiedzialność pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi  zachowania  tajemnicy  zawodowej  na  mocy  prawa  lub   przepisów ustanowionych przez właściwe organy krajowe;

  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub dla celów statystycznych, o ile prawdopodobne jest, że realizacja prawa do usunięcia danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
  • do ustalenia, dochodzenia lub obrony roszczeń.
  1. Procedura:
  • rejestracja wniosku;
  • ustalenie zasadności żądania;
  • w przypadku żądania uzasadnionego (pkt 3):
    • powiadomić Administratora danych o konieczności usunięcia danych,
    • na podstawie decyzji Administratora danych usunąć dane i powiadomić innych administratorów w przypadku upublicznienia danych,
    • przygotować odpowiedź na żądanie i przedstawić ją do podpisu Administratorowi danych,
    • wysłać odpowiedź wnioskodawcy i poinformować go o odbiorcach danych,
    • poinformować odbiorców danych o decyzji usunięcia danych;
  • w przypadku żądania nieuzasadnionego (pkt 4):
    • powiadomić Kierownika Administratora danych o nieskuteczności żądania, z określeniem przyczyny,
    • przygotować odpowiedź na żądanie wnioskodawcy i przedstawić ją do podpisu Administratorowi danych,
    • wysłać odpowiedź wnioskodawcy.

 

PROCEDURA 5

 

Prawo do przenoszenia danych

 

 

Procedura bezpieczeństwa przetwarzania danych osobowych

 

Data wprowadzenia:

00.00.2018 r.

Numer

Procedury :

5

Realizacja prawa do przenoszenia
danych osoby, której dane dotyczą
Nr wersji procedury : 1.0
Ilość stron : 2

 

  1. Uczestnicy procedury:
  • wnioskodawca
  • osoba upoważniona do przetwarzania danych osobowych;
  • Administrator Systemu Informatycznego;
  • Administrator danych.
  1. Wymagane dokumenty:
  • wniosek osoby, której dane dotyczą, o przeniesienie danych osobowych;
  • ewidencja udzielanych informacji w sprawach dotyczących praw osób, których dane dotyczą;
  • odpowiedź na wniosek.
  1. Przesłanki warunkujące zasadność żądania:

Osoba, której dane dotyczą ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do druku dane osobowe jej dotyczące, które dostarczyła Administratorowi Danych, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu  dostarczono te dane, jeżeli:

  • przetwarzanie odbywa się na podstawie zgody lub umowy;
  • przetwarzanie odbywa się w sposób zautomatyzowany.

Wykonując prawo do przenoszenia danych osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez Administratora Danych bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

  1. Nieskuteczność żądania:
  • prawo do przenoszenia danych nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi Danych;
  • prawo do przenoszenia danych nie ma zastosowania w przypadku przetwarzania danych dla celów interesu publicznego w dziedzinie zdrowia publicznego takich, jak:
    • profilaktyka zdrowotna,  medycyna pracy, ocena zdolności pracownika do pracy, diagnoza medyczna, zapewnienie opieki zdrowotnej lub zabezpieczenia społecznego, leczenie lub zarządzanie systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa lub zgodnie z umową z pracownikami służby zdrowia,
    • ochrona przed zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa, które przewiduje odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową,

z zastrzeżeniem warunków i zabezpieczeń, że dane osobowe będą przetwarzane przez lub na odpowiedzialność pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi  zachowania  tajemnicy  zawodowej  na  mocy  prawa  lub  przepisów ustanowionych przez właściwe organy krajowe;

  • prawo do przenoszenia danych nie ma zastosowania w przypadku przetwarzania danych dla celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub dla celów statystycznych, o ile prawdopodobne jest, że realizacja prawa do usunięcia danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
  • prawo do przenoszenia danych nie ma zastosowania w przypadku przetwarzania danych dla celów ustalenia, dochodzenia lub obrony roszczeń.
  1. Procedura:
  • rejestracja wniosku ;
  • ustalenie zasadności żądania;
  • przedstawienie propozycji działania Administratorowi danych;
  • w przypadku żądania uzasadnionego (pkt 3):
    • powiadomić Administratora danych o konieczności przeniesienia danych,
    • na podstawie decyzji Administratora danych przygotować w ustrukturyzowanym, powszechnie używanym formacie nadającym się do druku dane osobowe dotyczące wnioskodawcy,
    • przesłać wnioskodawcy  przygotowane dane lub bezpośrednio wskazanemu przez wnioskodawcę administratorowi,
    • poinformować pisemnie wnioskodawcę o sposobie realizacji wniosku;
  • w przypadku żądania nieuzasadnionego (pkt 4):
    • sporządzić decyzję odmowną z uzasadnieniem,
    • przedstawić decyzję do podpisu Administratorowi danych;
    • przesłać decyzję wnioskodawcy listem poleconym za potwierdzeniem odbioru.

 

PROCEDURA 6

 

Prawo do sprzeciwu na zautomatyzowane podejmowanie decyzji, w tym profilowanie

 

 

 

Procedura  bezpieczeństwa przetwarzania danych osobowych

 

Data wprowadzenia:

00.00.2018 r.

Numer

Procedury :

6

Realizacja prawa do sprzeciwu na zautomatyzowane
podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie
Nr wersji procedury : 1.0
Ilość stron : 2

 

  1. Uczestnicy procedury:
  • wnioskodawca;
  • osoba upoważniona do przetwarzania danych osobowych;
  • Administrator Systemu Informatycznego;
  • Administrator danych.
  1. Wymagane dokumenty:
  • sprzeciw osoby, której dane dotyczą, na zautomatyzowane podejmowanie decyzji, w tym profilowanie;
  • ewidencja udzielanych informacji w sprawach dotyczących praw osób, których dane dotyczą;
  • odpowiedź na sprzeciw.
  1. Przesłanki warunkujące skuteczność sprzeciwu:
  • osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania jej danych celem:
    • wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
    • wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem, w  tym  profilowania.  W  takich  przypadkach  nie  wolno  już  przetwarzać  tych danych osobowych, chyba że wykaże się istnienie ważnych prawnie uzasadnionych  podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń;
  • jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania  dotyczących jej danych osobowych  na potrzeby  takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. W taki przypadku nie wolno już przetwarzać tych danych osobowych do takich celów;
  • jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych, osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym;
  • osoba, której dane dotyczą, ma prawo by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

Uwagi:

  • najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie do sprzeciwu w przypadku celów przetwarzania określonych w ust. 3 pkt 1 i 2
  • osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.
  1. Nieskuteczność sprzeciwu:

W przypadku zautomatyzowanego przetwarzania danych osobowych, w tym profilowania sprzeciw jest nieskuteczny w przypadku:

  • gdy decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
  • gdy takie przetwarzanie danych jest dozwolone prawem i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą;
  • jeżeli decyzja opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Decyzje nie mogą opierać się na szczególnych kategoriach danych osobowych, chyba że osoba, której dane dotyczą wyraziła na to zgodę  lub dane przetwarzane są ze względu na ważny interes publiczny.

  1. Procedura:
  • rejestracja sprzeciwu;
  • ustalenie zasadności sprzeciwu;
  • przedstawienie propozycji decyzji Administratorowi danych;
  • w przypadku sprzeciwu uzasadnionego (pkt 3):
    • powiadomić Administratora danych o konieczności zaprzestania przetwarzania danych,
    • zaprzestać przetwarzanie danych osobowych,
    • na podstawie decyzji Administratora danych przygotować odpowiedź na sprzeciw,
    • poinformować pisemnie osobę wnoszącą sprzeciw o sposobie realizacji żądania;
  • w przypadku nieskuteczności sprzeciwu (pkt 4):
    • sporządzić decyzję odmowną z uzasadnieniem,
    • przedstawić decyzję do podpisu Administratorowi danych,
    • przesłać decyzję wnioskodawcy listem poleconym za potwierdzeniem odbioru

 

PROCEDURA 7

 

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych

 

 

 

Procedura  bezpieczeństwa przetwarzania danych osobowych

 

Data wprowadzenia:

00.00.2018 r.

Numer

Procedury :

7

Zawiadamianie osoby, której dane dotyczą
o  naruszeniu ochrony danych osobowych
Nr wersji procedury : 1.0
Ilość stron : 1
  1. Uczestnicy procedury:
  • Inspektor Ochrony Danych Osobowych;
  • Administrator danych.
  1. Wymagane dokumenty:
  • zawiadomienie o naruszeniu ochrony danych osobowych;
  • ewidencja naruszeń ochrony danych osobowych.
  1. Wymagalność zawiadomienia osoby, której dane dotyczą:

Zawiadomienie jest wymagane jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Zawiadomienie powinno jasnym i prostym językiem opisać charakter naruszenia ochrony danych osobowych oraz zawierać:

  • imię i nazwisko Inspektora Ochrony Danych Osobowych oraz jego dane kontaktowe
  • możliwe konsekwencje naruszenia ochrony danych osobowych
  • środki zastosowane lub proponowane w celu zaradzenia naruszeniu ochrony danych osobowych w tym środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  1. Przypadki, w których nie jest wymagane zawiadomienie:
  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i zostały one zastosowane do danych osobowych, których dotyczy naruszenie – w szczególności takie jak szyfrowanie;
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
  • zawiadomienie osoby, której dane dotyczą, wymagałoby niewspółmiernie dużego wysiłku – w tym przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
  1. Procedura:
  • na podstawie raportu ASI opracować zawiadomienie osoby, której dane dotyczy, o naruszeniu ochrony jej danych;
  • zarejestrować zawiadomienie w Ewidencji naruszeń ochrony danych osobowych;
  • przedstawić zawiadomienie Administratorowi danych do podpisu;
  • przesłać zawiadomienie listem poleconym za potwierdzeniem odbioru;
  • drugi egzemplarz zarchiwizować w teczce akt.

 

PROCEDURA 8

 

Udostępnienie danych osobowych

 

 

 

Procedura  bezpieczeństwa przetwarzania danych osobowych

 

Data wprowadzenia:

00.00.2018 r.

Numer

Procedury :

8

Wniosek o udostępnienie danych osobowych na podstawie przepisów prawa Nr wersji procedury : 1.0
Ilość stron : 5

 

 

 

………………………….,dnia ……………………….

 

Sz.P…………………………………..

………………………………………..

 

WNIOSEK O UDOSTĘPNIENIE DANYCH ZE ZBIORU DANYCH OSOBOWYCH

 

1.Wnioskodawca :

 

 

2.Podstawa prawna upoważniająca do pozyskania informacji :

 

 

3.Oznaczenie lub nazwa zbioru, z którego mają być udostępnione informacje:

 

 

4.Zakres żądanych informacji ze zbioru:

 

 

5.Forma przekazania lub udostępnienia informacji:

 

 

6.Imię, nazwisko osoby upoważnionej do pobrania informacji lub zapoznania się z ich treścią:

 

 

 

………………………………………….

(Imię i nazwisko, podpis)

 

Opinia Inspektora Ochrony Danych Osobowych  :

 

 

 

…………………………………………..

(Podpis IODO)

 

Decyzja Administratora danych :

 

 

 

…………………………………………..

(Podpis Administratora danych)

 

5.Wniosek o udostępnianie dokumentacji medycznej

 

 

………………………….,dnia ……………………….

 

Sz.P…………………………………..

………………………………………..

 

 

WNIOSEK O UDOSTĘPNIENIE DOKUMENTACJI MEDYCZNEJ

 

Dane osoby wnioskującej o wydanie dokumentacji:

Imię i nazwisko: …………………………………………………………………………………………………………………………

PESEL: …………………………………………………………………………………………………………………………………….

Adres zamieszkania:……………………………………………………………………………………………………………………

Numer  telefonu kontaktowego:……………………………………………………………………………………

Dane pacjenta, którego dokumentacja dotyczy:

(wypełnić w przypadku, gdy wnioskodawcą jest inna osoba niż pacjent)

Imię i nazwisko: …………………………………………………………………………………………………………………………

PESEL: …………………………………………………………………………………………………………………………………….

Wnioskuję o :

o wydanie oryginału dokumentacji medycznej

o wydanie kserokopii dokumentacji medycznej

o wydanie wyciągu dokumentacji medycznej

o wydanie odpisu dokumentacji medycznej

o sporządzenie i wydanie kopii dokumentacji medycznej na płycie CD

o udostępnienie dokumentacji medycznej do wglądu

 

Rodzaj dokumentacji medycznej:

  • ………………………………………………………………………………………………………………………………………………..
  • okres leczenia: …………………………………………………………………………………………………………………………

 

Wnioskowaną dokumentację:

o odbiorę osobiście

o proszę wysłać na adres: …………………………………………………………………………………………………………..

o odbierze osoba upoważniona:

− imię i nazwisko: ……………………………………………………………………………………………………………………….

−numer dowodu osobistego: ………………………………………………………………………………………………………..

 

Oświadczam, iż:

1) zobowiązuję się do poniesienia kosztów wykonania kopii dokumentacji medycznej, zgodnie z cennikiem obowiązującym w ……………………..;

2) pokryję koszty przesyłki pocztowej (w przypadku wysłania dokumentacji pocztą);

3) w przypadku nie odebrania zleconej do kopiowania dokumentacji medycznej w terminie 14 dni od powiadomienia o przygotowaniu dokumentacji, zobowiązuję się do pokrycia kosztów sporządzonej kopii.

…………………………………….                                                                               ………………………………

  miejscowość, data                                                                                                                    podpis wnioskodawcy

 

POTWIERDZENIE WPŁYWU:

 

Data: …………………………………………………

Uzgodniony termin odbioru / wysyłki / udostępnienia do wglądu:…………………………………………….

Podpis pracownika: ………………………………..

WERYFIKACJA WNIOSKU (wypełnia osoba wskazana przez Administratora)

Stwierdzam, że wnioskodawca jest upoważniony / nie jest upoważniony do odbioru w /w. dokumentacji medycznej.

Uzasadnienie:

…………………………………………………………………………………………………………………………………………………

………………………………………………………….

data i podpis osoby dokonującej weryfikacji

DECYZJA

Wyrażam zgodę / Nie wyrażam zgody* na udostępnienie w /w. dokumentacji medycznej zgodnie z wnioskiem.

……………………………………………………………..

data i podpis Administratora

POTWIERDZENIE WYDANIA DOKUMENTACJI

Dokumentacja:

o wysłana pocztą na wskazany adres w dniu: …………………………………,……………………………………..

o odebrana osobiście przez pacjenta,

o odebrana przez osobę upoważnioną przez pacjenta:

o upoważnienie w dokumentacji medycznej,

o upoważnienie w niniejszym wniosku,

o odrębne pisemne upoważnienie (załączone do wniosku).

 

Naliczono opłaty w wysokości: …………………………………………………………………………………………………….

…………………………………………………………..

data i podpis pracownika wydającego dokumentację

 

POTWIERDZENIE ODBIORU:

Potwierdzam odbiór wnioskowanej dokumentacji.

…………………………………………………………..

data i podpis osoby odbierającej dokumentację

 

Tożsamość osoby odbierającej potwierdzona na podstawie:

………………………………………………………………………………………………………………………………………………..

(rodzaj i numer dokumentu)

…………………………………………………………..

data i podpis pracownika wydającego dokumentację

 

 

DO POBRANIA – WNIOSEK O UDOSTĘPNIENIE DOKUMENTACJI MEDYCZNEJ