SkinProjectClinic

Kontakt

Regulamin polityki ochrony danych osobowych

Postanowienia ogólne

  1. Polityka Ochrony Danych Osobowych, zawiera wykaz zasad określających sposoby bezpiecznego przetwarzania danych osobowych oraz opis środków organizacyjno – technicznych stosowanych w celu zapewnienia ochrony praw i wolności osób fizycznych, których dane są przetwarzane w związku z działalnością Administratora danych osobowych, którym jest: KLAUDIA KOZIEŁ, NIP : 9252133136, REGON: 388220933, 53-601 Wrocław, Tęczowa, nr 83r, lok. 9
  2.  
  3. Polityka obejmuje całokształt zagadnień związanych z problemem zabezpieczenia danych osobowych przetwarzanych zarówno tradycyjnie, jak i w systemach informatycznych. Wskazuje działania przewidziane do wykonania oraz sposób ustanawiania zasad i reguł postępowania koniecznych do zapewnienia właściwej ochrony przetwarzanych danych osobowych. W przypadku konieczności podyktowanej potrzebą stanu faktycznego ADO posiada narzędzia prawne do doprecyzowywania, wyjaśniania, interpretowania oraz uzupełniania treści Polityki w drodze odrębnych procedur, czy to protokołów zmieniających.

Podstawy prawne

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia  2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [dalej Rozporządzenie RODO / RODO] 
  2. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych [dalej Ustawa]
  3. Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy, oraz przepisy wykonawcze wydane na jego podstawie regulujące zagadnienia dot. stosunku pracy.
  4. Ustawa z dnia z 23 kwietnia 1964 r. Kodeks Cywilny, oraz przepisy wykonawcze wydane na jego podstawie regulujące zagadnienia dot. wykonywania umów cywilnoprawnych.

Słowniczek pojęć

  • Administrator Danych Osobowych / ADO – Klaudia Kozieł, z siedzibą we Wrocławiu, ul.  Tęczowa nr 83r, lok. 9, ustala cele i sposoby przetwarzania danych osobowych 
  • Firma- Klaudia Kozieł, z siedzibą we Wrocławiu, ul.  Tęczowa nr 83r, lok. 9,
  • Organ Nadzorczy – Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.
  • Inspektor ochrony danych / IOD – osoba wyznaczona przez ADO realizująca właściwe dla jej funkcji zadania zgodnie z Rozporządzeniem RODO. 
  • Specjalista ds. Bezpieczeństwa Danych / Specjalista  – osoba wyznaczona przez ADO w sytuacji, kiedy nie został wyznaczony IOD, realizująca odpowiednio zadania, jakie Rozporządzenie RODO przewiduje dla IOD
  • Administrator Systemów Informatycznych / ASI – osoba / podmiot odpowiedzialna za obsługę informatyczną ADO.
  • Rozporządzenie RODO / RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
    i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
  • Ustawa – Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
  • Polityka – Polityka Ochrony Danych Osobowych regulująca zasady przetwarzania danych osobowych w Klaudia Kozieł, z siedzibą we Wrocławiu, ul.  Tęczowa nr 83r, lok. 9 
  • Instrukcja / ISZI – Instrukcja zarządzania systemem informatycznym, dokument obejmujący zasady przetwarzania danych osobowych w systemach informatycznych w Spółce.
  • Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej osobie, której dane dotyczą.
  • Możliwa do zidentyfikowania osoba fizyczna – to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej
  • Dane – dane osobowe, o ile co innego nie wynika wyraźnie z kontekstu Polityki.
  • Dane szczególnych kategorii – dane osobowe ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
  • Dane karne – dane wymienione w art. 10 Rozporządzenia RODO, tj. dane dotyczące wyroków skazujących i naruszeń prawa.
  • Przetwarzanie danych – operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  • Osoba – oznacza osobę, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu Polityki.
  • Osoba zatrudniona – Osoba zatrudniona w ramach stosunku pracy lub wykonująca zadania / prace zlecone w oparciu o umowy cywilnoprawne.
  • Użytkownik – należy przez to rozumieć osobę upoważnioną  do przetwarzania danych osobowych zgodnie z Polityką. 
  • Upoważnienie do przetwarzania danych osobowych – oświadczenie ADO dotyczące udzielenia upoważnienia do przetwarzania danych osobowych przez wskazanego Użytkownika w zakresie adekwatnym do zakresu powierzonych mu obowiązków / zleconych zadań, które to stanowią wyraz odrębnego polecenia przetwarzania tych danych osobowych.
  • System teleinformatyczny – zespół współpracujących ze sobą urządzeń informatycznych
    i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego w rozumieniu przepisów Ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne zastosowanych w celu przetwarzania danych.
  • Środki komunikacji elektronicznej – rozwiązania techniczne, w tym urządzenia teleinformatyczne
    i współpracujące z nimi narzędzia programowe, umożliwiające indywidualne porozumiewanie się na odległość przy wykorzystaniu transmisji danych między systemami teleinformatycznymi,
    a w szczególności pocztę elektroniczną.
  • Identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, identyfikujący Użytkownika, jako uprawnionego do przetwarzania danych osobowych w systemie informatycznym.
  • Hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.
  • Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości.
  • Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora, na zasadach określonych w art. 28 Rozporządzenia RODO
  • RCPD / Rejestr / Rejestr Czynności Przetwarzania Danych – Rejestr, o jakim mowa w art. 30 ust. 1 Rozporządzenia RODO
  • Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa danych, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, o jakim mowa w art. 4 pkt 12 Rozporządzenia RODO.

Ochrona danych osobowych – deklaracje

ADO deklaruje w szczególności:

  1. Przestrzeganie przepisów w szczególności dotyczących ochrony danych osobowych w Spółce,
    w związku  z realizacją procesów, które wymagają przetwarzania danych osobowych.
  2. Wyznaczenie, w uzasadnionych przypadkach, na stanowisko IOD osoby z odpowiednimi kwalifikacjami, oraz adekwatnym przygotowaniem merytorycznym i wiedzą na temat prawa i praktyk w dziedzinie ochrony danych osobowych lub na stanowisko Specjalisty osoby z odpowiednimi kwalifikacjami, oraz adekwatnym przygotowaniem merytorycznym i wiedzą na temat prawa i praktyk w dziedzinie ochrony danych osobowych.
  3. Wyznaczenie w uzasadnionych przypadkach na stanowisko ASI osoby z odpowiednimi kwalifikacjami i doświadczeniem zawodowym.
  4. Realizację praw podmiotów danych oraz bezwzględne przestrzeganie obowiązków z tego wynikających. 
  5. Iż każdy Użytkownik będzie upoważniony do przetwarzania danych osobowych oraz zobowiązany do zachowania w poufności przetwarzanych danych i sposobów ich zabezpieczania w tym do znajomości i przestrzegania przepisów o ochronie danych osobowych.
  6. Iż każda osoba zatrudniona, nie będąca Użytkownikiem zobowiązana zostanie do zachowania w poufności danych i sposobów ich zabezpieczenia, do których może uzyskać dostęp przy okazji wykonywania pracy / zadań jej zleconych
  7. Wdrożenie środków technicznych i organizacyjnych, gwarantujących zapewnienie odpowiedniego stopnia bezpieczeństwa przetwarzania danych osobowych w Spółce, przy czym oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  8. Prowadzenie i aktualizowanie dokumentów wewnętrznych dotyczących bezpieczeństwa przetwarzanych danych.

Ochrona danych osobowych –  zasady przetwarzania danych osobowych

Ochrona danych osobowych – dane przetwarza się  w Spółce z poszanowaniem następujących zasad:

  1. Zasada zgodności z prawem – dane powinny być przetwarzane zgodnie z prawem, czyli zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach.
  2. Zasada rzetelności – wymóg, by osoba, której dane dotyczą, była dokładnie informowana                                      o prowadzeniu operacji przetwarzania i o jej celach z uwzględnieniem konkretnych okoliczności
    i konkretnego kontekstu przetwarzania danych osobowych. Jeżeli ADO planuje przetwarzać dane osobowe w celu innym niż cel, w których dane osobowe zostały zebrane, powinien on przed takim dalszym przetwarzaniem poinformować osobę, której dane dotyczą o tym innym celu oraz dostarczyć jej innych niezbędnych informacji. Zasadę rzetelności ADO realizuje zawierając wymagane informacje w klauzuli informacyjnej.
  3. Zasada przejrzystości – wymóg, by wszelkie informacje i wszelkie komunikaty związane                                             z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Do realizacji tej zasady wprowadzono klauzule informacyjne dla osób, których dane są zbierane.
  4. Zasada ograniczenia celu – dane zebrane wcześniej nie powinny być przetwarzane dalej w sposób niezgodny z celami, dla których zostały zebrane. Dalsze przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami.
  5. Zasada minimalizacji danych – przetwarzane dane mają być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
  6. Zasada prawidłowości – przetwarzane dane mają być prawidłowe i w razie potrzeby uaktualniane. Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Realizacji tej zasady służy legitymowanie osób w celu weryfikacji ich danych oraz umożliwienie aktualizacji i poprawienia danych osobom, których dane się przetwarza.
  7. Zasada ograniczenia przechowywania – dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą.
  8. Zasada integralności / Zasada poufności – dane mają być przetwarzane w sposób, który zapewni odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Realizację tej zasady zapewni wdrożenie odpowiednich środków technicznych lub organizacyjnych.
  9. Zasada odpowiedzialności ADO.
  10. Zasada rozliczalności – ADO jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie.

Ochrona danych osobowych –  elementy systemu ochrony danych

System ochrony danych – system ochrony danych osobowych w Spółce składa się z następujących elementów:

  • Inwentaryzacja danych.  ADO dokonuje identyfikacji zasobów danych osobowych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych (inwentaryzacja), w tym:
  • przypadków przetwarzania danych szczególnej kategorii / danych karnych;
  • przypadków przetwarzania danych osób, których nie identyfikuje;
  • przypadków przetwarzania danych dzieci;
  • profilowania;
  • współadministrowania danymi.
  • Rejestr RCPD. ADO opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych. 
  • Rejestr RWKCP. ADO opracowuje, prowadzi i utrzymuje Rejestr Wszystkich Kategorii Czynności Przetwarzania.
  • Podstawy prawne. ADO zapewnia, identyfikuję, weryfikuje podstawy prawne przetwarzania danych, w tym: 
  • utrzymuje system zarządzania zgodami na przetwarzanie danych i komunikację na odległość,
  • inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy przetwarza dane na podstawie prawnie uzasadnionego interesu.
  • Obsługa praw jednostki, o których mowa w art. 15-22 Rozporządzenia RODO. ADO zapewnia realizację praw jednostki o których mowa w art. 15-22 Rozporządzenia RODO. 
  • Realizacja obowiązku informacyjnego.  ADO przekazuje prawem wymagane informacje przy zbieraniu danych i w innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków.
  • Zawiadamianie o naruszeniach. ADO stosuje procedury pozwalające na realizacje obowiązków związanych z naruszeniem ochrony danych osobowych. 
  • Minimalizacja. ADO stosuje zasady i metody zarządzania minimalizacją, a w tym:
  • zasady zarządzania adekwatnością danych;
  • zasady zarządzania dostępem do danych;
  • zasady zarządzania okresem przechowywania danych i weryfikacji dalszej ich przydatności; 
  • Bezpieczeństwo. ADO zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
  • przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii;
  • przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw
    i wolności osób jest wysokie oraz w przypadkach określonych Rozporządzeniem RODO;
  • dostosowuje środki ochrony danych do ustalonego ryzyka;
  • posiada system zarządzania bezpieczeństwem informacji;
  • stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Organowi Nadzorczemu − zarządza incydentami. 
  • Przetwarzający. ADO posiada zasady doboru podmiotów przetwarzających dane na zlecenie ADO, w tym zasady określające wymogi co do warunków przetwarzania na jego zlecenie (umowa powierzenia) oraz zasady weryfikacji wykonywania umów powierzenia.
  • Eksport danych. ADO posiada zasady weryfikacji, czy ADO nie przekazuje danych do państw trzecich lub do organizacji międzynarodowych oraz zapewnienia zgodnych z prawem warunków takiego przekazywania, jeśli ma ono miejsce.
  1. Privacy by design / Privacy by default. ADO zarządza zmianami mającymi wpływ na prywatność. W tym celu procedury uruchamiania nowych lub modyfikacji już istniejących projektów
    i inwestycji uwzględniają konieczność oceny wpływu zmiany na ochronę danych, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.

Inwentaryzacja danych i zakres przetwarzania danych

  • W Spółce przetwarzane są dane osobowe dotyczące nw. kategorii podmiotów:
  • Kandydaci / Pracownicy
  • Kandydaci / Zleceniobiorcy 
  • Kandydaci / Kontrahenci
  • Kandydaci / Stażyści / Praktykanci / Wolontariusze
  • Pacjenci / Osoby upoważnione
  • Inne podmioty
  1. Politykę stosuje się do przetwarzania danych osobowych w formie dokumentacji papierowej oraz elektronicznej przetwarzanych w systemie teleinformatycznym.
  2. Dane szczególnych kategorii, dane karne – ADO identyfikuje przypadki, w których przetwarza lub może przetwarzać takie dane oraz utrzymuje dedykowane mechanizmy zapewnienia zgodności
    z prawem przetwarzania takich danych. W przypadku zidentyfikowania przypadków przetwarzania takich danych, ADO postępuje zgodnie z przyjętymi zasadami w tym zakresie.
  3. Dane niezidentyfikowane – ADO identyfikuje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane i utrzymuje mechanizmy ułatwiające realizację praw osób, których dotyczą dane niezidentyfikowane.
  4. Profilowanie – ADO identyfikuje przypadki, w których dokonuje profilowania przetwarzanych danych i utrzymuje mechanizmy zapewniające zgodność tego procesu z prawem. 
  5. Współadministrowanie – ADO identyfikuje przypadki współadministrowania danymi i postępuje
    w tym zakresie zgodnie z przyjętymi zasadami.

Rejestr Czynności Przetwarzania Danych – RCPD

  1. ADO opracowuje, prowadzi i utrzymuje RCPD. RCPD stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności. RCPD jest jednym z podstawowych narzędzi umożliwiających rozliczanie większości obowiązków ochrony danych
  2. Zgodnie z art. 30 RODO RCPD zawiera:
  3. Imię i nazwisko lub nazwę oraz dane kontaktowe ADO  oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  4. cel przetwarzania;
  5. opis kategorii osób, których dane dotyczą;
  6. opis kategorii danych osobowych;
  7. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  8. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  9. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  10. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
  11. RCPD może zawierać także kolumny nieobowiązkowe. W kolumnach nieobowiązkowych ADO rejestruje informacje w miarę potrzeb i możliwości, z uwzględnieniem tego, że pełniejsza treść RCPD ułatwia zarządzanie zgodnością ochrony danych i rozliczenie się z niej.
  12. RCPD ma formę pisemną, w tym elektroniczną.
  13. ADO jest zobowiązany do udostępnienia RCPD wyłącznie na żądanie Organu  Nadzorczego.

Rejestr Wszystkich Kategorii Czynności Przetwarzania – RWKCP

  1. Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą RWKCP dokonywanych w imieniu ADO, zawierający następujące informacje:
    1. imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego ADO, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela ADO lub podmiotu przetwarzającego oraz IOD;
    2. kategorie przetwarzań dokonywanych w imieniu każdego z ADO;
    3. gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
    4. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
  2. RWKCP ma formę pisemną, w tym elektroniczną.
  3. ADO jest zobowiązany do udostępnienia RWKCP wyłącznie na żądanie Organu  Nadzorczego.

Podstawy przetwarzania danych osobowych

  • ADO może dokumentować w RCPD podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania.
  • W przypadku konieczności pozyskania zgody na przetwarzanie danych osobowych ADO bezwzględnie przestrzega przepisów Rozporządzenia RODO w tym zakresie. Załącznik „Procedura pozyskiwania zgód marketingowych”
  • Osoby zatrudnione mają obowiązek znać podstawy prawne, na jakich dokonywane są czynności przetwarzania danych osobowych. 

Obsługa praw jednostki o których mowa w art. 15-22 RODO

  • ADO dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza.
  • ADO ułatwia osobom korzystanie z ich praw poprzez różne działania, w tym udostępnia stosowne wzory formularzy, jako pomocne aczkolwiek nieobowiązkowe do stosowania. Załącznik „Procedura realizacji praw podmiotów danych art. 15 – 22 RODO”
  • ADO dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób.
  • ADO wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych.
  • W celu realizacji praw jednostki ADO zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez niego, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany, 
  • ADO dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.

Realizacja obowiązku informacyjnego art. 12, 13 i 14 RODO

  • ADO zobowiązany jest do opracowania, wdrożenia, stosowania i aktualizowania adekwatnych zasad postępowania pozwalających na realizację obowiązków informacyjnych o jakich mowa w art. 12, 13, 14 Rozporządzenia RODO. 
  1. Każdorazowo opracowując treść klauzuli informacyjnej ADO określa sposób realizacji obowiązku informacyjnej z jej wykorzystaniem. 

Zawiadamianie o naruszeniach

  1. Każda osoba zatrudniona, ma obowiązek natychmiastowego powiadamiania o zdarzeniu wskazującym na ryzyko wystąpienia naruszenia ochrony danych osobowych / o zdarzeniu będącym naruszeniem ochrony danych osobowych, które prowadzi albo doprowadziło do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych swojego bezpośredniego przełożonego albo ADO. 
  2. Wobec osoby, która w przypadku zaistnienia zdarzenia, o jakim mowa w ust. 1 nie podjęła określonego działania a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, wszczyna się odpowiednio postępowanie dyscyplinarne bądź odszkodowawcze. Takie działania / zaniechania mogą zostać potraktowane, jako ciężkie naruszenie podstawowych obowiązków pracowniczych, jak również mogą stanowić szczególną podstawę rozwiązania stosunku prawnego z taką osobą.
  3. Bezpośredni przełożony po otrzymaniu powiadomienia przekazuje je do ADO.
  4. W przypadku uzasadnionego podejrzenia wystąpienia naruszenia ochrony danych osobowych bezzwłocznie podejmowane są działania mające zapobiec dalszym skutkom. Należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia i udokumentowania zdarzenia. 
  5. ADO podejmuje decyzję w przedmiocie wszczęcia albo odmowy wszczęcia postępowania.
    W przypadku wszczęcia postępowania ADO wyznacza osoby odpowiedzialne za realizację zadań
    w tym zakresie.
  6. ADO, upoważnione przez niego osoby przy współudziale IOD / Specjalisty, mają za zadanie przeprowadzić postępowanie wyjaśniające, w którym:
  1. ustalą ostateczny zakres zdarzenia, jego przyczyny wystąpienia oraz skutki, zarówno dla Spółki, jak i osób, których dane dotyczyły;
  2. podejmują niezbędne czynności mające na celu przywrócenie prawidłowości działania systemu ochrony danych osobowych w Spółce;
  3. opracowują działania naprawcze i zapobiegawcze, których zadaniem jest wyeliminowanie niepożądanych zdarzeń w przyszłości, w tym celu może zasięgać opinii podmiotów specjalistycznych;
  4. określą osoby odpowiedzialne za wystąpienie sytuacji.
  1. W przypadku naruszenia ochrony danych osobowych, ADO bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je Organowi Nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego Organowi Nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenia dokonuje się w trybie i w formie określonej przez Prezesa Urzędu Ochrony Danych Osobowych.
  2. ADO dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić Organowi Nadzorczemu weryfikowanie przestrzegania niniejszego artykułu. Wykaz stanowi Załącznik „Procedura notyfikacji naruszeń i prowadzenia ewidencji naruszeń 33 ust. 5 RODO”
  3. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia także osobę, której dane dotyczą,
    o takim naruszeniu. Zawiadomienie, takie jednak nie jest wymagane, w następujących przypadkach:
  1. Kiedy ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; 
  2. gdy ADO zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, 
  3. kiedy wymagałoby ono niewspółmiernie dużego wysiłku – w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

 

Minimalizacja

  • ADO dba o minimalizację przetwarzania danych pod kątem: 
  • zakresu, 
  • dostępu do danych, 
  • czasu przetwarzania danych. 
  • Minimalizacja zakresu – Przetwarzanie danych osobowych realizowane jest z poszanowaniem zasady minimalizacji danych.
  • Minimalizacja dostępu – upoważnienia do przetwarzania danych. Przetwarzanie danych osobowych może odbywać się wyłącznie w ramach wykonywania zadań służbowych / zadań zleconych, przy zachowaniu zasad przetwarzania danych określonych treścią Polityki i przy zachowaniu zasad wynikających z obowiązujących przepisów prawa, na podstawie stosownego upoważnienia do przetwarzania nadanego przez ADO, w obrębie zidentyfikowanych czynności przetwarzania danych osobowych, przy czym zakres uprawnień do przetwarzania musi być ściśle proporcjonalny i adekwatny do realizowanych zadań oraz zgodny z poleceniami w zakresie przetwarzania danych ujętymi treścią stosownego aktu ADO:
  • Czynności przetwarzania danych utrwalonych w postaci papierowej 

– odnoszące się do:

Kandydaci / Pracownicy

Kandydaci / Zleceniobiorcy

Kandydaci / Kontrahenci

Kandydaci / Stażyści / Praktykanci / Wolontariusze 

Pacjenci / Osoby upoważnione 

Inne podmioty 

  • Czynności przetwarzania danych utrwalonych w postaci elektronicznej 

– odnoszące się do 

Kandydaci / Pracownicy

Kandydaci / Zleceniobiorcy

Kandydaci / Kontrahenci

Kandydaci / Stażyści / Praktykanci / Wolontariusze 

Pacjenci / Osoby upoważnione 

Inne podmioty 

ADO stosuje ograniczenia dostępu do danych o charakterze prawnym nadaje, aktualizuje, cofa
i kontroluje zakres upoważnień do przetwarzania danych, zgodnie z treścią Polityki.

    1. Minimalizacja dostępu – oświadczenia o zachowaniu poufności / tajemnicy. ADO stosuje ograniczenia dostępu do danych o charakterze prawnym, przyjmuje, zleca aktualizację i kontroluje zakres oświadczeń o zachowaniu poufności / tajemnicy zgodnie z treścią Polityki.
  • Minimalizacja dostępu fizycznego. ADO stosuje kontrolę dostępu fizycznego, w tym celu wprowadza, egzekwuje i kontroluje zasady dostępu do poszczególnych pomieszczeń.
  • Minimalizacja czasu. ADO wdraża mechanizmy kontroli cyklu przetwarzania danych osobowych,
    w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w RCPD. Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów  ADO, jak też z akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez ADO. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystania kopii zapasowych uwzględniają wymagania kontroli nad cyklem życia danych, a w tym wymogi usuwania danych.

Bezpieczeństwo

    1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres
      i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia ADO stosuje odpowiednie środki techniczne
      i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. 
  • ADO zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
  • ADO przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych. W tym celu ADO:
  • zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania − wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych,
  • ADO kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają,
  • przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii. Analizuje możliwe sytuacje
    i scenariusze naruszenia ochrony danych osobowych uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
  • ustala możliwe do zastosowania techniczne i organizacyjne środki bezpieczeństwa
    i ocenia koszt ich wdrażania. W tym ADO ustala przydatność i stosuje takie środki
    i podejście jak: 
  • pseudonimizacja,
  • szyfrowanie danych osobowych,
  • inne środki bezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów
    i usług przetwarzania,
  • środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych
    i dostępu do nich w razie incydentu fizycznego lub technicznego.
  • przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw
    i wolności osób jest wysokie oraz w przypadkach określonych w Rozporządzeniu RODO
  • dostosowuje środki ochrony danych do ustalonego ryzyka. ADO stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych. Środki bezpieczeństwa danych osobowych stanowią element środków bezpieczeństwa informacji i zapewnienia cyberbezpieczeństwa ADO i są bliżej opisane w procedurach przyjętych przez ADO dla tych obszarów.
  • posiada system zarządzania bezpieczeństwem informacji;
  • stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych Osobowych − zarządza incydentami. 

Bezpieczeństwo – opis stosowanych środków technicznych

    1. Pomieszczenia zamykane na klucz – Pomieszczenia w których przechowywane są dokumenty zamykane są na klucz – dostęp do kluczy posiadają tylko upoważnione osoby.
    2. Szafki zamykane na klucz – Szafki w których przechowywane są dokumenty zamykane są na klucz – dostęp do kluczy posiadają tylko upoważnione osoby.
    3. Zasada „czystego ekranu monitora” Stosuję się zasadę „czystek ekranu monitora” co oznacza w szczególności, iż monitory ekranowe są w taki sposób usytuowane, aby uniemożliwiać osobom nieuprawnionym wgląd w wyświetlany obraz.
  • Zabezpieczenia systemu teleinformatycznego – szczegółowe zasady związane ze stosowanymi procedurami w zakresie zabezpieczenia systemu teleinformatycznego określona została w dokumentacji „Wykaz – aplikacji webowych”; „Wykaz – sprzętu i oprogramowania” ; „Procedura – oceny środków organizacyjnych i technicznych”. 

Bezpieczeństwo – opis stosowanych środków organizacyjnych

  • [Inspektor Ochrony Danych]

ADO wyznaczył Inspektora Ochrony Danych, który realizuje zadania zgodnie z przepisami prawa.

  • [Polityka Ochrony Danych Osobowych]

ADO opracował i stosuje Politykę Ochrony Danych Osobowych opisującą zasady przetwarzania danych zgodnie z prawem.

  • [Świadomość Personelu i szkolenia]

Każda z osób zatrudnionych jest zobowiązana zapoznać się z powszechnie obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz wewnętrzną dokumentacją dotyczącą przetwarzania danych u ADO. Każda z osób zatrudnionych objęta jest harmonogramem szkoleniowym realizującym tematykę podnoszącą kompetencje i umiejętności w zakresie ochrony danych osobowych.

  • [Upoważnienie do przetwarzania danych]

Każda osoba dopuszczona do przetwarzania danych, musi posiadać upoważnienie i polecenie ADO do przetwarzania danych. Zakres upoważnień wynika z zakresu obowiązków służbowych, które stanowią polecenie ADO do przetwarzania danych.

  • [Obowiązek zachowania poufności danych]

Każda z osób zatrudniona zobowiązana jest do podpisania oświadczenia o zachowaniu poufności, które obowiązuje zarówno w trakcie trwania jak i po ustaniu zatrudnienia.

  • [Pomieszczenia zamykane na klucz]

Pomieszczenia w których dochodzi do przetwarzania danych osobowych powinny być zamykane na klucz lub zostać zabezpieczone w inny sposób gwarantujący bezpieczeństwo danych.

  • [Szafki zamykane na klucz] 

Szafki wykorzystywane do przechowywania dokumentacji zawierającej dane osobowe, powinny być zamykane na klucz lub zostać zabezpieczone w inny sposób gwarantujący bezpieczeństwo danych.

  • [Systemy alarmowe]

Jeśli jest to możliwe stosuje się systemy zabezpieczeń alarmowe.

  1. [Przebywanie osób trzecich w pomieszczeniach]

Przebywanie osób nieuprawnionych w obszarze w których przetwarzane są dane jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych. Dopuszczalne jest odstępstwo od ww. reguły wyłącznie dla pomieszczeń ADO, w jakich obsługiwani są jego Klienci a w szczególności Pacjenci, w sytuacjach wyjątkowych, kiedy to inne dobra np. życie, zdrowie, stanowią uzasadnienie powyższego. Dopuszczalne są również odstępstwa w ww. zakresie w sytuacji wykonywania zadań zleconych przez personel obcy, jeśli został on bezpośrednio, lub pośrednio zobowiązany do zachowania w poufności wszelkich danych oraz informacji ich dotyczących, z jakimi mógł się zetknąć przy wykonywaniu zadań zleconych.

  1. [Ochrona dokumentacji medycznej na wizytach domowych]

Osoba upoważniona udzielająca świadczeń opieki zdrowotnej zgodnie z właściwymi przepisami prawa, poza siedzibą ADO, przetwarzająca dane osobowe zawarte w dokumentacji medycznej, zobowiązana jest do dołożenia szczególnej ostrożności podczas jej transportu, przechowywania i użytkowania stosując adekwatne środki zabezpieczające.  

  • [Organizacja pomieszczeń rejestracji]

Urządzenie pomieszczenia rejestracji i współwystępującej poczekalni powinna być  zorganizowana w taki sposób, aby w jak najwyższym stopniu zapewnić zachowanie  poufności osobom przebywającym bezpośrednio przy stanowiskach rejestracji.

  • [Opuszczenie stanowiska pracy]

Po zakończeniu pracy, przed opuszczeniem pomieszczenia stanowiącego w ramach którego przetwarzane są dane osobowe należy zamknąć okna oraz usunąć z biurka wszystkie dokumenty i nośniki informacji oraz umieścić je w odpowiednich zamykanych szafach lub biurkach, uruchomić systemy alarmowe zgodnie z przyjęta procedurą. Brak możliwości realizacji ww. obowiązku należy niezwłocznie zgłosić bezpośredniemu przełożonemu lub ADO.

  • [Zasada sterylnego biurka]

Zabrania się eksponowania dokumentów zawierających dane osobowe w miejscach niezabezpieczonych (np. na biurkach, ladach, półkach, parapetach itp.)

  • [Zasad sterylnego ekranu monitora]

Ekrany monitorów ekranowych, powinny zostać usytuowane w taki sposób, aby gwarantowało to poufność danych na nich ujawnianych.

  • [Wydruki]

Wydruki i inne dokumenty zawierające dane osobowe są przechowywane w pomieszczeniach do tego wyznaczonych. Stosowana jest zasada tzw. sterylnego biurka.

  • [Notatniki, brudnopisy]

Nie należy gromadzić w podręcznej dokumentacji danych osobowych. Wszystkie dane niezbędne do prawidłowej pracy powinny znajdować się w określonym dla nich miejscu odpowiednio zabezpieczonym. 

  • [Niszczenie dokumentów]

Dokumenty zawierające dane osobowe należy niszczyć w niszczarkach lub w przypadku dużej ilości dokumentów, korzystać w tym celu z usług profesjonalnych podmiotów, zajmujących się utylizacją dokumentacji. 

  • [Błędne wydruki]

Nie należy wykorzystywać błędnych wydruków, dokumentów przeznaczonych do zniszczenia, jako nośników informacji poprzez wykorzystanie niezadrukowanej / niezapisanej drugiej strony dokumentu.

  • [Przenośne komputery, elektroniczne nośniki danych]

Przenośne komputery oraz elektroniczne nośniki danych powinny zostać zabezpieczone poprzez odpowiednie ich szyfrowanie.

  • [Korespondencja z wykorzystaniem środków komunikacji elektronicznej]

Dane przesyłane z wykorzystaniem środków komunikacji elektronicznej powinny zostać zaszyfrowane przed wysłaniem oraz zabezpieczone hasłem dostępowym. Hasło przekazywane powinno być do adresata korespondencji alternatywnym kanałem. 

  • [Urządzenia podtrzymujące zasilanie]

Urządzenia, które przetwarzają dane osobowe, za wyjątkiem urządzeń służących jedynie do edycji tekstu, lub jako punktu dostępowe,  należy wyposażyć w urządzenia podtrzymujące napięcie na wypadek braku zasilania.

  • [Ograniczenie dostępu, identyfikacja użytkownika]

W celu zapewnienia ochrony danych przetwarzanych elektronicznie należy zapewnić logowanie do systemu operacyjnego oraz bezpośrednio do programów / aplikacji przetwarzających dane – jeśli producent oprogramowania stwarza takie możliwości techniczne.

  • [Zasady korzystania ze sprzętu]

Użytkownicy wykorzystujący urządzenia elektroniczne, w tym urządzenia przetwarzające dane, zobowiązani są do stosowania się do zaleceń producentów, instrukcji obsługi oraz udzielonych informacji dotyczących bezpiecznego korzystania ze sprzętu oraz oprogramowania.

  1. [Ochrona danych przetwarzanych poza siedzibą ADO]

Osoba upoważniona korzystająca z urządzeń technicznych poza siedzibą ADO, zobowiązana jest w szczególności do adekwatnego zabezpieczenia sprzętu, przed jego utratą, zniszczeniem.  

  1. [Dbałość o poprawność danych w dokumentacji medycznej]

Osoby odpowiedzialne za prowadzenie dokumentacji medycznej, w szczególności wykorzystujące w związku z tym system teleinformatyczny, zobowiązane są do zachowania szczególnych zasad ostrożności i weryfikacji danych wprowadzanych do dokumentacji medycznej, do systemu teleinformatycznego, tak aby zagwarantować ich poprawność i prawidłowość zamieszczenia. 

 

Przetwarzający na zlecenie ADO

  • ADO posiada zasady doboru i weryfikacji osób przetwarzających dane na jego zlecenie, opracowane w celu zapewnienia, aby przetwarzający dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw osoby
    i innych obowiązków ochrony danych spoczywających na ADO. Załącznik „Procedura wyboru kontrahent oraz wzór umowy powierzenia i wzory oświadczeń”
  • ADO rozlicza przetwarzających z wykorzystania podprzetwarzających, jak też z innych wymagań wynikających z zasad powierzenia danych osobowych.
  • W przypadku występowania ADO w roli podmiotu przetwarzającego prowadzi on RWKCP.

 

Eksport danych

  • ADO stosuje zasady weryfikacji dotyczące przekazywania danych do państw trzecich lub do organizacji międzynarodowych.
  • ADO zapewnienia zgodność z prawem takiego przekazywania, jeśli ma ono miejsce.

Privacy by design / Privacy by default

  • ADO zarządza zmianami mającymi wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizacji ich przetwarzania. W tym celu zasady uruchamiania projektów i inwestycji przez ADO odwołują się do zasad bezpieczeństwa danych osobowych i minimalizacji danych, wymagając oceny wpływu na prywatność i ochronę danych, uwzględnienia i zaprojektowana bezpieczeństwa i minimalizacji przetwarzania danych od początku projektu lub inwestycji. Załącznik „Procedury Privacy by design / Privacy by default” 
  1. Procedurę Privacy by design / Privacy by default należy stosować, zgodnie z art. 25 RODO,
    w przypadku planowania nowych czynności przetwarzania danych lub modyfikacji już istniejących.
  2. ADO uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania danych oraz ryzyko naruszenia praw i wolności osób fizycznych zobowiązany jest zaprojektować i wdrożyć takie środki techniczne i organizacyjne, które umożliwią skuteczną realizację zasad ochrony z art. 5 Rozporządzenia RODO. Środki techniczne i organizacyjne powinny być dobierane do każdej z planowanych czynności osobno.
  3. ADO jest zobowiązany prowadzić nadzór nad przetwarzaniem danych w nowym procesie, tak, aby domyślnie przetwarzane były wyłącznie takie dane, które są niezbędne do osiągnięcia celu w danym procesie. Oznacza to, że ADO jest odpowiedzialny za ilość zbieranych danych, zakres ich przetwarzania, okres ich archiwizacji oraz ich dostępność.