Polityka bezpieczeństwa

POLITYKA BEZPIECZEŃSTWA

PRZETWARZANIA DANYCH OSOBOWYCH

W DENTA – MED

 

ROZDZIAŁ 1

POSTANOWIENIA OGÓLNE

 

§ 1

Wstęp

  1. Niniejsza Polityka Bezpieczeństwa Przetwarzania Danych Osobowych (zwana dalej Polityka) zostały utworzone w związku z wymaganiami zawartymi w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE Ustawie o ochronie danych osobowych a także Przepisami polskich ustaw z obszaru prawa medycznego, pozostających w związku z celami zdrowotnymi przetwarzania.

  2. Niniejszy dokument określa zasady bezpieczeństwa przetwarzania danych osobowych Pacjentów, pracowników/współpracowników, stażystów, praktykantów i innych osób wykonujących zawód medyczny w DENTA – MED, jakie powinny być przestrzegane i stosowane w DENTA – MED przez użytkowników. Stosowanie zasad określanych w niniejszym dokumencie ma na celu zapewnienie prawidłowej ochrony danych osobowych przetwarzanych w DENTA – MED rozumianej jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, naruszeniem ich bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem RODO, UODO oraz innych Ustaw.

  3. Niniejsza Polityka reguluje także kwestie przetwarzania danych osobowych Pacjentów DENTA – MED:

  1. gdzie przetwarzanie danych w związku z prowadzoną działalnością leczniczą nie wymaga uzyskania osobnej zgody Pacjenta na przetwarzanie,

  2. gdzie przetwarzanie danych w związku z prowadzoną działalnością leczniczą wymaga uzyskania osobnej zgody Pacjenta na przetwarzanie.

 

§2

Definicje

Ilekroć w niniejszym dokumencie jest mowa o:

 

  1. Polityce – należy przez to rozumieć niniejszy dokument

  2. Instrukcja - należy przez to rozumieć niniejszy dokument Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w DENTA – MED.

  3. RODO - Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

  4. UODO - Ustawie o ochronie danych osobowych

  5. USTAWY - przepisy polskich ustaw z obszaru prawa medycznego, pozostających w związku z celami zdrowotnymi przetwarzania (w szczególności, Ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta, Ustawie o zawodzie lekarza i dentysty,

  6. Administratorze - należy przez to rozumieć oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele isposoby przetwarzania danych osobowych. Administratorem jest DENTA MED CAŁODOBOWE CENTRUM STOMATOLOGICZNE z siedzibą w Krakowie, ul. Augustiańska 13

    NIP nr 679- 192- 71- 90 (dalej Administrator lub DENTA – MED)

     

  7. Inspektor Ochrony Danych (dalej IOD) - osoba wyznaczona przez Administratora do zajmowania się na podstawie z art. 37 ust. 1 lit. a, b, c, ust. 4 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016, Nr 119, s. 1, dalej RODO).

  8. Pełnomocniku Administratora oznacza to osobę, działającą w imieniu i na rzecz Administratora danych (dalej Pełnomocnik)

  9. Administratorze Systemu Informatycznego (dalej ASI) - należy przez to rozumieć osobę upoważnioną przez Administratora odpowiedzialną za funkcjonowanie systemu informatycznego oraz stosowanie technicznych i organizacyjnych środków ochrony. W razie gdy Administrator nie powołał odrębnego ASI jego obowiązki, określone w niniejszym dokumencie pełni Pełnomocnik Administratora lub Inspektor Ochrony Danych.

  10. użytkowniku – osoba zajmująca się bezpośrednim przetwarzaniem danych osobowych w oparciu o pisemne upoważnienie wydane jej przez Administratora; użytkownikiem może być: osoba wykonująca zawód medyczny (dentysta), pracownik DENTA – MED, osoba wykonująca pracę na podstawie innej umowy cywilno-prawnej, osoba odbywająca staż lub praktykę w DENTA – MED;

  11. danych osobowych - oznacza to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba – oznacza to osobę fizyczną, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

  12. dokumentacji medycznej – dokumentacja medyczna, o której mowa w przepisach ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz wydanych na jej podstawie aktach wykonawczych.

  13. osoba wykonująca zawód medyczny - osoba uprawniona na podstawie odrębnych przepisów do udzielania świadczeń zdrowotnych oraz osoba legitymująca się nabyciem fachowych kwalifikacji do udzielania świadczeń zdrowotnych w określonym zakresie lub w określonej dziedzinie medycyny, w tym m.in. lekarz, lekarz dentysta, technik analityki medycznej i inne osoby wskazane w art. 6a ustawy o diagnostyce laboratoryjnej, a także osoby wykonujące inne zawody wskazane w tabeli nr 1 załącznika nr 3 do rozporządzenia Ministra Zdrowia z dnia 20 czerwca 2008 r. w sprawie zakresu niezbędnych informacji gromadzonych przez świadczeniodawców, szczegółowego sposobu rejestrowania tych informacji oraz ich przekazywania podmiotom zobowiązanym do finansowania świadczeń ze środków publicznych,

  14. pacjent - osoba zwracająca się o udzielenie świadczeń zdrowotnych lub korzystającą ze świadczeń zdrowotnych udzielanych przez podmiot udzielający świadczeń zdrowotnych lub osobę wykonującą zawód medyczny; - dalej rozumiany jako Pacjent DENTA – MED.

  15. podmiot wykonujący działalność leczniczą – podmiot leczniczy oraz lekarz lub pielęgniarka wykonujący zawód w ramach działalności leczniczej jako praktykę zawodową, o których mowa w przepisach ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej; dalej także jako DENTA – MED.

  16. przedstawiciel ustawowy – osoba umocowana do działania w cudzym imieniu na podstawie ustawy zgodnie z art. 96 kodeksu cywilnego,

  17. przetwarzaniu danych osobowych – oznacza to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

  18. ograniczeniu przetwarzania – oznacza to oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

  19. profilowaniu – oznacza to dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

  20. pseudonimizacji – oznacza to przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

  21. zbiorze danych – oznacza to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

  22. podmiocie przetwarzającym oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

  23. odbiorcy – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.

  24. stronie trzeciej – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

  25. zgodzie osoby, której dane dotyczą – oznacza to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

  26. naruszeniu ochrony danych osobowych – oznacza to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

  27. danych genetycznych – oznacza to dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

  28. danych biometrycznych – oznacza to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

  29. danych dotyczących zdrowia – oznacza to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

  30. przedstawicielu – oznacza to osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z niniejszego rozporządzenia;

  31. przedsiębiorcy – oznacza to osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą;

  32. grupie przedsiębiorstw – oznacza to przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane;

  33. organie nadzorczym oznacza to niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51; 4.5.2016 L 119/34 Dziennik Urzędowy Unii Europejskiej PL 22) , którym jest Generalny Inspektor Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

  34. transgranicznym przetwarzaniu – oznacza to:

  1. przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim albo

  2. przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą,
    w więcej niż jednym państwie członkowskim;

  1. mającym znaczenie dla sprawy i uzasadnionym sprzeciwie – oznacza to sprzeciw wobec projektu decyzji dotyczącej tego, czy doszło do naruszenia niniejszego rozporządzenia lub czy planowane działanie wobec administratora lub podmiotu przetwarzającego jest zgodne z RODO, który to sprzeciw musi jasno wskazywać wagę wynikającego z projektu decyzji ryzyka naruszenia podstawowych praw lub wolności osób, których dane dotyczą, oraz gdy ma zastosowanie – wagę ryzyka zakłócenia swobodnego przepływu danych osobowych w Unii;

  2. usłudze społeczeństwa informacyjnego – oznacza to usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535 ( 1 ) - każda usługa normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług; do celów niniejszej definicji: (i) „na odległość” oznacza, że usługa świadczona jest bez równoczesnej obecności stron; (ii) „drogą elektroniczną” oznacza, iż usługa jest wysyłana i odbierana w miejscu przeznaczenia za pomocą sprzętu elektronicznego do przetwarzania (włącznie z kompresją cyfrową) oraz przechowywania danych, i która jest całkowicie przesyłana, kierowana i otrzymywana za pomocą kabla, fal radiowych, środków optycznych lub innych środków elektromagnetycznych; (iii) „na indywidualne żądanie odbiorcy usług” oznacza, że usługa świadczona jest poprzez przesyłanie danych na indywidualne żądanie

  3. organizacji międzynarodowej – oznacza to organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy;

  4. systemie informatycznym – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych

  5. zasadzie „czystego biurka” - należy przez to rozumieć nie pozostawianie na stanowisku pracy podczas nieobecności żadnych dokumentów zawierających dane osobowe,

  6. zasadzie „czystego ekranu” - należy przez to rozumieć przestrzeganie podstawowej higieny technicznej w pracy z komputerem,

  7. zasadzie „czystej drukarki” - należy przez to rozumieć nie pozostawianie jakichkolwiek wydruków zawierających dane osobowe w drukarce po ich wydrukowaniu,

  8. sieci lokalnej - należy przez to rozumieć połączenie systemów informatycznych Administratora wyłącznie dla własnych jej potrzeb przy wykorzystaniu urządzeń i sieci Telekomunikacyjnych;

  9. sieci rozległej - należy przez to rozumieć sieć publiczną w rozumieniu ustawy z dnia 16 lipca 2004r. Prawo Telekomunikacyjne (Dz. U. z 2004r., Nr 171, poz. 1800 ze zm.)

  10. Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownika) w razie przetwarzania danych osobowych w takim systemie

  11. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie

  12. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika).

 

§ 3

 

Z zapisami w niniejszej Polityki obowiązkowo są zapoznani wszyscy użytkownicy. Oświadczenie użytkownika będącego pracownikiem Spółki wkłada się do jego akt osobowych.

 

§ 4

Zasady

  1. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w

    placówkach DENTA MED w Krakowie : ul. Na Zjeździe 13, ul. Augustiańska 13, ul. Św. Gertrudy 4

  2. Dla skutecznej realizacji Polityki Administrator zapewnia: a) odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne, b) kontrolę i nadzór nad przetwarzaniem danych osobowych, c) monitorowanie zastosowanych środków ochrony; monitorowanie przez Administratora zastosowanych środków ochrony obejmuje w szczególności działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.

  3. Administrator zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych były zgodne z niniejszą Polityką, RODO oraz odpowiednimi przepisami prawa z zakresu ochrony danych osobowych.

  4. Ponadto szczegółowe zasady dotyczące warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych określa Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w DENTA – MED

  5. Niniejsza Polityka w zakresie ochrony danych osobowych przetwarzanych w DENTA – MED odnoszą się do danych osobowych przetwarzanych w:

  1. w sposób tradycyjny, w szczególności w aktach osobowych, rejestrach ręcznych,

  2. w systemie informatycznym, także w przypadku przetwarzania danych poza zbiorem danych osobowych.

  1. Polityka obowiązuje wszystkich uprawnionych, lekarzy, pracowników DENTA – MED. oraz inne uprawnione osoby mające dostęp do danych osobowych, osoby zatrudnione na umowy cywilnoprawne, w tym stażystów, praktykantów (użytkownicy) .

  2. Przetwarzanie danych osobowych powinno odbywać się z zachowaniem poniższych zasad:

  1. zasadą zgodności z prawem, rzetelność i przejrzystość - przetwarzanie danych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,

  2. zasadą ograniczenia celu – zbieranie danych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 RODO za niezgodne z pierwotnymi celami

  3. zasadą minimalizacji danych - przetwarzanie danych adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,

  4. prawidłowości (poprawności) - prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane – prawidłowość

  5. ograniczenia przechowywania

  6. zapewnienia bezpieczeństwa danych, w tym ich integralności i poufności.

  1. Za prawidłowe przetwarzanie danych osobowych odpowiada Administrator.

  2. Administrator decyduje o celach i środkach przetwarzania danych osobowych oraz powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.

  3. Administrator w celu ochrony danych osobowych i ich przetwarzania jest zobowiązany do zapewnienia odpowiednich środków technicznych i organizacyjnych odpowiednich do zagrożeń oraz kategorii danych objętych ochroną, w szczególności powinien zabezpieczyć dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

§ 5

  1. Przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;

  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;

  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

  1. Jeżeli przetwarzanie odbywa się w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO Administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:

  1. wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;

  2. kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;

  3. charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa zgodnie z art. 10 RODO;

  4. ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;

  5. istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

§ 6

Zgoda – zasady ogólne.

        1. Warunki wyrażenia zgody:

  1. jeżeli przetwarzanie odbywa się na podstawie zgody, Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych;

  2. jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym
    i prostym językiem. Część oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie RODO nie jest wiążąca;

  3. osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie;

  4. oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy/usługi.

      1. Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego:

  1. jeżeli zastosowanie ma art. 6 ust. 1 lit. a RODO, w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody;

  2. w takich przypadkach administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała;

  3. przepisy RODO nie wpływają na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy o ważności, zawieraniu lub skutkach umowy wobec dziecka.

 

§ 7

Dane przetwarzane w celach zdrowotnych, których przetwarzanie nie wymaga zgody Pacjenta.

        1. Nie jest wymagana zgoda Pacjenta jeżeli przetwarzanie jego danych osobowych jest niezbędne do realizacji celów zdrowotnych przetwarzania jakimi są:

  1. profilaktyka zdrowotna; cel ten obejmuje m.in. przetwarzanie związane z procesem informowania Pacjenta o możliwości udzielenia świadczenia, w tym przesyłanie zaproszeń na badania, przekazywanie materiałów edukacyjnych, przekazywanie informacji o wydarzeniach prozdrowotnych. Przetwarzanie danych osobowych Pacjenta do celów profilaktyki zdrowotnej jest niezbędne tylko wtedy, jeżeli jest uzasadnione stanem zdrowia Pacjenta lub czynnikami ryzyka lub rokowaniami co do niego zawartymi w dokumentacji medycznej, którą dysponuje DENTA – MED.

  2. medycyna pracy, w tym oceny zdolności pracownika do pracy; cel ten obejmuje w szczególności przetwarzanie związane z procesem realizacji zadań służby medycyny pracy, w tym badania wstępne, okresowe i kontrolne pracowników oraz inne świadczenia zdrowotne są wykonywane na podstawie pisemnej umowy zawartej przez pracodawcę z podstawową jednostką służby medycyny pracy.

  3. diagnoza medyczna i leczenie; cel ten obejmuje w szczególności przetwarzanie związane procesem udzielania świadczeń zdrowotnych (diagnostycznych i leczniczych), w tym prowadzenie dokumentacji medycznej,

  4. zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej; cel ten obejmujem.in. w szczególności przetwarzanie związane z: rejestracją Pacjenta w DENTA – MED, zapewnieniem jakości udzielania świadczeń, m.in, zapewnieniem ciągłości opieki zdrowotnej, w tym w procesie koordynacji udzielania świadczeń, co może obejmować m.in. przypomnienie o terminie realizacji świadczenia zdrowotnego, potwierdzenie wizyty, odwołanie wizyty, poinformowanie o zmianach organizacyjnych w DENTA – MED., które mają wpływ na udzielenie oczekiwanego świadczenia, komunikacją po udzieleniu świadczenia w celu oceny stanu zdrowia pacjenta itp., odbieraniem i archiwizacją oświadczeń woli Pacjentów, weryfikacją uprawnień do uzyskania świadczeń opieki zdrowotnej i rozliczaniem zrealizowanych świadczeń opieki zdrowotnej; wykonywaniem innych czynności pomocniczych przy udzielaniu świadczeń zdrowotnych, a także czynności związanych z utrzymaniem systemu teleinformatycznego, wymianą informacji o stanie zdrowia pacjenta pomiędzy różnymi placówkami leczniczymi w celu zapewnia ciągłości opieki zdrowotnej;

  5. zapewnienia zabezpieczenia społecznego oraz zarządzania systemami i usługami zabezpieczenia społecznego; cel ten obejmuje w szczególności przetwarzanie związane procesem wystawiania zaświadczeń lekarskich oraz wykonywania zadań przez lekarzy orzeczników określonych w innych ustawach.

        1. Przetwarzane przez DENTA – MED dane osobowe Pacjenta muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów w jakich są przetwarzane.

§ 8

Przetwarzanie danych na podstawie zgody Pacjenta

  1. Przetwarzanie danych na podstawie zgody pacjenta w praktyce funkcjonowania DENTA – MED dotyczy w szczególności w następujących sytuacjach :

  1. przetwarzanie danych prowadzone jest w celu marketingowym przy czym za takie przetwarzanie danych nie uznaje się przetwarzania służącego bezpośrednio realizacji celów zdrowotnych,

  2. przetwarzanie danych realizowane jest w związku z realizacją badań klinicznych , przy czym zgody nie będzie wymagało przetwarzanie przez danych na potrzeby udzielania świadczeń opieki zdrowotnej na rzecz pacjenta będącego uczestnikiem badania klinicznego (np. leczenie skutków działań niepożądanych, leczenie towarzyszące itp.)

  3. przetwarzanie danych Pacjenta dokonywane w celu realizacji innych badań naukowych.

  4. przetwarzanie danych osobowych odbywa się w związku ze zautomatyzowanym podejmowaniem decyzji w indywidualnych sprawach, przekazywaniem danych osobowych do państwa trzeciego, o ile Administrator nie posiada innej podstawy prawnej przetwarzania danych osobowych pacjentów zgodnie z RODO.

  1. W przypadku, gdy podstawą przetwarzania danych osobowych ma być zgoda Pacjenta, zgoda powinna zostać wyrażona poprzez złożenie oświadczenia woli w formie pisemnej lub poprzez wyraźne działanie, w tym poprzez zaznaczenie okienka wyboru na formularzu lub w systemie informatycznym, przy którym są wskazane treści zgód.

  2. Relacja pomiędzy Pacjentem, a osobą wykonującą zawód medyczny ma charakter niesymetryczny i jest oparta na zaufaniu, zatem DENTA – MED i jego personel zobowiązany jest do zapewnienia, że udzielona zgoda na przetwarzanie danych osobowych nie jest wyrażona na skutek błędu, przymusu, czy groźby.

  3. Wycofanie zgody przez Pacjenta może nastąpić, w szczególności, w formie pisemnej, zaznaczenie okienka wyboru na formularzu lub w systemie informatycznym, przy którym są wskazane treści zgód lub poprzez wybór przez podmiot danych określonych ustawień technicznych w systemie informatycznym.

§ 9

Zakaz

  1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

  2. Ust. 1 powyżej nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

  3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

  4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglą­dowych, religijnych lub związkowych, pod warunkiem, że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;

  5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

  6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;

  7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i dane dotyczą;

  8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;

  9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;

  10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

  1. Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.

 

§ 10

Przetwarzanie danych osobowych niewymagające identyfikacji

 

  1. Jeżeli cele, w których Administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, Administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do RODO.

  2. Jeżeli w przypadkach, o których mowa w ust. 1 niniejszego paragrafu Administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą. W takich przypadkach zastosowania nie mają art. 15–20 RODO, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować.


 

§ 11

Weryfikacja tożsamości Pacjenta

  1. DENTA – MED zobowiązany jest do zweryfikowania tożsamości Pacjenta przed:

  1. utrwaleniem danych osobowych zebranych bezpośrednio od Pacjenta, w szczególności w związku z udzielaniem świadczeń zdrowotnych, chyba że ustalenie tożsamości przed uzyskaniem świadczenia nie jest możliwe i mogłoby istotnie utrudnić lub uniemożliwić uzyskanie świadczenia,

  2. spełnieniem obowiązków informacyjnych lub udzieleniem odpowiedzi na wynikające z przepisów RODO żądania związane z przetwarzaniem danych osobowych,

  3. udostępnieniem Pacjentowi informacji zawartych w dokumentacji medycznej i/lub informacji objętych tajemnicą osób wykonujących zawody medyczne osób wskazanych w art. 24 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta

  1. Weryfikacji tożsamości Pacjenta dokonuje się poprzez kontrolę okazanego przez Pacjenta dokumentu potwierdzającego tożsamość zawierającego co najmniej zdjęcie, imię i nazwisko oraz PESEL lub w przypadku jego braku inny numer jednoznacznie identyfikujący Pacjenta. Dokumentem potwierdzającym tożsamość jest w szczególności: dowód osobisty, legitymacja studencka, prawo jazdy, paszport.

  2. DENTA – MED może utrwalić informację o:

  1. dacie dokonania weryfikacji tożsamości oraz

  2. dokumencie, na podstawie którego została ona dokonana, z jednoczesnym wskazaniem numeru/identyfikatora tego dokumentu (np. numer i seria dowodu osobistego).

  1. W przypadku, jeżeli w imieniu Pacjenta małoletniego występuje przedstawiciel ustawowy, to tożsamość Pacjenta może być potwierdzona również przez przedstawiciela ustawowego w drodze oświadczenia i okazania dowodu tożsamości przedstawiciela ustawowego DENTA – MED może utrwalić informację o dacie dokonania weryfikacji oraz dokumencie przedstawiciela ustawowego, na podstawie którego została ona dokonana.

  2. W przypadku, jeżeli Pacjentowi małoletniemu towarzyszy opiekun faktyczny, który wyraża zgodę na badanie, to przed utrwaleniem danych w związku z tym badaniem, tożsamość Pacjenta może być potwierdzona również przez opiekuna faktycznego w drodze oświadczenia i okazania dowodu tożsamości opiekuna faktycznego. DENTA – MED może utrwalić informację o dacie dokonania weryfikacji oraz dokumencie opiekuna faktycznego, na podstawie którego została ona dokonana.

  3. W przypadku gdy weryfikacja tożsamości realizowana jest w sposób inny niż osobiście (np. na odległość lub przy użyciu środków komunikacji elektronicznej) lub w sytuacji powzięcia przez DENTA – MED wątpliwości co do tożsamości osoby zgłaszającej żądanie, DENTA – MED uprawniony jest do żądania dodatkowych informacji lub podjęcia przez osobę zgłaszającą żądanie dodatkowych działań niezbędnych do potwierdzenia tożsamości tej osoby, w szczególności takich jak:

  1. podanie dodatkowych danych osobowych w celu ich porównania z posiadanymi przez DENTA- MED lub

  2. dokonanie czynności weryfikacyjnych przy użyciu dostępnych DENTA - MED oraz osobie zgłaszającej żądanie narzędzi, w tym przy wykorzystaniu kwalifikowanego podpisu elektronicznego lub podpisu potwierdzonego profilem zaufanym ePUAP, przelewu bankowego potwierdzającego zgodność danych.

  1. W celu uniknięcia wątpliwości, zakres danych, jakich może żądać DENTA - MED w celu potwierdzenia tożsamości może być szerszy, niż wymagany ustawowo zakres danych identyfikujących Pacjenta zawartych w dokumentacji medycznej, przy czym zakres danych, których DENTA – MED żąda od Pacjenta lub jego przedstawiciela ustawowego lub opiekuna faktycznego powinien być adekwatny do rodzaju przetwarzanych danych, rodzaju zgłaszanego żądania oraz sposobu kierowania żądania i udzielania odpowiedzi na to żądanie. DENTA – MED dokonuje wyboru dodatkowych informacji lub działań niezbędnych do potwierdzenia tożsamości w oparciu o przeprowadzoną analizę ryzyka mając na względzie zapewnienie realizacji praw przysługujących Pacjentom i innym osobom w sposób możliwie najmniej uciążliwy.

§ 12

Informowanie i komunikacja, termin

  1. W związku z obowiązkiem zapewnienia praw osoby, której dane dotyczą wprowadza się przejrzyste informowanie i przejrzystą komunikację oraz tryb wykonywania praw przez osobę, której dane dotyczą, a administrator w tym celu:

  1. podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 RODO oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 RODO w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą;

  2. bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22 RODO. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania Administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

  1. Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

  2. Informacje podawane na mocy art. 13 i 14 RODO oraz komunikacja i działania podejmowane na mocy art. 15–22 i 34 RODO są wolne od opłat.

  3. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:

  1. pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo

  2. odmówić podjęcia działań w związku z żądaniem.

  1. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na Administratorze.

  2. Bez uszczerbku dla art. 11 RODO, jeżeli Administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15–21RODO, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

  3. Informacje, których udziela się osobom, których dane dotyczą, na mocy art. 13 i 14 RODO, można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, muszą się nadawać do odczytu maszynowego.

§ 13

Obowiązek informacyjny

  1. Przy zbieraniu danych osobowych Administrator podaje niżej wymienione informacje:

  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

  3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

  1. Administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

  2. informacje o prawie do żądania od Administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

  3. jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

  4. informacje o prawie wniesienia skargi do organu nadzorczego;

  5. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

  6. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

  1. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel,
    w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

  2. Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

  3. Przy pozyskiwaniu danych osobowych w sposób inny niż od osoby, której dane dotyczą Administrator podaje osobie, której dane dotyczą niżej wymienione informacje:

  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

  3. cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;

  4. kategorie odnośnych danych osobowych;

  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

  1. Administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

  2. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

  3. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

  4. jeżeli przetwarzanie odbywa się na podstawie zgody– informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

  5. informacje o prawie wniesienia skargi do organu nadzorczego;

  6. źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

  7. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

  1. Informacje, o których mowa w ust. 5 i 6, administrator podaje:

  1. w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;

  2. jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub

  3. jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

  1. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 5.

  2. Ust. 5,6, i 7 nie mają zastosowania, gdy – i w zakresie, w jakim:

  1. osoba, której dane dotyczą, dysponuje już tymi informacjami;

  2. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych,
    z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

  3. pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub

  4. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

  1. W przypadku, w którym DENTA – MED wchodzi w posiadanie danych osobowych przedstawicieli ustawowych, osób upoważnionych do dostępu do dokumentacji medycznej Pacjenta lub zasięgania informacji o jego stanie zdrowia lub też innych osób wskazanych przez Pacjenta w związku z udzielaniem mu świadczeń zdrowotnych i utrwalonych w dokumentacji medycznej, nie musi realizować wobec tych osób obowiązku informacyjnego.

     

 

§ 14

Dostęp do danych osobowych – zasady ogólne.

  1. Dane osobowe przetwarza się wyłącznie dla oznaczonych celów związanych z działalnością Administratora.

  2. Każda osoba, której dane są przetwarzane w przez Administratora, ma do nich swobodny dostęp.

  3. Informacje o danych osobowych udzielane są także uprawnionym do tego instytucjom (w szczególności sądom, policji, prokuraturze i organom kontrolnym), na ich pisemny, uzasadniony wniosek, chyba że właściwe przepisy określają inny tryb.

  4. Osoba, której dane dotyczą, jest uprawniona do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

  1. cele przetwarzania;

  2. kategorie odnośnych danych osobowych;

  3. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

  4. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

  5. informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

  6. informacje o prawie wniesienia skargi do organu nadzorczego;

  7. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

  8. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

  1. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji
    międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach związanych z przekazaniem.

  2. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, Administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.

  3. Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych.

  4. Administrator prowadzi Rejestry udostępnionych danych osobowych zawierające, co najmniej: datę udostępnienia, podstawę, zakres udostępnionych informacji oraz osobę lub instytucję, dla której dane udostępniono.

§ 15

Prawo pacjenta do dostępu do danych

  1. Prawo Pacjenta do dostępu do danych osobowych, o którym mowa w art. 15 RODO, jest prawem odrębnym od prawa Pacjenta do informacji o swoim stanie zdrowia, o którym mowa w art. 9 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz od prawa dostępu do dokumentacji medycznej, o którym mowa w art. 23 ust. 1 ww. ustawy.

  2. Pacjent ma prawo swobodnego wyboru podstawy oraz zakresu żądania związanego z dostępem do informacji na jego temat przetwarzanych przez DENTA – MED.

  3. Skierowanie przez Pacjenta żądania udostępnienia informacji o stanie zdrowia bądź dokumentacji medycznej, bez wskazania, że pacjent zamierza zrealizować prawo dostępu do danych osobowych, o którym mowa w art. 15 RODO, rodzi obowiązki wskazane odpowiednio w art. 9 lub art. 23 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.

  4. W przypadku, w którym Pacjent jednoznacznie powołuje się na prawo dostępu do danych osobowych, o którym mowa w art. 15 RODO, w zależności od zakresu wskazanego w żądaniu, Pacjent jest uprawniony do:

    1. uzyskania od DENTA - MED potwierdzenia czy przetwarza jego dane osobowe, a jeżeli ma to miejsce,

    2. uzyskania dostępu do tych danych oraz informacji wskazanych w art. 15 ust. 1 lit. a – h oraz art. 15 ust. 2 RODO.

    3. uzyskania od DENTA – MED kopii danych osobowych podlegających przetwarzaniu, w tym kopii dokumentacji medycznej oraz innych danych osobowych Pacjenta (ale nie wyciągu lub odpisu) .

  1. Przed udostępnieniem Pacjentowi żądanych informacji, w szczególności zaś przed udzieleniem Pacjentowi dostępu do danych osobowych lub wydaniu Pacjentowi kopii danych osobowych, w tym elektronicznie, DENTA - MED weryfikuje tożsamość Pacjenta na zasadach określonych w niniejszej Polityce.

  2. Jeżeli wykonywanie prawa dostępu do danych osobowych na podstawie art. 15 RODO wiąże się z udostępnieniem Pacjentowi kopii dokumentacji medycznej, fakt ten jest odnotowywany w wykazie wskazanych w art. 27 ust. 4 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta wraz ze wskazaniem, że do udostępnienia doszło na podstawie tego artykułu.

  3. Zgodnie z art. 15 ust. 3 RODO, nieodpłatnemu udostępnieniu podlega pierwsza kopia przetwarzanych danych osobowych.

  4. DENTA – MED może jednak pobierać opłatę od kolejnych kopii. Za kolejne kopie uznaje się w szczególności dokumentację medyczną w zakresie w jakim była uprzednio udostępniona (uprzednio udostępnione i nie zmienione dokumenty dokumentacji medycznej). Za rozsądną wysokość ww. opłaty uznaje się opłatę nie wyższą, niż opłaty wskazane w art. 28 ust. 4 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. DENTA - MED może pobrać opłatę wyższą jeżeli uzasadniają to udokumentowane, istotne koszty administracyjne.

  5. W przypadku przekazania kopii danych zgodnie z art. 15 ust. 3 w postaci elektronicznej, w tym kopii dokumentacji medycznej może być w szczególności przesłane na adres e-mail wskazany przez Pacjenta lub inny powszechnie stosowany sposób transmisji elektronicznej. W przypadku niewskazania adresu e-mail lub innego sposobu transmisji elektronicznej DENTA – MED. zwraca się do Pacjenta o wskazanie adresu e-mail lub innego powszechnie stosowanego sposobu transmisji elektronicznej informując jednocześnie Pacjenta o najczęstszych zagrożeniach związanych z transmisją elektroniczną.

  6. W przypadku żądań Pacjenta o dostęp do danych osobowych (art. 15 RODO i in) ewidentnie nieuzasadnionych lub nadmiernych, w szczególności ze względu na swój ustawiczny charakter, DENTA – MED może pobrać dodatkową opłatę lub odmówić podjęcia działań. Przy ustaleniu wysokości opłaty uwzględnia się administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań. Opłata może mieć charakter zryczałtowany i być ustalona w formie cennika dostępnego dla Pacjentów.

  7. Za ewidentnie nieuzasadnione lub nadmierne żądania Pacjenta które uzasadniają pobranie opłaty dodatkowej bądź odmowę podjęcia działań uznaje się w szczególności:

    1. żądania o informacje częściej niż raz na 3 miesiące, jeżeli zakres danych przetwarzanych przez DENTA – MED bądź inne okoliczności związane z przetwarzaniem nie ulegały zmianie od czasu złożenia poprzedniego żądania;

    2. żądania o informacje dzielone sztucznie na kilka lub kilkanaście żądań;

    3. żądanie szczególnego, niestandardowego formatu odpowiedzi;

    4. żądanie udzielenia odpowiedzi w języku innym niż polski.

  1. Za ewidentnie nieuzasadnione lub nadmierne żądania osoby, które uzasadniają odmowę ich zrealizowania uznaje się w szczególności:

    1. żądanie informacji, których przekazanie spowodowałyby nieuprawnione ujawnienie tajemnicy przedsiębiorstwa, tajemnicy zawodowej personelu medycznego lub danych osobowych innego Pacjenta lub innej tajemnicy prawnie chronionej;

    2. żądanie informacji, których udzielenie wymagałoby zaangażowania personelu medycznego i niemedycznego w sposób utrudniający bieżące funkcjonowanie DENTA – MED, przez co rozumie się w szczególności:

- żądania, którego spełnienie skutkowałoby koniecznością ograniczenia liczby pacjentów, na rzecz których są udzielane świadczenia przez personel medyczny;

- żądania, których spełnienie skutkowałoby koniecznością wydłużenia czasu realizacji innych praw pacjenta, w tym prawa dostępu do dokumentacji medycznej.

  1. DENTA – MED każdorazowego uzasadnienia osoby zgłaszającej żądanie przyczyny pobrania dodatkowej opłaty lub odmowy podjęcia działań.

 

§ 16

Dostęp do danych pacjentów

  1. Do przetwarzania danych osobowych Pacjentów zawartych w szczególności w dokumentacji medycznej w ramach działalności DENTA – MED uprawnione są:

    1. osoby wykonujące zawód medyczny – tj. lekarze DENTA – MED , higienistki stomatologiczne, pielęgniarki, radiolodzy, technicy protetyczni oraz asystentki stomatologiczne.

    2. inne osoby wykonujące czynności pomocnicze przy udzielaniu świadczeń zdrowotnych (w szczególności pracownicy rejestracji, sekretariatu, obsługi sprzętu Wizyt Domowych, a także czynności związane z utrzymaniem systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnieniem bezpieczeństwa tego systemu, na podstawie upoważnienia administratora/IOD lub umowy o powierzeniu przetwarzania danych osobowych.


 

  1. W odniesieniu do osób wykonujących zawody medyczne DENTA – MED stosuje następujące zasady przetwarzania:

    1. zakres przetwarzanych danych powinien być niezbędny do wykonywania zawodu medycznego, w szczególności do udzielania świadczeń opieki zdrowotnej lub musi być powiązany choćby z potencjalną możliwością udzielania świadczeń opieki zdrowotnej,

    2. osoba przetwarzająca dane w ramach czynności wykraczających poza wykonywanie zawodu medycznego powinna w tym zakresie uzyskać upoważnienie Administratora.


 

§ 17

Udostępnianie danych osobowych Pacjenta zawartych w dokumentacji medycznej.

  1. Dane osobowe pacjenta zawarte w dokumentacji medycznej są udostępniane na zasadach i w sposób określony w przepisach art. 26 i 27 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz w przepisach rozporządzeń wykonawczych wydanych na podstawie tej ustawy.

  2. DENTA – MED może udostępniać dane osobowe Pacjenta zawarte w dokumentacji medycznej zgodnie z art. 26 ust 3 pkt 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta również za pośrednictwem platform wymiany danych przy wsparciu podmiotów świadczących usługę prowadzenia repozytorium pod warunkiem spełnienia odpowiednich środków bezpieczeństwa, w tym również zawarcia, jeśli charakter świadczonych usług tego wymaga, umowy powierzenia przetwarzania danych osobowych z podmiotami pośredniczącymi w wymianie danych .

  3. W przypadku udostępniania Pacjentowi informacji zawartych w dokumentacji medycznej dotyczących pojedynczego świadczenia zdrowotnego, DENTA - MED może taką informację (w szczególności wynik badania lub konsultacji) udostępnić na podstawie indywidualnego numeru tego świadczenia (przekazanego wyłącznie samemu Pacjentowi lub Pacjentowi oraz podmiotowi wykonującemu działalność leczniczą wystawiającemu skierowanie). Udostępnianie informacji w wyżej wskazany sposób następuje w szczególności przy dostępie online lub przy wykorzystaniu stanowisk odbioru wyników badań (wynikomatów). Zastosowanie wyżej wskazanej metody udostępniania wymaga poinformowania Pacjenta o takiej możliwości oraz konsekwencjach przekazania indywidualnego numeru świadczenia osobie trzeciej. W przypadku udostępnienia danych z wykorzystaniem indywidualnego numeru świadczenia domniemywa się, że udostepnienie nastąpiło Pacjentowi.

  4. Upoważnienie, o którym mowa w ust. 1 może być udzielone w dowolnej formie. Upoważnienie złożone w jednym DENTA – MED zachowuje moc w innym podmiocie wykonującemu działalność leczniczą, chyba że coś innego wynika z treści upoważnienia;

  5. Upoważnienie zawiera co najmniej następujące elementy:

    1. jednoznaczna identyfikacja Pacjenta

    2. jednoznaczna identyfikacja osoby udzielającej upoważnienia;

    3. jednoznaczna identyfikacja osoby, której udzielane jest upoważnienie, poprzez wskazanie co najmniej imienia i nazwiska tej osoby;

  1. DENTA – MED zobowiązany jest do ustalenia tożsamości Pacjenta, osoby udzielającej upoważnienia oraz osoby uzyskującej dostęp do dokumentacji medycznej na podstawie upoważnienia.


 

§ 18

Sprostowanie, uzupełnienie danych. Szczególne zasady dotyczące Pacjenta.

  1. Osoba, której dane dotyczą, ma prawo żądania od Administratora niezwłocznego sprostowania lub uzupełnienia dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

  2. Na administratorze danych osobowych spoczywa obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania.

  3. Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

  4. Uprawnienie o którym mowa w niniejszym paragrafie w przypadku Pacjenta jest wyłączone w zakresie w jakim będzie prowadzić to do naruszenia autonomii zawodowej osoby wykonującej zawód medyczny, która dokonywała wpisu do dokumentacji medycznej. Wraz z wykonaniem żądania Pacjenta dotyczącego sprostowania lub uzupełnienia danych osobowych, DENTA - MED dokonuje oceny istotności i charakteru wprowadzonych sprostowań i uzupełnień:

  1. jeżeli niepoinformowanie określonych odbiorców danych o zmianach będzie nieść za sobą zagrożenie dla życia lub zdrowia Pacjenta, DENTA – MED niezwłocznie; informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, każdego z tych odbiorców, którym ujawnił dane osobowe, chyba że okaże się to niemożliwe. DENTA – MED informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda

  2. jeżeli niepoinformowanie określonych odbiorców danych o zmianach nie będzie niosło za sobą zagrożenia dla życia i zdrowia Pacjenta, DENTA – MED informuje każdego z tych odbiorców, którym ujawnił dane osobowe Pacjenta o zakresie dokonanych zmian, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Dla uniknięcia wątpliwości interpretacyjnych, za działania wymagające niewspółmiernie dużego wysiłku w sytuacji wskazanej w zdaniu poprzednim uważa się w szczególności następujące działania wobec odbiorców:

- poinformowanie o zmianach odbiorców, z którymi nie jest możliwy jest kontakt drogą e-mailową, lub;

- poinformowanie o zmianach odbiorców, których tożsamości DENTA – MED nie zna w chwili dokonania sprostowania lub usunięcia,

- poinformowanie o zmianach odbiorców, którym udostępniono dane osobowe wcześniej, niż na rok od chwili dokonania sprostowania lub usunięcia danych.

 

§ 19

Prawo do bycia zapomnianym. Zasady szczególne dotyczące Pacjentów.

  1. Osoba, której dane dotyczą, ma prawo żądania od Administratora niezwłocznego usunięcia dotyczących jej Danych Osobowych a Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

  2. osoba, której dane dotyczą, cofnęła zgodę, i nie ma innej podstawy prawnej przetwarzania;

  3. osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 RODO wobec przetwarzania;

  4. dane osobowe były przetwarzane niezgodnie z prawem;

  5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

  6. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku,

  1. Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować Administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

  2. Prawo do bycia zapomnianym nie ma zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:

  1. do korzystania z prawa do wolności wypowiedzi i informacji;

  2. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

  3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego,

  4. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub

  5. do ustalenia, dochodzenia lub obrony roszczeń.

  1. W przypadku wykonania prawa do bycia zapomnianym, administrator danych powinien zaprzestać przetwarzania danych osobowych i usunąć dane.

  2. W stosunku do Pacjenta prawo do bycia zapomnianym nie znajduje zastosowania wobec danych osobowych Pacjentów przetwarzanych na podstawie art. 9 ust. 2 lit h RODO, w tym w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę. W tym przepadku Administrator odmawia zrealizowania prawa Pacjenta do bycia zapomnianym w odniesieniu do danych osobowych zawartych w dokumentacji medycznej przez cały wymagany przepisami prawa okres archiwizacji dokumentacji medycznej. W przypadku gdy przetwarzanie danych osobowych Pacjenta odbywa się na podstawie zgody Pacjent może zrealizować prawo do bycia zapomnianym w zakresie celu, w którym dane osobowe pacjenta są przetwarzane na podstawie tej zgody, pod warunkiem że zachodzi przynajmniej jedna z przesłanek wskazanych w art. 17 ust. 1 RODO.

 

§ 20

 

Ograniczenie przetwarzania danych. Zasada szczególne dotyczące Pacjentów.

 

  1. Osoba, której dane dotyczą, ma prawo żądania od Administratora ograniczenia przetwarzania w następujących przypadkach:

  1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;

  2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

  3. Administrator danych nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której, dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

  4. osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

  1. Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub
    z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

  2. Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1.

  3. W przypadku żądania przez Pacjenta ograniczenia przetwarzania zgodnie z przesłanką określoną w art. 18 ust. 1 lit a) RODO w odniesieniu do danych osobowych Pacjentów przetwarzanych na podstawie art. 9 ust. 2 lit h RODO, w tym w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę, DENTA – MED może przetwarzać te dane w dotychczasowym zakresie, bowiem ograniczenie przetwarzania danych dokonywanego w celach zdrowotnych i mogłoby istotnie utrudnić realizację tych celów (brak skuteczności ograniczenia przetwarzania w związku z ważnymi względami interesu publicznego).

 

§ 21

Prawo do przenoszenia danych. Zasady szczególne dotyczące Pacjentów.

  1. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła Administratorowi, oraz ma prawo przesłać te dane osobowe innemu Administratorowi bez przeszkód ze strony Administratora, któremu dostarczono te dane osobowe, jeżeli:

  1. przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy, której stroną jest osoba, której dane dotyczą,

  2. przetwarzanie odbywa się w sposób zautomatyzowany.

  1. Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez Administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

  2. Wykonanie prawa do przenoszenia, pozostaje bez uszczerbku dla art. 17 RODO. Prawo to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

  3. Prawo do przenoszenia danych nie może niekorzystnie wpływać na prawa i wolności innych.

  4. W przypadku Pacjenta prawo do przenoszenia danych nie znajduje zastosowania wobec danych osobowych przetwarzanych przez DENTA – MED na podstawie art. 9 ust. 2 lit. h RODO, w tym w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę. W przypadku otrzymania żądania Pacjenta związanego z wykonywaniem prawa do przenoszenia danych w odniesieniu do danych osobowych zgromadzonych w dokumentacji medycznej, DENTA – MED ma obowiązek poinformować Pacjenta o braku podstawy prawnej tego prawa oraz poinformować o trybie w jakim Pacjent może uzyskać dostęp do dokumentacji medycznej.

  5. W przypadku Pacjenta prawo do przenoszenia danych znajduje zastosowanie wyłącznie wobec operacji przetwarzania danych osobowych prowadzonych przez które mają charakter zautomatyzowany i które prowadzone są w oparciu o zgodę Pacjenta na przetwarzanie danych osobowych lub w oparciu o umowę, której Pacjent jest stroną.

  6. W ramach realizacji prawa Pacjenta do przenoszenia danych Pacjent może:

  1. otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe dotyczące Pacjenta, które Pacjent dostarczył DENTA – MED; przez pojęcie format nadający się do odczytu maszynowego” należy w szczególności rozumieć powszechnie używane formaty plików.

  2. żądać, by dane osobowe dotyczące Pacjenta zostały przesłane bezpośrednio innemu administratorowi; przez pojęcie danych osobowych dotyczących Pacjenta, które Pacjent dostarczył DENTA – MED należy rozumieć dane aktywnie i świadomie podane DENTA - MED przez Pacjenta, w szczególności zawarte w ankietach i kwestionariuszach oraz dane wygenerowane przez tą osobę (np. logi ze stron internetowych).

  1. Żądanie wykonania prawa do przenoszenia danych może być zrealizowane przez DENTA - MED tylko po zweryfikowaniu tożsamości Pacjenta na zasadach określonych w niniejszej Polityce.

 

§ 22

Prawo do wniesienia sprzeciwu. Zasady szczególne dotyczące Pacjentów.

  1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw
    – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO, w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

  2. Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

  3. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.

  4. Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, o którym mowa w ust. 1 i 2, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.

  5. W związku z korzystaniem z usług społeczeństwa informacyjnego osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.

  6. Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

  7. Prawo Pacjenta do sprzeciwu wobec przetwarzania danych osobowych nie znajduje zastosowania wobec danych osobowych przetwarzanych przez DENTA – MED na podstawie art. 9 ust. 2 lit. h RODO, w tym w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę. Prawo Pacjenta do sprzeciwu wobec przetwarzania danych osobowych znajduje zastosowanie tylko i wyłącznie wobec danych osobowych przetwarzanych przez DENTA – MED:

  1. w celu wykonywania zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi

  2. w oparciu o przesłankę tzw. prawnie uzasadnionych interesów DENTA – MED jako administratora danych osobowych.

§ 23

Zautomatyzowane przetwarzanie

  1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

  2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja:

  1. jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a Administratorem;

  2. jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub

  3. opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

  1. W przypadkach, o których mowa w ust. 2 lit. a) i c), Administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

  2. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1 RODO , chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) RODO i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

 

ROZDZIAŁ 2

ADMINISTRACJA I ORGANIZACJA BEZPIECZEŃSTWA


 

§ 24

Inspektor Ochrony Danych Osobowych

  1. Administrator wyznaczył Inspektora Ochrony Danych.

  2. Inspektor Ochrony Danych podlega bezpośrednio Administratorowi.

  3. Osoby, których dane dotyczą, mogą kontaktować się z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.

  4. IOD jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań.

  5. IOD może wykonywać inne zadania i obowiązki. Administrator zapewnia by takie zadania i obowiązki nie powodowały konfliktu interesów.

  6. Do zadań IOD należy w szczególności:

  1. informowanie Administratora, podmiotu przetwarzającego oraz użytkowników DENTA – MED którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

  2. monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz Polityki, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

  3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,

  4. współpraca z organem nadzorczym;

  5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

  1. IOD wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

§ 25

Pełnomocnik Administratora

  1. Pełnomocnik Administratora w zakresie zagadnień związanych z RODO podlega bezpośrednio Administratorowi.

  2. W razie gdy Administrator nie powołał odrębnego Pełnomocnika jego obowiązki, określone w niniejszym dokumencie pełni w odpowiednim zakresie IOD.

  3. Do zadań Pełnomocnika należy w szczególności:

  1. informowanie Administratora, IOD, użytkowników o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

  2. monitorowanie przestrzegania RODO, innych przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

  3. udzielanie zaleceń co do ochrony danych, monitorowanie ich wykonania oraz wspieranie administratora we współpracy w tym zakresie z organem nadzorczym,

  4. wspieranie Administratora w kontaktach z organem nadzorczym w zakresie kwestii związanych z przetwarzaniem danych, w tym przygotowywanie dokumentacji dla organu nadzorczego.

  1. Pełnomocnik wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

  2. Pełnomocnik aktualizuje „Politykę” oraz prowadzi i aktualizuje pozostałą dokumentację dotyczącą ochrony danych osobowych, a w szczególności:

  1. prowadzi szkolenia z zakresu ochrony danych osobowych, w tym zapewnia zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

  2. nadaje w imieniu Administratora upoważnienia do przetwarzania danych osobowych, prowadzi i aktualizuje ewidencje osób upoważnionych do przetwarzania danych osobowych

  3. zawiera w imieniu Administratora umowy powierzenia przetwarzania danych osobowych i prowadzi i aktualizuje ich rejestr

  4. prowadzi i aktualizuje Rejestr przetwarzania danych przetwarzanych.

  5. prowadzi i aktualizuje Rejestr naruszeń danych osobowych.

  6. prowadzi i aktualizuje Rejestr udostępnionych danych osobowych


 

§ 26

Administrator Systemów Informatycznych

  1. Administrator systemów informatycznych w ramach zadań w zakresie ochrony przetwarzania danych osobowych podlega Administratorowi.

  2. W razie gdy Administrator nie powołał odrębnego ASI jego obowiązki, określone w niniejszym dokumencie pełni Pełnomocnik Administratora lub IOD.

  3. Do zadań administratora systemów informatycznych należy m.in.: doradzanie administratorowi w zakresie zagadnień informatycznych,
    a w szczególności wprowadzania rozwiązań mających na celu ochronę przetwarzania danych osobowych w zgodzie z przepisami RODO, w tym w przygotowywaniu dokumentacji; współpraca z pełnomocnikiem Administratora w zakresie monitorowania przestrzegania wprowadzonej Polityki oraz procedur przetwarzania danych osobowych w systemach informatycznych; dokonywanie okresowych sprawdzeń zabezpieczeń systemów pod kątem możliwości wystąpienia incydentów naruszeń ochronny przetwarzania danych osobowych w systemach informatycznych; współpraca z administratorem oraz pełnomocnikiem Administratora przy minimalizacji skutków incydentów naruszeń ochrony przetwarzania danych osobowych, podejmuje czynności wyjaśniające mające na celu ustalenie przyczyn i okoliczności naruszenia bezpieczeństwa danych osobowych skutków naruszenia i sporządzenia z tego pisemny raport.

  4. Administrator systemów informatycznych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

  5. Administrator systemów informatycznych winien się stosować do wytycznych i poleceń administratora lub jego pełnomocnika w zakresie ochrony przetwarzania danych.

§ 27

Upoważnienie do przetwarzania danych osobowych

  1. Do przetwarzania danych osobowych mogą być dopuszczone osoby wyłącznie przeszkolone oraz posiadające nadane upoważnienie do przetwarzania danych w zakresie niezbędnym do realizacji zadań.

  2. Za przeprowadzenie szkoleń w zakresie wykonywania czynności zapewniających ochronę danych osobowych oraz zapoznanie użytkowników z dokumentacją Polityki i wszelkich innych procedur związanych z ochroną danych osobowych odpowiedzialny jest Administrator.

  3. Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych.

  4. Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy znajomość, zrozumienie i stosowanie w możliwe największym zakresie wszelkich dostępnych środków ochrony danych osobowych oraz uniemożliwienie osobom nieuprawnionym dostępu swojego stanowiska pracy. Do obowiązków tych należy również:

  1. przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami i celami przetwarzania,

  2. postępowanie zgodnie z ustalonymi regulacjami wewnętrznymi dotyczącymi przetwarzania danych osobowych,

  3. zachowania w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia, także po ustaniu stosunku pracy czy innego stosunku prawnego łączącego taką osobę ze Spółką.

  4. ochrony danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem,

  5. informowania o wszelkich podejrzeniach, naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane osobowe do przełożonego, który ma obowiązek ma poinformować Administratora lub jego pełnomocnika.

  6. Wszyscy Użytkownicy DENTA – MED uprawnieni do przetwarzania danych osobowych zobowiązani są do zachowania danych osobowych w tajemnicy. Na stanowiskach pracy, na których ma miejsce przetwarzanie danych osobowych obowiązuje zasada „czystego biurka, czystej drukarki oraz czystego pulpitu”.

  1. Użytkownik wykonuje wszystkie prace niezbędne do efektywnej oraz bezpiecznej pracy.

  2. Użytkownik jest odpowiedzialny przed Administratorem za utrzymanie niezbędnych warunków bezpieczeństwa w szczególności do przestrzegania procedur dostępu i ochrony danych osobowych.

 

§ 28

Powierzenie przetwarzania danych osobowych

  1. Jeżeli przetwarzanie ma być dokonywane w imieniu Administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO
    i chroniło prawa osób, których dane dotyczą.

  2. Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający zobowiązany jest informować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

  3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki
    i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

  1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

  2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

  3. podejmuje wszelkie środki wymagane na mocy art. 32 RODO (adekwatnie do sytuacji);

  4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w RODO;

  5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;

  6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO;

  7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

  8. udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

  1. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

  2. Umowa lub inny akt prawny, o których mowa w niniejszym paragrafie, mają formę pisemną lub elektroniczną.

  3. Administrator prowadzi rejestr umów powierzenia.

§ 29

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

§ 30

  1. Administrator zobowiązany jest do prowadzenia rejestru czynności przetwarzania.


 

§ 31

  1. Administrator i podmiot przetwarzający, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

  1. pseudonimizację i szyfrowanie danych osobowych;

  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych
    i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

  1. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub inny sposób przetwarzanych.

  2. Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

 

§ 32

Naruszenie ochrony danych osobowych, termin

  1. W przypadku naruszenia ochrony danych osobowych, Administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

  2. Użytkownicy są odpowiedzialni za prawidłowe zgłaszanie incydentów naruszenia przetwarzania danych osobowych. Informują o wystąpieniu incydentu Pełnomocnika, IOD którzy o zaistniałym zdarzeniu informuje Administratora.

  3. Każdy użytkownik jest zobowiązany do zabezpieczenia dowodów próby lub naruszenia przetwarzania danych osobowych (m.in. przez wykonanie zdjęć pomieszczeń, komunikatów, które pojawiły się na sprzęcie, powiadomienie o konieczności zabezpieczenia nagrań, itp.) oraz po konsultacji
    Administratorem lub pełnomocnikiem lub IOD zastosowania środków w celu zaradzenia naruszeniom ochrony danych osobowych, w tym zastosowania środków w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych.

  4. W przypadku naruszenia przetwarzania danych osobowych w systemach informatycznych czynności, o których wyżej mowa winny być wykonywane przy współudziale ASI.

  5. Każdy użytkownik, który powziął informację o wystąpieniu incydentu w zakresie naruszenia przetwarzania danych osobowych w ramach pracy własnej lub pozyskania od osoby trzeciej ( powiadomienie telefoniczne, email, pismo etc.) w ciągu do 1 godziny powiadamia telefonicznie Administratora lub Pełnomocnika Administratora przekazując poniższe informacje:

    1. data, godzina i miejsce wystąpienia incydentu;

    2. charakter naruszenia danych osobowych;

    3. kategoria i przybliżona liczba osób, których dane dotyczą;

    4. liczba rekordów (liczba dokumentów), których dotyczyły naruszenia

    5. możliwe konsekwencje naruszenia ochrony danych;

    6. środki zastosowane lub proponowane w celu zaradzenia naruszeniom ochrony danych osobowych, w tym zastosowane środki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych.

  1. Klasyfikacja incydentów:

    1. zdarzenia losowe zewnętrzne (np.: klęski żywiołowe, przerwy w zasilaniu), których wystąpienie może prowadzić do utraty integralności danych, ich zniszczenia lub uszkodzenia, uszkodzenia lub zniszczenia infrastruktury technicznej (w tym teleinformatycznej), zakłócenia ciągłości pracy systemów informatycznych w przypadku wystąpienia zdarzenia o takich charakterze nie dochodzi do naruszenia poufności danych,

    2. zdarzenia losowe wewnętrzne (np.: niezamierzone pomyłki operatorów lub administratorów systemów, awarie sprzętowe, błędy w oprogramowaniu), w wyników, których może dojść do zniszczenia danych lub zakłócenia ciągłości pracy systemów - w takim przypadku może nastąpić naruszenie poufności danych.

    3. zdarzenia zamierzone, świadome i celowe, które stanowią najpoważniejsze zagrożenie naruszenia poufności danych (zwykle nie dochodzi do uszkodzenie infrastruktury technicznej i teleinformatycznej oraz zakłócenia ciągłości pracy), do których możemy zaliczyć:

- nieuprawniony dostęp do danych z zewnątrz ( włamanie do systemu);

- nieuprawniony dostęp do danych z sieci wewnętrznej ( nieuprawnione wejście w posiadanie danych niezbędnych do zalogowania się do systemów informatycznych i wykorzystanie ich do pozyskania danych);

- nieuprawniony transfer danych (przesłanie danych osobie/podmiotowi nieuprawnionemu do przetwarzania określonej kategorii danych osobowych);

- pogorszenie funkcjonowania sprzętu i oprogramowania (np.: działanie wirusów, oprogramowani o charakterze złośliwym);

- bezpośrednie zagrożenie materialnych składników systemu (np.: kradzież sprzętu);

- bezpośrednie zagrożenie dla zbiorów prowadzonych w formie papierowej (kradzież dokumentów, udostępnienie do wyglądu osobom/ podmiotom nie posiadającym uprawnienia do ich przetwarzania).

  1. Przykłady zdarzeń, które powinny być objęte szczególnym zainteresowaniem z uwagi na możliwość naruszenia ochrony danych osobowych:

  1. wystąpienie sytuacji losowych lub nieprzewidzianego oddziaływania czynników zewnętrznych na infrastrukturę budowlaną lub teleinformatyczną, takich jak np.: wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, działania przestępcze w tym działania terrorystyczne, nieustalona wizyta ekipy remontowej itp.

  2. wystąpienie wysokich temperatur lub nadmiernej wilgotności mających wpływ na sprzęt, w szczególności na serwery;

  3. awaria sprzętu lub oprogramowania, których charakter wskazuje na umyślne działanie mające na celu naruszenie ochrony przetwarzania danych osobowych, niepoprawne działanie systemów, jak również pozostawienie sprzętu bez nadzoru w miejscach, gdzie mogą mieć do nich osoby nie posiadające upoważnienia do przetwarzania określonej kategorii danych osobowych w tym w czasie serwisowania sprzętu przez osoby/ podmioty, które nie posiadają w tym zakresie upoważnienia;

  4. pojawienie się komunikatu lub informacji o wystąpieniu zagrożenia np. systemu. zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu;

  5. zmiana graficzna wyglądu strony wykorzystywanego oprogramowania, która może świadczyć o utworzeniu fałszywego szablonu odbiorcy zdefiniowanego za pomocą złośliwego oprogramowania lub technik phishingowych;

  6. wystąpienie naruszenie lub próba naruszenia integralności systemu lub zbiorów utworzonych w tym systemie;

  7. stwierdzenie modyfikacji lub próby modyfikacji danych w strukturze zbioru danych osobowych bez odpowiedniego stosownej autoryzacji;

  8. ujawnienie osobom nie posiadającym stosownego upoważnienia dane osobowe przetwarzanych w ramach obowiązków służbowych;

  9. ujawnienie osobom nie posiadającym stosownego upoważnienia informacji dotyczących systemu zabezpieczeń systemów teleinformatycznych lub obiektowych;

  10. udostępnienie sprzętu na którym przetwarzane są dane osobowe lub dostępu do pomieszczeń, w których znajdują się dane osobowe osobom, które nie posiadają stosownych upoważnień;

  11. ujawnienie kont osobistych osób, które utraciły upoważnienia w związku z rozwiązaniem stosunku pracy lub zmiany stanowiska, w określonych systemach, w którym przetwarzane są dane osobowe;

  12. utrata w wyniku zagubienia lub celowego działania nośniki lub dokumenty zawierające dane osobowe;

  13. podmiana lub zniszczenie nośników z danymi bez odpowiedniego upoważnienia lub
    skasowanie lub kopiowanie danych osobowych w niedozwolony sposób;

  14. stwierdzenie nieprzestrzegania procedur w zakresie bezpieczeństwa teleinformatycznego
    i ogólnych zasad bezpieczeństwa m.in. brak wylogowania się z systemu, pozostawienie włączonego sprzętu, pozostawienie otwartych pomieszczeń, nieuruchomienie systemów alarmowych, brak zabezpieczeń w postaci oprogramowani antywirusowych lub haseł na urządzeniach mobilnych na których przetwarzane są dane osobowe, wykorzystywanie danych osobowych do celów prywatnych);

  15. stwierdzenie nieprawidłowości w zakresie miejsc przechowywania danych osobowych- pozostawienie np. otwartych szaf/szafek, pomieszczeń.

 

  1. Administrator wspólnie IOD oraz pełnomocnikiem na podstawie uzyskanych informacji dotyczących incydentu ustala czy w wyniku zdarzenia wystąpiło ryzyko naruszenia praw i wolności osób trzecich.

  2. Administrator jest zobowiązany zgłosić organowi nadzorczemu incydent w przypadku wystąpienia wysokiego ryzyka naruszenia danych osobowych ,niezwłocznie, w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia. W przypadku braku wszystkich wymaganych informacji możliwe jest uzupełnianie zgłoszenia co do okoliczności incydentu i jego rozmiaru. Zgłoszenie incydentu po upływie wskazanego termin wymaga od administratora dołączenia pisemnego wyjaśnienia dotyczącego przyczyn opóźnienia. Administrator niezwłocznie powiadamia osobę/osoby, których dane dotyczą.

  3. Administrator nie ma obowiązku zgłaszania incydentu naruszenia danych osobowych organowi nadzorczemu jeśli wystąpiły przesłanki wynikające z przepisów RODO zwalniające go z tego obowiązku, a w szczególności:

  1. Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

  2. Administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;

  1. Administrator nie ma obowiązku zawiadomienia poszczególnych osób o wystąpieniu incydentu jeśli czynność ta wymagałaby niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

  2. Podmiot przetwarzający dane po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi.

  3. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

  1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

  2. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych ( jeśli jest powołany) lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

  3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

  4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.


 

  1. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.

  2. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

§ 33

  1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia jej praw lub wolności, Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

  2. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) RODO.

  3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:

  1. Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

  2. Administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,

  3. wymagałoby ono niewspółmiernie dużego wysiłku; w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

  1. Jeżeli Administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.

§ 34

  1. Dane przetwarzane w systemach informatycznych mogą zostać zagrożone możliwością naruszenia przepisów dotyczących przetwarzania danych osobowych na czterech płaszczyznach: utrata poufności, dostępności, integralności oraz rozliczalności.

  2. Przez poufność należy rozumieć zapewnienie, że tylko osoba uprawniona posiadała dostęp do danych osobowych w zakresie wymaganym przez zlecone jej zadania. Jako zagrożenia należy wymienić:

  1. nieuprawniony dostęp do pomieszczeń w których zlokalizowane są zasoby systemu informatycznego służącego do przetwarzania danych osobowych;

  2. ujawnienie haseł do systemu informatycznego;

  3. nieuprawnione udostępnienie informacji przez osobę posiadającą dostęp do zasobów danych osobowych;

  4. nieuprawnione przeniesienie informacji na nośniku lub w formie wydruku;

  5. utrata nośnika zawierającego dane osobowe;

  6. skorzystanie z uprawnień do danego systemu przez osobę nieposiadającą uprawnień, która weszła w posiadanie haseł w sposób niezgodny z prawem.

  1. Przez dostępność należy rozumieć zapewnienie, że użytkownik danego systemu posiada możliwość pracy na danym stanowisku zgodnie z ustalonymi wymaganiami w zakresie ochrony. Jako zagrożenia należy wymienić:

  1. brak możliwości przetwarzania danych osobowych spowodowanych brakiem dostępu do pomieszczeń, w którym zlokalizowany jest sprzęt;

  2. awaria systemu lub sprzętu informatycznego;

  3. zakłócenia w zasilaniu systemu informatycznego;

  4. brak dostępu do haseł systemu informatycznego;

  5. wydarzenie losowe- klęska żywiołowa.

  1. Przez rozliczalność należy rozumieć zapewnienie, że czynności wykonywane przez użytkowników systemów informatycznych są rejestrowane w celu uniemożliwienia negacji przez osoby wykonujące czynności na danych osobowych. Jako zagrożenia należy wymienić:

  1. brak kontroli nad czynnościami wykonywanymi w systemie informatycznym służącym do przetwarzania danych osobowych;

  2. brak aktualizacji listy osób uprawnionych do przetwarzania danych osobowych;

  3. brak poufności haseł dostępu do systemu informatycznego;

  4. brak ochrony fizycznej stanowisk dostępu do danych osobowych;

  5. braki w dokumentacji eksploatacyjnej systemu, w tym dokonywania zmian.

§ 35

  1. Administrator w celu zapewnienia bezpieczeństwa danych osobowych przetwarzanych zgodnie z RODO oraz niniejszą Polityką podejmuje działania na rzecz spełnienia wymagań w zakresie ochrony:

  1. zabezpieczenie przed nieuprawnionym dostępem do pomieszczeń, w których zainstalowane są stanowiska komputerowe przetwarzające dane osobowe;

  2. zabezpieczenie przed nieuprawnionym dostępem do nośników zawierających dane osobowe;

  3. zabezpieczenie przed nieuprawnionym dostępem do wydruków z danymi osobowymi;

  4. zapewnienie dostępności użytkowników do danych osobowych zgodnie z nadanymi upoważnieniami;

  5. zapewnienie możliwości kontroli dostępu do zasobów systemu komputerowego oraz wykonywanych w systemach operacjach;

  6. zapewnienie bieżącej aktualizacji wykazów osób uprawnionych do pracy w danym systemie;

  7. zapewnienie przetwarzania danych zgodnie z celem prowadzenia danego zbioru.

  1. Zapewnienie bezpieczeństwa danych osobowych oraz ich przetwarzania jest realizowane poprzez:

  1. zapewnienie, że jedynie osoby posiadające upoważnienie nadane przez Administratora uzyskały dostęp do systemu informatycznego – ustalona procedura pozwala administratorowi systemów informatycznych na nadanie uprawnień użytkownikowi systemu wyłącznie na podstawie zgłoszenia administratora;

  2. zapewnienie, że wykazy osób upoważnionych były na bieżąco aktualizowane – w przypadku konieczności dokonania zmian w zakresie upoważnień administrator lub jego pełnomocnik przekazuje informację ASI który niezwłocznie dokonanie zmian w systemie upoważnień;

  3. zapewnienie aby posiadane aplikacje zapewniały możliwość prowadzenia kontroli operacji na danych osobowych – systemy informatyczne zapewniają możliwość kontroli wykonywanych operacji na danych, pozwalających na ustalenie kto wykonywał czynność, jaka to była czynność i kiedy była wykonywana. W przypadku, gdyby wskazana kontrola nie była zapewniana automatycznie wprowadza się obowiązek odnotowywania czynności w rejestrze- czasu pracy i wykonywanych czynności;

  4. zapewnienie, aby tylko osoby posiadające przeszkolenie z zakresu przetwarzania danych osobowych przetwarzały te dane w systemach informatycznych – każda osoba przed rozpoczęciem pracy związanej z przetwarzaniem danych odbywa przeszkolenie i zapoznaje się z polityką ochrony danych osobowych oraz Instrukcją Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w DENTA – MED, co potwierdza własnoręcznym podpisem;

  5. zapewnienie, aby każdy użytkownik systemu informatycznego miał dostęp wyłącznie do danych osobowych w związku z realizowaniem przez niego celu przetwarzania (adekwatnie do rodzaju i zakresu zadań) – w systemach informatycznych wykorzystywanych do przetwarzania danych osobowych zainstalowane są systemy operacyjne umożliwiające separację zasobów poszczególnych użytkowników. Każdy uprawniony użytkownik posiada własne konto utworzone przez ASI lub indywidualny dostęp do określonej bazy danych;

  6. zapewnienie, aby kopie zbiorów osobowych oraz inne zasoby systemu informatycznego były niedostępne dla osób nieuprawnionych – kopie zapasowe są tworzone codziennie i przechowywane na serwerach. Dostęp do serwerowni za każdym razem jest autoryzowany przez pracowników wydających klucze do pomieszczenia. Serwery są zabezpieczone hasłem i loginem;

  7. zapewnienie, aby pomieszczenia w którym zlokalizowane są stanowiska komputerowe do przetwarzania danych osobowych były zabezpieczone przed dostępem osób nieuprawnionych – pomieszczenia i obiekty posiadają zabezpieczenia w postaci ochrony technicznej i fizycznej. Dodatkowo stosowane są ogólne zasady ochrony przetwarzania danych osobowych.

  1. Realizacja zadań związanych z zapewnieniem bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych odbywa się m.in. przez:

  1. natychmiastowe powiadamianie ASI o konieczności zmian w zakresie upoważnień dla użytkownika;

  2. zapewnienia, że system informatyczny identyfikuje użytkownika, a w szczególności rozpoczęcie i zakończenie przez niego pracy w systemie informatycznym;

  3. szkolenia w zakresu ochrony przetwarzania danych, a fakt ich odbycia powinien być potwierdzony pisemnie ( lista obecności na szkoleniu);

  4. stosowanie haseł zgodnie z wymogami i nieudostępniania ich osobom nieuprawnionym;

  5. właściwego zabezpieczania nośników zawierających dane osobowe.

§ 36

  1. Kontrola dostępu do systemu komputerowego w którym znajdują się dane osobowe polega na dostosowaniu stanowisk komputerowych i zainstalowanego na nich oprogramowania zgodnie potrzebami użytkownika wg. jego uprawnień, na podstawie indywidualnych haseł o określonych parametrach i terminie ważności. Systemy operacyjne muszą być skonfigurowane w taki sposób, aby była możliwość identyfikacji jego użytkownika – rejestrują one wszystkie logowania oraz próby logowania. Użytkownicy systemów są zobowiązani do chronienia haseł, odpowiadając za ich nieuprawnione ujawnienie. W przypadku braku zabezpieczenia systemu komputerowego indywidualnym hasłem prowadzony jest rejestr dostępu, w którym odnotowywana jest informacja kto, kiedy, w jakim czasie oraz zakresie wykonywał na wskazanym stanowisku zadania służbowe.

  2. Hasła użytkownika są podstawowym elementem ochrony danych osobowych przetwarzanych w systemach informatycznych.

  3. Hasła są przechowywane przez administratorów tych systemów.

  4. Wszyscy użytkownicy przestrzegają następujących zasad ochrony haseł:

  1. użytkownik odpowiada za nieuprawnione ujawnienie swojego hasła;

  2. użytkownik przechowuje swoje hasło w sposób uniemożliwiający zapoznanie się z nim przez inne osoby;

  3. w sytuacji, gdy zachodzi podejrzenie ujawnienia hasła, użytkownik zobowiązany jest do natychmiastowej jego zmiany, a w przypadku braku możliwości wykonania czynności we własnym zakresie zwrócenia się do administratora systemów informatycznych o zmianę hasła;

  4. hasła zawierają minimum 8 znaków dla użytkowników systemu o określonej złożoności;

  5. każdy użytkownik jest zobowiązany raz na miesiąc do zmiany hasła w systemie.

  1. Usuwanie kont oraz zmiana uprawnień realizowana jest przez administratora systemu informatycznego na polecenie administratora danych lub jego pełnomocnika.

§ 37

  1. Systemy informatyczne posiadają połączenie z siecią internet ze względu na zakres prowadzonej przez Administratora działalności oraz wykonywane zadania.

  2. W celu wyeliminowania negatywnych skutków oprogramowań złośliwych mających wpływ na poufność, dostępność, integralność i rozliczalność zainstalowane są oprogramowania antywirusowe na każdym stanowisku komputerowym lub innym urządzeniu na którym przetwarzane są dane osobowe.

  3. ASI co najmniej raz w miesiącu sprawdza wszystkie urządzenia będące w zakresie jego obsługi na obecność oprogramowań złośliwych. Oprogramowanie antywirusowe powinno być tak skonfigurowane, aby każdy nośnik podłączany do urządzenia był sprawdzany na obecność złośliwego oprogramowania.


 

§ 38

  1. Zabezpieczenie przed nieautoryzowanym dostępem - System informatyczny zabezpieczony jest systemem nazw użytkowników (login) i haseł dostępu do systemów oraz poprzez fizyczną ochronę pomieszczeń, w których się znajdują; nośniki danych zawierające kopie bezpieczeństwa przechowywane są w miejscach o ograniczonym i kontrolowanym dostępie.

  2. Zabezpieczenie przed utratą danych - Systemy przechowujące dane zabezpieczone są systemami awaryjnego zasilania;

  3. Systemy przechowujące dane zabezpieczone są oprogramowaniem antywirusowym.

  4. Kopie przechowywanych danych wykonywane są każdego dnia i raz w miesiącu zgrywane na zewnętrzny nośnik;

  5. Nośniki z kopią danych przechowywane są w sposób zapewniający bezpieczeństwo danych i dostępne wyłącznie dla Administratora, jego pełnomocnika lub ASI.

 

§ 39

Administrator prowadzi Wykaz urządzeń, budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.

 

§ 40

  1. Środki ochrony fizycznej:

  1. urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych zamkami patentowymi;

  2. zakazuję się wykorzystywania prywatnych urządzeń, poczty elektroniczne i innych prywatnych nośników, do celów służbowych, w tym do przetwarzania na nich danych osobowych,

  3. przebywanie osób nieupoważnionych w pomieszczeniach tworzących obszar przetwarzania danych osobowych dopuszczalne jest tylko w obecności osoby upoważnionej w zakresie przetwarzania danych osobowych,

  4. użytkownik ma obowiązek zamykania systemu, programu po zakończeniu pracy, stanowisko komputerowe nie może pozostawać bez kontroli pracującego na nim użytkownika;

  5. pomieszczenia, o których mowa wyżej, powinny być zamykane na czas nieobecności w nich osób upoważnionych do przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich;

  6. monitory ekranowe są usytuowane w sposób uniemożliwiający odczyt danych przez osoby postronne;

  7. obowiązkiem osoby użytkującej komputer przenośny zawierający dane osobowe jest zachowanie szczególnej ostrożności podczas jego transportu, przechowywania i użytkowania poza pomieszczeniami tworzącymi obszar, w którym przetwarzane są dane osobowe; zakazuję się transportu środkami komunikacji publicznej,

  8. do przebywania w pomieszczeniu serwera uprawnieni są: Administrator, pełnomocnik Administrator, Administrator Systemu Informatycznego lub inny upoważniony pracownik odpowiedzialny za obsługę informatyczną Administratora;

  9. przebywanie w pomieszczeniu serwera osób nieupoważnionych (np. dopuszczalne jest tylko w obecności jednej z osób upoważnionych, o których mowa w pkt. g, a w przypadku ich nieobecności – w obecności osoby pisemnie upoważnionej przez Administratora lub jego pełnomocnika;

  10. zbiory danych przetwarzane tradycyjnie (ręcznie) po godzinach pracy przechowywane powinny być w pomieszczeniach w szafkach zamkniętych na zamki, w przypadku przetwarzania takich danych w pomieszczeniu, w którym przebywać mogą osoby nieupoważnione do przetwarzania takich danych należy przetwarzanie przeprowadzić w taki sposób, aby osoby nieupoważnione nie miały wglądu do tych danych.

  1. Środki sprzętowe, informatyczne i telekomunikacyjne:

    1. każdy dokument papierowy przeznaczony do wyrzucenia powinien być uprzednio zniszczony w sposób uniemożliwiający jego odczytanie (np. przy pomocy niszczarki dokumentów), dyskietki, płyty DVD-R oraz płyty CD-R powinny być niszczone przy pomocy niszczarki,

    2. urządzenia sieciowe wchodzące w skład systemu informatycznego podłączone są do odrębnego obwodu elektrycznego, zabezpieczonego na wypadek zaniku napięcia albo awarii w sieci zasilającej centralnym UPS-em, zasilacze awaryjne UPS stosuje się dodatkowo na wyznaczonych stacjach roboczych;

    3. sieć lokalna podłączona jest do Internetu za pomocą odrębnego urządzenia spełniającego funkcje Firewall’a (zapory ogniowej).

    4. na wszystkich serwerach oraz stacjach roboczych zainstalowano oprogramowanie antywirusowe, poczta elektroniczna wpływająca do Administratora skanowana jest programem antywirusowym przed przesłaniem jej do użytkownika;

    5. kopie awaryjne wykonywane są na HDD, płytach DVD-R, CD-R.

  1. Środki ochrony w ramach oprogramowania systemu:

  1. dostęp fizyczny do baz danych osobowych zastrzeżony jest wyłącznie dla osób zajmujących się obsługą informatyczną Administratora,

  2. system informatyczny pozwala zdefiniować odpowiednie prawa dostępu do zasobów informatycznych systemu,

  3. w sieciowym systemie operacyjnym zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do sieci,

  4. system operacyjny Microsoft Windows XP, Vista, 7 posiada rozbudowane mechanizmy nadawania uprawnień i praw dostępu. Do pełnego wykorzystania tych mechanizmów należy stosować system plików NTFS. Zapewnia on wsparcie mechanizmów ochrony plików i katalogów oraz mechanizmów odzyskiwania na wypadek uszkodzenia dysku lub awarii systemu.

  1. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych:

  1. najwyższe uprawnienie w systemie informatycznym posiada Administrator Systemu Informatycznego, który posiada wyłączne uprawnienia do instalowania i usuwania oprogramowania systemowego i narzędziowego, dopuszcza się instalowanie tylko legalnie pozyskanych programów, niezbędnych do wykonywania zadań ustawowych i posiadających ważną licencję użytkownika;

  2. do dostępu do danych na poziomie aplikacji stosuje się identyfikator i hasło;

  3. dla każdego użytkownika systemu jest ustalony odrębny identyfikator;

  4. zdefiniowano użytkowników i ich prawa dostępu do danych osobowych na poziomie aplikacji (unikalny identyfikator i hasło)

  1. Środki ochrony w ramach systemu użytkowego:

  1. ekrany monitorów stanowisk dostępu do danych osobowych są automatycznie wyłączane po upływie ustalonego czasu nieaktywności użytkownika;

  2. komputer, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem.

 

ROZDZIAŁ 3

ZASADY SZCZEGÓLNE PRZETWARZANIA DANYCH OSOBOWYCH PRACOWNIKÓW i WSPÓŁPRACOWNIKÓW

 

§ 40

 

  1. Dane osobowe aktualnych pracowników i osób z którymi zawarto umowy cywilnoprawne oraz osób rekrutowanych do pracy są przetwarzane przez Administratora i służby zajmującymi się obsługą finansową i kadrową DENTA – MED.

2.

Administrator spełnia w stosunku do każdy z osób o których mowa w ust.1 obowiązek informacyjny o którym mowa § 13 Polityki.

 

3. Dane osobowe pracownika i osób z którymi zawarto umowy cywilnoprawne udostępnia się właściwym organom w wykonaniu obowiązku wynikającego z obowiązujących przepisów prawa (szczególności ZUS, US), a także innym uprawnionym instytucjom (w szczególności sądom, policji, prokuraturze i organom kontrolującym, komornikom itp.) na ich pisemny, uzasadniony wniosek, chyba że właściwe przepisy określają inny tryb.

 

 

 

ROZDZIAŁ 4

POSTANOWIENIA KOŃCOWE.

 

§ 41

 

  1. W sprawach nie uregulowanych w niniejszej Polityce mają odpowiednie zastosowanie polskie przepisy ochronie danych osobowych oraz RODO.

  2. Wszelkie zmiany w niniejszym dokumencie są wprowadzane w sposób właściwy dla jego wprowadzenia.

  3. Niniejsza Polityka wchodzi w życie w dniem 25 maja 2018 roku.