cyfrowy świat obrazowania

rentgen cs 9300 3d

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

PRZETWARZANIA DANYCH OSOBOWYCH

W DENTA – MED

 

ROZDZIAŁ 1

POSTANOWIENIA OGÓLNE

 

§ 1

Wstęp

  1. Niniejsza Polityka Bezpieczeństwa Przetwarzania Danych Osobowych (zwana dalej Polityka) zostały utworzone w związku z wymaganiami zawartymi w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE Ustawie o ochronie danych osobowych a także Przepisami polskich ustaw z obszaru prawa medycznego, pozostających w związku z celami zdrowotnymi przetwarzania.

  2. Niniejszy dokument określa zasady bezpieczeństwa przetwarzania danych osobowych Pacjentów, pracowników/współpracowników, stażystów, praktykantów i innych osób wykonujących zawód medyczny w DENTA – MED, jakie powinny być przestrzegane i stosowane w DENTA – MED przez użytkowników. Stosowanie zasad określanych w niniejszym dokumencie ma na celu zapewnienie prawidłowej ochrony danych osobowych przetwarzanych w DENTA – MED rozumianej jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, naruszeniem ich bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem RODO, UODO oraz innych Ustaw.

  3. Niniejsza Polityka reguluje także kwestie przetwarzania danych osobowych Pacjentów DENTA – MED:

  1. gdzie przetwarzanie danych w związku z prowadzoną działalnością leczniczą nie wymaga uzyskania osobnej zgody Pacjenta na przetwarzanie,

  2. gdzie przetwarzanie danych w związku z prowadzoną działalnością leczniczą wymaga uzyskania osobnej zgody Pacjenta na przetwarzanie.

 

§2

Definicje

Ilekroć w niniejszym dokumencie jest mowa o:

 

  1. Polityce – należy przez to rozumieć niniejszy dokument

  2. Instrukcja - należy przez to rozumieć niniejszy dokument Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w DENTA – MED.

  3. RODO - Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

  4. UODO - Ustawie o ochronie danych osobowych

  5. USTAWY - przepisy polskich ustaw z obszaru prawa medycznego, pozostających w związku z celami zdrowotnymi przetwarzania (w szczególności, Ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta, Ustawie o zawodzie lekarza i dentysty,

  6. Administratorze - należy przez to rozumieć oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele isposoby przetwarzania danych osobowych. Administratorem jest DENTA MED CAŁODOBOWE CENTRUM STOMATOLOGICZNE z siedzibą w Krakowie, ul. Augustiańska 13

    NIP nr 679- 192- 71- 90 (dalej Administrator lub DENTA – MED)

     

  7. Inspektor Ochrony Danych (dalej IOD) - osoba wyznaczona przez Administratora do zajmowania się na podstawie z art. 37 ust. 1 lit. a, b, c, ust. 4 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016, Nr 119, s. 1, dalej RODO).

  8. Pełnomocniku Administratora oznacza to osobę, działającą w imieniu i na rzecz Administratora danych (dalej Pełnomocnik)

  9. Administratorze Systemu Informatycznego (dalej ASI) - należy przez to rozumieć osobę upoważnioną przez Administratora odpowiedzialną za funkcjonowanie systemu informatycznego oraz stosowanie technicznych i organizacyjnych środków ochrony. W razie gdy Administrator nie powołał odrębnego ASI jego obowiązki, określone w niniejszym dokumencie pełni Pełnomocnik Administratora lub Inspektor Ochrony Danych.

  10. użytkowniku – osoba zajmująca się bezpośrednim przetwarzaniem danych osobowych w oparciu o pisemne upoważnienie wydane jej przez Administratora; użytkownikiem może być: osoba wykonująca zawód medyczny (dentysta), pracownik DENTA – MED, osoba wykonująca pracę na podstawie innej umowy cywilno-prawnej, osoba odbywająca staż lub praktykę w DENTA – MED;

  11. danych osobowych - oznacza to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba – oznacza to osobę fizyczną, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

  12. dokumentacji medycznej – dokumentacja medyczna, o której mowa w przepisach ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz wydanych na jej podstawie aktach wykonawczych.

  13. osoba wykonująca zawód medyczny - osoba uprawniona na podstawie odrębnych przepisów do udzielania świadczeń zdrowotnych oraz osoba legitymująca się nabyciem fachowych kwalifikacji do udzielania świadczeń zdrowotnych w określonym zakresie lub w określonej dziedzinie medycyny, w tym m.in. lekarz, lekarz dentysta, technik analityki medycznej i inne osoby wskazane w art. 6a ustawy o diagnostyce laboratoryjnej, a także osoby wykonujące inne zawody wskazane w tabeli nr 1 załącznika nr 3 do rozporządzenia Ministra Zdrowia z dnia 20 czerwca 2008 r. w sprawie zakresu niezbędnych informacji gromadzonych przez świadczeniodawców, szczegółowego sposobu rejestrowania tych informacji oraz ich przekazywania podmiotom zobowiązanym do finansowania świadczeń ze środków publicznych,

  14. pacjent - osoba zwracająca się o udzielenie świadczeń zdrowotnych lub korzystającą ze świadczeń zdrowotnych udzielanych przez podmiot udzielający świadczeń zdrowotnych lub osobę wykonującą zawód medyczny; - dalej rozumiany jako Pacjent DENTA – MED.

  15. podmiot wykonujący działalność leczniczą – podmiot leczniczy oraz lekarz lub pielęgniarka wykonujący zawód w ramach działalności leczniczej jako praktykę zawodową, o których mowa w przepisach ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej; dalej także jako DENTA – MED.

  16. przedstawiciel ustawowy – osoba umocowana do działania w cudzym imieniu na podstawie ustawy zgodnie z art. 96 kodeksu cywilnego,

  17. przetwarzaniu danych osobowych – oznacza to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

  18. ograniczeniu przetwarzania – oznacza to oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

  19. profilowaniu – oznacza to dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

  20. pseudonimizacji – oznacza to przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

  21. zbiorze danych – oznacza to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

  22. podmiocie przetwarzającym oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

  23. odbiorcy – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.

  24. stronie trzeciej – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

  25. zgodzie osoby, której dane dotyczą – oznacza to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

  26. naruszeniu ochrony danych osobowych – oznacza to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

  27. danych genetycznych – oznacza to dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

  28. danych biometrycznych – oznacza to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

  29. danych dotyczących zdrowia – oznacza to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

  30. przedstawicielu – oznacza to osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z niniejszego rozporządzenia;

  31. przedsiębiorcy – oznacza to osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą;

  32. grupie przedsiębiorstw – oznacza to przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane;

  33. organie nadzorczym oznacza to niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51; 4.5.2016 L 119/34 Dziennik Urzędowy Unii Europejskiej PL 22) , którym jest Generalny Inspektor Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

  34. transgranicznym przetwarzaniu – oznacza to:

  1. przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim albo

  2. przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą,
    w więcej niż jednym państwie członkowskim;

  1. mającym znaczenie dla sprawy i uzasadnionym sprzeciwie – oznacza to sprzeciw wobec projektu decyzji dotyczącej tego, czy doszło do naruszenia niniejszego rozporządzenia lub czy planowane działanie wobec administratora lub podmiotu przetwarzającego jest zgodne z RODO, który to sprzeciw musi jasno wskazywać wagę wynikającego z projektu decyzji ryzyka naruszenia podstawowych praw lub wolności osób, których dane dotyczą, oraz gdy ma zastosowanie – wagę ryzyka zakłócenia swobodnego przepływu danych osobowych w Unii;

  2. usłudze społeczeństwa informacyjnego – oznacza to usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535 ( 1 ) - każda usługa normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług; do celów niniejszej definicji: (i) „na odległość” oznacza, że usługa świadczona jest bez równoczesnej obecności stron; (ii) „drogą elektroniczną” oznacza, iż usługa jest wysyłana i odbierana w miejscu przeznaczenia za pomocą sprzętu elektronicznego do przetwarzania (włącznie z kompresją cyfrową) oraz przechowywania danych, i która jest całkowicie przesyłana, kierowana i otrzymywana za pomocą kabla, fal radiowych, środków optycznych lub innych środków elektromagnetycznych; (iii) „na indywidualne żądanie odbiorcy usług” oznacza, że usługa świadczona jest poprzez przesyłanie danych na indywidualne żądanie

  3. organizacji międzynarodowej – oznacza to organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy;

  4. systemie informatycznym – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych

  5. zasadzie „czystego biurka” - należy przez to rozumieć nie pozostawianie na stanowisku pracy podczas nieobecności żadnych dokumentów zawierających dane osobowe,

  6. zasadzie „czystego ekranu” - należy przez to rozumieć przestrzeganie podstawowej higieny technicznej w pracy z komputerem,

  7. zasadzie „czystej drukarki” - należy przez to rozumieć nie pozostawianie jakichkolwiek wydruków zawierających dane osobowe w drukarce po ich wydrukowaniu,

  8. sieci lokalnej - należy przez to rozumieć połączenie systemów informatycznych Administratora wyłącznie dla własnych jej potrzeb przy wykorzystaniu urządzeń i sieci Telekomunikacyjnych;

  9. sieci rozległej - należy przez to rozumieć sieć publiczną w rozumieniu ustawy z dnia 16 lipca 2004r. Prawo Telekomunikacyjne (Dz. U. z 2004r., Nr 171, poz. 1800 ze zm.)

  10. Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownika) w razie przetwarzania danych osobowych w takim systemie

  11. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie

  12. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika).

 

§ 3

 

Z zapisami w niniejszej Polityki obowiązkowo są zapoznani wszyscy użytkownicy. Oświadczenie użytkownika będącego pracownikiem Spółki wkłada się do jego akt osobowych.

 

§ 4

Zasady

  1. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w

    placówkach DENTA MED w Krakowie : ul. Na Zjeździe 13, ul. Augustiańska 13, ul. Św. Gertrudy 4

  2. Dla skutecznej realizacji Polityki Administrator zapewnia: a) odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne, b) kontrolę i nadzór nad przetwarzaniem danych osobowych, c) monitorowanie zastosowanych środków ochrony; monitorowanie przez Administratora zastosowanych środków ochrony obejmuje w szczególności działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.

  3. Administrator zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych były zgodne z niniejszą Polityką, RODO oraz odpowiednimi przepisami prawa z zakresu ochrony danych osobowych.

  4. Ponadto szczegółowe zasady dotyczące warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych określa Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w DENTA – MED

  5. Niniejsza Polityka w zakresie ochrony danych osobowych przetwarzanych w DENTA – MED odnoszą się do danych osobowych przetwarzanych w:

  1. w sposób tradycyjny, w szczególności w aktach osobowych, rejestrach ręcznych,

  2. w systemie informatycznym, także w przypadku przetwarzania danych poza zbiorem danych osobowych.

  1. Polityka obowiązuje wszystkich uprawnionych, lekarzy, pracowników DENTA – MED. oraz inne uprawnione osoby mające dostęp do danych osobowych, osoby zatrudnione na umowy cywilnoprawne, w tym stażystów, praktykantów (użytkownicy) .

  2. Przetwarzanie danych osobowych powinno odbywać się z zachowaniem poniższych zasad:

  1. zasadą zgodności z prawem, rzetelność i przejrzystość - przetwarzanie danych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,

  2. zasadą ograniczenia celu – zbieranie danych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 RODO za niezgodne z pierwotnymi celami

  3. zasadą minimalizacji danych - przetwarzanie danych adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,

  4. prawidłowości (poprawności) - prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane – prawidłowość

  5. ograniczenia przechowywania

  6. zapewnienia bezpieczeństwa danych, w tym ich integralności i poufności.

  1. Za prawidłowe przetwarzanie danych osobowych odpowiada Administrator.

  2. Administrator decyduje o celach i środkach przetwarzania danych osobowych oraz powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.

  3. Administrator w celu ochrony danych osobowych i ich przetwarzania jest zobowiązany do zapewnienia odpowiednich środków technicznych i organizacyjnych odpowiednich do zagrożeń oraz kategorii danych objętych ochroną, w szczególności powinien zabezpieczyć dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

§ 5

  1. Przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;

  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;

  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

  1. Jeżeli przetwarzanie odbywa się w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO Administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:

  1. wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;

  2. kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;

  3. charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa zgodnie z art. 10 RODO;

  4. ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;

  5. istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

§ 6

Zgoda – zasady ogólne.

        1. Warunki wyrażenia zgody:

  1. jeżeli przetwarzanie odbywa się na podstawie zgody, Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych;

  2. jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym
    i prostym językiem. Część oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie RODO nie jest wiążąca;

  3. osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie;

  4. oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy/usługi.

      1. Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego:

  1. jeżeli zastosowanie ma art. 6 ust. 1 lit. a RODO, w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody;

  2. w takich przypadkach administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała;

  3. przepisy RODO nie wpływają na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy o ważności, zawieraniu lub skutkach umowy wobec dziecka.

 

§ 7

Dane przetwarzane w celach zdrowotnych, których przetwarzanie nie wymaga zgody Pacjenta.

        1. Nie jest wymagana zgoda Pacjenta jeżeli przetwarzanie jego danych osobowych jest niezbędne do realizacji celów zdrowotnych przetwarzania jakimi są:

  1. profilaktyka zdrowotna; cel ten obejmuje m.in. przetwarzanie związane z procesem informowania Pacjenta o możliwości udzielenia świadczenia, w tym przesyłanie zaproszeń na badania, przekazywanie materiałów edukacyjnych, przekazywanie informacji o wydarzeniach prozdrowotnych. Przetwarzanie danych osobowych Pacjenta do celów profilaktyki zdrowotnej jest niezbędne tylko wtedy, jeżeli jest uzasadnione stanem zdrowia Pacjenta lub czynnikami ryzyka lub rokowaniami co do niego zawartymi w dokumentacji medycznej, którą dysponuje DENTA – MED.

  2. medycyna pracy, w tym oceny zdolności pracownika do pracy; cel ten obejmuje w szczególności przetwarzanie związane z procesem realizacji zadań służby medycyny pracy, w tym badania wstępne, okresowe i kontrolne pracowników oraz inne świadczenia zdrowotne są wykonywane na podstawie pisemnej umowy zawartej przez pracodawcę z podstawową jednostką służby medycyny pracy.

  3. diagnoza medyczna i leczenie; cel ten obejmuje w szczególności przetwarzanie związane procesem udzielania świadczeń zdrowotnych (diagnostycznych i leczniczych), w tym prowadzenie dokumentacji medycznej,

  4. zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej; cel ten obejmujem.in. w szczególności przetwarzanie związane z: rejestracją Pacjenta w DENTA – MED, zapewnieniem jakości udzielania świadczeń, m.in, zapewnieniem ciągłości opieki zdrowotnej, w tym w procesie koordynacji udzielania świadczeń, co może obejmować m.in. przypomnienie o terminie realizacji świadczenia zdrowotnego, potwierdzenie wizyty, odwołanie wizyty, poinformowanie o zmianach organizacyjnych w DENTA – MED., które mają wpływ na udzielenie oczekiwanego świadczenia, komunikacją po udzieleniu świadczenia w celu oceny stanu zdrowia pacjenta itp., odbieraniem i archiwizacją oświadczeń woli Pacjentów, weryfikacją uprawnień do uzyskania świadczeń opieki zdrowotnej i rozliczaniem zrealizowanych świadczeń opieki zdrowotnej; wykonywaniem innych czynności pomocniczych przy udzielaniu świadczeń zdrowotnych, a także czynności związanych z utrzymaniem systemu teleinformatycznego, wymianą informacji o stanie zdrowia pacjenta pomiędzy różnymi placówkami leczniczymi w celu zapewnia ciągłości opieki zdrowotnej;

  5. zapewnienia zabezpieczenia społecznego oraz zarządzania systemami i usługami zabezpieczenia społecznego; cel ten obejmuje w szczególności przetwarzanie związane procesem wystawiania zaświadczeń lekarskich oraz wykonywania zadań przez lekarzy orzeczników określonych w innych ustawach.

        1. Przetwarzane przez DENTA – MED dane osobowe Pacjenta muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów w jakich są przetwarzane.

§ 8

Przetwarzanie danych na podstawie zgody Pacjenta

  1. Przetwarzanie danych na podstawie zgody pacjenta w praktyce funkcjonowania DENTA – MED dotyczy w szczególności w następujących sytuacjach :

  1. przetwarzanie danych prowadzone jest w celu marketingowym przy czym za takie przetwarzanie danych nie uznaje się przetwarzania służącego bezpośrednio realizacji celów zdrowotnych,

  2. przetwarzanie danych realizowane jest w związku z realizacją badań klinicznych , przy czym zgody nie będzie wymagało przetwarzanie przez danych na potrzeby udzielania świadczeń opieki zdrowotnej na rzecz pacjenta będącego uczestnikiem badania klinicznego (np. leczenie skutków działań niepożądanych, leczenie towarzyszące itp.)

  3. przetwarzanie danych Pacjenta dokonywane w celu realizacji innych badań naukowych.

  4. przetwarzanie danych osobowych odbywa się w związku ze zautomatyzowanym podejmowaniem decyzji w indywidualnych sprawach, przekazywaniem danych osobowych do państwa trzeciego, o ile Administrator nie posiada innej podstawy prawnej przetwarzania danych osobowych pacjentów zgodnie z RODO.

  1. W przypadku, gdy podstawą przetwarzania danych osobowych ma być zgoda Pacjenta, zgoda powinna zostać wyrażona poprzez złożenie oświadczenia woli w formie pisemnej lub poprzez wyraźne działanie, w tym poprzez zaznaczenie okienka wyboru na formularzu lub w systemie informatycznym, przy którym są wskazane treści zgód.

  2. Relacja pomiędzy Pacjentem, a osobą wykonującą zawód medyczny ma charakter niesymetryczny i jest oparta na zaufaniu, zatem DENTA – MED i jego personel zobowiązany jest do zapewnienia, że udzielona zgoda na przetwarzanie danych osobowych nie jest wyrażona na skutek błędu, przymusu, czy groźby.

  3. Wycofanie zgody przez Pacjenta może nastąpić, w szczególności, w formie pisemnej, zaznaczenie okienka wyboru na formularzu lub w systemie informatycznym, przy którym są wskazane treści zgód lub poprzez wybór przez podmiot danych określonych ustawień technicznych w systemie informatycznym.

§ 9

Zakaz

  1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

  2. Ust. 1 powyżej nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

  3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

  4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglą­dowych, religijnych lub związkowych, pod warunkiem, że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;

  5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

  6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;

  7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i dane dotyczą;

  8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;

  9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;

  10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

  1. Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.

 

§ 10

Przetwarzanie danych osobowych niewymagające identyfikacji

 

  1. Jeżeli cele, w których Administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, Administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do RODO.

  2. Jeżeli w przypadkach, o których mowa w ust. 1 niniejszego paragrafu Administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą. W takich przypadkach zastosowania nie mają art. 15–20 RODO, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować.


 

§ 11

Weryfikacja tożsamości Pacjenta

  1. DENTA – MED zobowiązany jest do zweryfikowania tożsamości Pacjenta przed:

  1. utrwaleniem danych osobowych zebranych bezpośrednio od Pacjenta, w szczególności w związku z udzielaniem świadczeń zdrowotnych, chyba że ustalenie tożsamości przed uzyskaniem świadczenia nie jest możliwe i mogłoby istotnie utrudnić lub uniemożliwić uzyskanie świadczenia,

  2. spełnieniem obowiązków informacyjnych lub udzieleniem odpowiedzi na wynikające z przepisów RODO ż?

ul. Św. Gertrudy 4, Kraków
tel.: +48 422 22 21
kom: +48 508 951 821