Polityka RODO

Polityka Ochrony Danych Osobowych

w Fundacji Zdrowie Wszystkich Pokoleń „KAWKAJE”

 

1. Definicje

Ilekroć w niniejszym dokumencie jest mowa o:

1. Rozporządzeniu, należy przez to rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z dnia 2016.05.04,
2. Polityce, należy przez to rozumieć niniejszy dokument,
3. Administratorze, należy przez to rozumieć Fundację Zdrowie Wszystkich Pokoleń „KAWKAJE” z siedzibą w Łaziskach Górnych (43-173) przy ul. Tuwima 13, zarejestrowana w rejestrze stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej oraz w rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Katowice-Wschód w Katowicach, wydział VIII Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: 0000816906
4. Fundacji, należy przez rozumieć przedsiębiorstwo prowadzone przez Administratora,
5. Przetwarzającym, należy przez to rozumieć osobę upoważnioną przez Administratora do Przetwarzania Danych Osobowych w Fundacji,
6. Podmiocie Przetwarzającym, należy przez to rozumieć podmiot, o którym mowa w art. 28 Rozporządzenia,
7. Danych Osobowych, należy przez to rozumieć informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
8. Zbiorze Danych, należy przez to rozumieć uporządkowany zestaw Danych Osobowych dostępnych według określonych kryteriów,
9. Przetwarzaniu, należy przez to rozumieć każdą czynność, której przedmiot stanowią Dane Osobowe,
10. Systemie Informatycznym, należy przez to rozumieć zespół współpracujących ze sobą urządzeń i programów wykorzystywanych przez Administratora do Przetwarzania Danych Osobowych w Fundacji,
11. Loginie, należy przez to rozumieć ciąg znaków umożliwiający bezpośrednią identyfikację imienia i nazwiska,
12. Haśle, należy przez to rozumieć ciąg co najmniej 5 znaków, w tym co najmniej jednej litery oraz jednej cyfry.

 

1. część ogólna – zasady ogólne

 

2. Przedmiot

1. Polityka określa zasady Przetwarzania Danych Osobowych w Fundacji.
2. Polityka została sporządzona w celu zapewnienia Przetwarzania Danych Osobowych w Fundacji zgodnie z:
3. właściwymi przepisami prawa, w szczególności zgodnie z:

• Rozporządzeniem,
• ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych,
• ustawą z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz.U.2020.295 t.j. z dnia 2020.02.25 ze zmianami),
• ustawą z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U.2019.1127 t.j. z dnia 2019.06.17 ze zmianami),
• rozporządzeniem Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz.U.2015.2069 z dnia 2015.12.08 ze zmianami),

3. Przetwarzanie przez Administratora Danych Osobowych w Fundacji jest niezbędne do:
4. udzielania świadczeń zdrowotnych i zarządzania udzielaniem tych świadczeń, w tym również w celu prowadzenia dokumentacji medycznej;
5. zawarcia i prawidłowego wykonania umowy na świadczenia zdrowotne lub inne świadczenia;
6. wypełniania obowiązków prawnych ciążących na Administratorze, w tym obowiązków podatkowych;
7. ewentualnego ustalenia i dochodzenia roszczeń lub obrony przed roszczeniami, co stanowi prawnie uzasadniony interes Administratora;
8. prowadzenia marketingu polegającego na przekazywaniu informacji o usługach lub produktach Administratora, promocjach, cennikach  i  innych informacjach, a także wydarzeniach promocyjnych, szkoleniach i innych aktywnościach Administrator, w tym w formie newslettera;
9. Administrator ma obowiązek przechowywać Politykę w formie pisemnej w siedzibie Fundacji.
10. Administrator ma obowiązek udostępnić Politykę do wglądu w siedzibie Fundacji Przetwarzającemu oraz osobie, która ma zostać Przetwarzającym.

 

3. Obowiązki

1. Administrator i Przetwarzający mają obowiązek Przetwarzać Dane Osobowe w Fundacji zgodnie z:
2. właściwymi przepisami prawa, w szczególności zgodnie z:

• Rozporządzeniem oraz
• ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych,

1. Polityką.
2. Administrator ma obowiązek podać osobie, od której zbiera Dane Osobowe dotyczące tej osoby, podczas zbierania tych Danych Osobowych, informacje określone w art. 13 Rozporządzenia. Zaleca się, aby Administrator odebrał od osoby, o której mowa w zdaniu poprzednim, podpisane przez tę osobę oświadczenie, niezwłocznie po wykonaniu przez Administratora obowiązku, o którym mowa w zdaniu poprzednim. Wzór klauzuli informacyjnej dla Podopiecznych stanowi załącznik numer 1 do niniejszej Polityki, zaś wzór klauzuli informacyjnej dla Pracowników stanowi załącznik numer 2 do niniejszej polityki.
3. Administrator ma obowiązek przechowywać Dane Osobowe Przetwarzane w Fundacji w Zbiorach Danych w siedzibie Fundacji lub w Systemie Informatycznym.
4. Administrator ma obowiązek prowadzić rejestr Przetwarzania Danych Osobowych, którego wzór stanowi załącznik numer 3 do Polityki.
5. Administrator może umożliwić Przetwarzającemu Przetwarzanie Danych Osobowych w Fundacji, a Przetwarzający może Przetwarzać Dane Osobowe w Fundacji wyłącznie po doręczeniu:
6. Przetwarzającemu przez Administratora podpisanego przez Administratora upoważnienia oraz
7. Administratorowi przez Przetwarzającego podpisanego przez Przetwarzającego zobowiązania,

wzory ww. dokumentów stanowią załącznik numer 4 do Polityki.

6. Administrator może odwołać upoważnienie, o którym mowa powyżej, w formie dokumentowej, w każdym czasie, ze skutkiem natychmiastowym. W razie odwołania upoważnienia, o którym mowa w zdaniu poprzednim, upoważnienie wygasa.
7. Administrator może umożliwić Podmiotowi Przetwarzającemu Przetwarzanie Danych Osobowych wyłącznie na podstawie umowy określonej w art. 28 Rozporządzenia.
8. W razie naruszenia ochrony Danych Osobowych w Fundacji, o którym mowa w § 5 Polityki, Administrator ma obowiązek dokonać zgłoszenia oraz zawiadomienia tamże wskazanego.
9. Administrator, Przetwarzający oraz osoba, która ma zostać Przetwarzającym, mają obowiązek zachować w tajemnicy treść Polityki, w szczególności informacje o środkach technicznych i organizacyjnych, o których mowa w § 4 Polityki, bez ograniczeń co do czasu. Obowiązek, o którym mowa w zdaniu poprzednim, nie ma zastosowania w razie uprawnionego zażądania ujawnienia informacji tamże wskazanych przez sąd, organ administracji publicznej, organ ścigania lub inny organ powołany do rozpoznawania spraw lub egzekwowania roszczeń.
10. Administrator ma obowiązek kontrolować i nadzorować Przetwarzanie Danych Osobowych w Fundacji.
11. Administrator ma obowiązek zapewnić, aby Dane Osobowe były:
    1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
    2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
    3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
    4. prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
    5. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
    6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
12. Niezależnie od praw i obowiązków, określonych w Polityce, przetwarzanie Danych Osobowych zawartych w dokumentacji medycznej prowadzonej w Fundacji odbywa się w zakresie i zasadach określonych w:
    1. przepisach ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych,
    2. przepisach ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz.U.2020.295 t.j. z dnia 2020.02.25 ze zmianami),
    3. przepisach ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U.2019.1127 t.j. z dnia 2019.06.17 ze zmianami),
    4. przepisach rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz.U.2015.2069 z dnia 2015.12.08 ze zmianami),
    5. innych przepisach szczególnych, w tym dotyczących:
13. Przepisy, o których mowa w ust. 12 powyżej, wskazują w szczególności:
    1. podstawę przetwarzania Danych Osobowych,
    2. zakres gromadzonych i przetwarzanych Danych Osobowych,
    3. formę przetwarzania Danych Osobowych,
    4. podstawę i zakres udostępniania Danych Osobowych posiadanych,
    5. okres przetwarzania (przechowywania) Danych Osobowych.

 

4. Środki

1. W celu zapewnienia Przetwarzania Danych Osobowych w Fundacji zgodnie z Polityką Administrator stosuje następujące środki techniczne:
2. lokale Fundacji posiadają:
   • system alarmowy
   • monitoring
3. lokale Fundacji wyposażone są w:

• szafy zamykane pojedynczymi zamkami na klucz do przechowywania dokumentów;
• urządzenia służące do niszczenia dokumentów;
• komputery chronione hasłem;
• komputery chronione programem antywirusowym

2. W celu zapewnienia Przetwarzania Danych Osobowych w Fundacji zgodnie z Polityką Administrator stosuje następujące środki organizacyjne:
3. Administrator i Przetwarzający mają obowiązek korzystać ze środków technicznych, o których mowa w § 4 ust. 1 Polityki, zgodnie z ich przeznaczeniem,
4. Dane Osobowe mogą być przetwarzane we wszystkich pomieszczeniach lokali Fundacji za wyjątkiem korytarza oraz toalety oraz
5. osoby inne niż Administrator lub Przetwarzający mogą przebywać w lokalu stanowiącym siedzibę Fundacji wyłącznie w bezpośredniej obecności Administratora lub Przetwarzającego, to jest zapewniającej kontakt wzrokowy pomiędzy Administratorem lub Przetwarzającym a takimi osobami, za wyjątkiem korytarza oraz toalety.

 

5. Naruszenia

1. Naruszenie ochrony Danych Osobowych Przetwarzanych w Fundacji stanowi naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do takich Danych Osobowych.
2. W razie stwierdzenia przez Przetwarzającego naruszenia ochrony Danych Osobowych w Fundacji, Przetwarzający ma obowiązek zawiadomić Administratora o takim naruszeniu w terminie 1 godziny od takiego stwierdzenia.
3. W razie stwierdzenia przez Administratora naruszenia ochrony Danych Osobowych w Fundacji Administrator ma obowiązek:
4. zgłosić właściwemu organowi nadzorczemu takie naruszenie, w terminie 72 godzin od takiego stwierdzenia, jeżeli wyżej wskazane naruszenie może spowodować naruszenie praw lub wolności osoby fizycznej, której Dane Osobowe dotyczą,
5. zgłosić właściwemu organowi nadzorczemu takie naruszenie w terminie 72 godzin od takiego stwierdzenia oraz zawiadomić osobę fizyczną, której Dane Osobowe dotyczą, o takim naruszeniu, niezwłocznie od tego stwierdzenia, jeżeli wyżej wskazane naruszenie może spowodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, której Dane Osobowe dotyczą.
6. W razie ziszczenia się warunku, o którym mowa w § 4 ust. 3 Polityki, Administrator doręcza organowi nadzorczemu zgłoszenie.

 

6. Załączniki

Integralną część Polityki stanowią:

1. wzór klauzuli informacyjnej dla Podopiecznych – załącznik numer 1,
2. wzór klauzuli informacyjnej dla Podopiecznych – załącznik numer 2,
3. wzór rejestru – załącznik numer 2,
4. wzór upoważnienia i zobowiązania – załącznik numer 3.

 

 

 

7. Postanowienia końcowe

Wszelkie zmiany i uzupełnienia Polityki wymagają formy pisemnej pod rygorem nieważności.

 

1. część szczególna – Instrukcja Zarządzania Systemem Informatycznym

 

8. Identyfikacja

1. Administrator ma obowiązek zarejestrować się w Systemie Informatycznym za pomocą Loginu i Hasła przed rozpoczęciem Przetwarzania przez Administratora Danych Osobowych w Fundacji za pomocą Systemu Informatycznego oraz wyrejestrować się z Systemu Informatycznego w dniu zakończenia Przetwarzania przez Administratora Danych Osobowych w Fundacji za pomocą Systemu Informatycznego.
2. Administrator ma obowiązek zarejestrować Przetwarzającego w Systemie Informatycznym za pomocą Loginu i Hasła przed rozpoczęciem Przetwarzania przez Przetwarzającego Danych Osobowych w Fundacji za pomocą Systemu Informatycznego a następnie podać Przetwarzającemu te Login i Hasło oraz wyrejestrować Przetwarzającego z Systemu Informatycznego w dniu wygaśnięcia upoważnienia.
3. Administrator ma obowiązek wykorzystać dane Login i Hasło w celu zarejestrowania Administratora lub Przetwarzającego w Systemie Informatycznym wyłącznie jeden raz.
4. Login i Hasło Administratora oraz Login i Hasło Przetwarzającego muszą być różne. Login i Hasło jednego Przetwarzającego muszą być różne od Loginu i Hasła każdego innego Przetwarzającego.
5. Login Administratora oraz Login Przetwarzającego, w czasie zarejestrowania Administratora lub Przetwarzającego w Systemie Informatycznym, nie może zostać zmieniony.
6. Hasło Przetwarzającego, w czasie zarejestrowania Przetwarzającego w Systemie Informatycznym, może zostać zmienione wyłącznie za uprzednią zgodą Administratora.
7. Administrator oraz Przetwarzający mają obowiązek nie ujawniać swoich Loginu i Hasła, za pomocą których są zarejestrowani w Systemie Informatycznym, innej osobie.

 

9. Dostęp

1. Administrator oraz Przetwarzający, w celu uzyskania dostępu do Systemu Informatycznego, mają obowiązek potwierdzić swoją tożsamość w Systemie Informatycznym za pomocą swoich Loginu i Hasła na poziomie dostępu do systemu operacyjnego urządzenia Systemu Informatycznego.
2. Zabronione jest uzyskiwanie dostępu do Systemu Informatycznego za pomocą Loginu i Hasła innych niż Login i Hasło, za pomocą których osoba, która zamierza uzyskać dostęp do Systemu Informatycznego, jest zarejestrowana w Systemie Informatycznym.

 

10. Urządzenia

1. Administrator oraz Przetwarzający, przed włączeniem urządzenia Systemu Informatycznego, mają obowiązek zapewnić, że do tego urządzenia nie jest podłączone inne urządzenie nieznane Administratorowi lub Przetwarzającemu.
2. Administrator oraz Przetwarzający, przed tymczasowym opuszczeniem włączonego urządzenia Systemu Informatycznego wyposażonego w ekran, mają obowiązek zapewnić, że na tym ekranie nie są wyświetlane Dane Osobowe.
3. Administrator oraz Przetwarzający mają obowiązek korzystać z wygaszacza ekranu urządzenia Systemu Informatycznego wyposażonego w ekran, uruchamianego przez to urządzenie automatycznie nie później niż po 15 minutach bezczynności tego urządzenia, zabezpieczonego Hasłem.
4. Administrator oraz Przetwarzający, przed ostatnim wyjściem w danym dniu z Fundacji, mają obowiązek wyłączyć wszystkie urządzenia Systemu Informatycznego wyposażone w ekran, z których korzystali w tym dniu.

 

11. Programy

1. Administrator i Przetwarzający nie mogą instalować w urządzeniach Systemu Informatycznego programów z nieznanych źródeł.
2. Przetwarzający nie może odinstalować programu z urządzenia Systemu Informatycznego bez uprzedniej zgody Administratora.
3. Administrator i Przetwarzający nie mogą w urządzeniu Systemu Informatycznego otwierać wiadomości elektronicznych od nieznanego nadawcy.
4. Administrator i Przetwarzający mają obowiązek zapewnić, że program antywirusowy, dokonuje automatycznej aktualizacji bazy wirusów.
5. Administrator i Przetwarzający mają obowiązek zapewnić, że właściwe urządzenia Systemu Informatycznego są skanowane przez program antywirusowy, o którym mowa w § 4 ust. 1 lit. b) tiret trzeci Polityki:
6. co najmniej 1 raz na kwartał kalendarzowy,
7. w terminie 1 dnia od dnia wykrycia przez wyżej wskazany program wirusa w urządzeniu Systemu Informatycznego.

 

12. Kopie zapasowe

1. Dane Osobowe przetwarzane w Systemie Informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
2. Kopie zapasowe o których mowa w ust. 1 powyżej, są one przechowywane na serwerze lub na nośnikach zewnętrznych.
3. Z nośników zewnętrznych kopie zapasowe usuwa się niezwłocznie po ustaniu ich użyteczności w taki sposób, aby nie można było odtworzyć ich zawartości.