Polityka Ochrony Danych Osobowych
w Fundacji Zdrowie Wszystkich Pokoleń „KAWKAJE”
1. Definicje
Ilekroć w niniejszym dokumencie jest mowa o:
- Rozporządzeniu, należy przez to rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z dnia 2016.05.04,
- Polityce, należy przez to rozumieć niniejszy dokument,
- Administratorze, należy przez to rozumieć Fundację Zdrowie Wszystkich Pokoleń „KAWKAJE” z siedzibą w Łaziskach Górnych (43-173) przy ul. Tuwima 13, zarejestrowana w rejestrze stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej oraz w rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Katowice-Wschód w Katowicach, wydział VIII Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: 0000816906
- Fundacji, należy przez rozumieć przedsiębiorstwo prowadzone przez Administratora,
- Przetwarzającym, należy przez to rozumieć osobę upoważnioną przez Administratora do Przetwarzania Danych Osobowych w Fundacji,
- Podmiocie Przetwarzającym, należy przez to rozumieć podmiot, o którym mowa w art. 28 Rozporządzenia,
- Danych Osobowych, należy przez to rozumieć informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
- Zbiorze Danych, należy przez to rozumieć uporządkowany zestaw Danych Osobowych dostępnych według określonych kryteriów,
- Przetwarzaniu, należy przez to rozumieć każdą czynność, której przedmiot stanowią Dane Osobowe,
- Systemie Informatycznym, należy przez to rozumieć zespół współpracujących ze sobą urządzeń i programów wykorzystywanych przez Administratora do Przetwarzania Danych Osobowych w Fundacji,
- Loginie, należy przez to rozumieć ciąg znaków umożliwiający bezpośrednią identyfikację imienia i nazwiska,
- Haśle, należy przez to rozumieć ciąg co najmniej 5 znaków, w tym co najmniej jednej litery oraz jednej cyfry.
- część ogólna – zasady ogólne
2. Przedmiot
- Polityka określa zasady Przetwarzania Danych Osobowych w Fundacji.
- Polityka została sporządzona w celu zapewnienia Przetwarzania Danych Osobowych w Fundacji zgodnie z:
- właściwymi przepisami prawa, w szczególności zgodnie z:
- Rozporządzeniem,
- ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych,
- ustawą z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz.U.2020.295 t.j. z dnia 2020.02.25 ze zmianami),
- ustawą z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U.2019.1127 t.j. z dnia 2019.06.17 ze zmianami),
- rozporządzeniem Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz.U.2015.2069 z dnia 2015.12.08 ze zmianami),
- Przetwarzanie przez Administratora Danych Osobowych w Fundacji jest niezbędne do:
- udzielania świadczeń zdrowotnych i zarządzania udzielaniem tych świadczeń, w tym również w celu prowadzenia dokumentacji medycznej;
- zawarcia i prawidłowego wykonania umowy na świadczenia zdrowotne lub inne świadczenia;
- wypełniania obowiązków prawnych ciążących na Administratorze, w tym obowiązków podatkowych;
- ewentualnego ustalenia i dochodzenia roszczeń lub obrony przed roszczeniami, co stanowi prawnie uzasadniony interes Administratora;
- prowadzenia marketingu polegającego na przekazywaniu informacji o usługach lub produktach Administratora, promocjach, cennikach i innych informacjach, a także wydarzeniach promocyjnych, szkoleniach i innych aktywnościach Administrator, w tym w formie newslettera;
- Administrator ma obowiązek przechowywać Politykę w formie pisemnej w siedzibie Fundacji.
- Administrator ma obowiązek udostępnić Politykę do wglądu w siedzibie Fundacji Przetwarzającemu oraz osobie, która ma zostać Przetwarzającym.
3. Obowiązki
- Administrator i Przetwarzający mają obowiązek Przetwarzać Dane Osobowe w Fundacji zgodnie z:
- właściwymi przepisami prawa, w szczególności zgodnie z:
- Rozporządzeniem oraz
- ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych,
- Polityką.
- Administrator ma obowiązek podać osobie, od której zbiera Dane Osobowe dotyczące tej osoby, podczas zbierania tych Danych Osobowych, informacje określone w art. 13 Rozporządzenia. Zaleca się, aby Administrator odebrał od osoby, o której mowa w zdaniu poprzednim, podpisane przez tę osobę oświadczenie, niezwłocznie po wykonaniu przez Administratora obowiązku, o którym mowa w zdaniu poprzednim. Wzór klauzuli informacyjnej dla Podopiecznych stanowi załącznik numer 1 do niniejszej Polityki, zaś wzór klauzuli informacyjnej dla Pracowników stanowi załącznik numer 2 do niniejszej polityki.
- Administrator ma obowiązek przechowywać Dane Osobowe Przetwarzane w Fundacji w Zbiorach Danych w siedzibie Fundacji lub w Systemie Informatycznym.
- Administrator ma obowiązek prowadzić rejestr Przetwarzania Danych Osobowych, którego wzór stanowi załącznik numer 3 do Polityki.
- Administrator może umożliwić Przetwarzającemu Przetwarzanie Danych Osobowych w Fundacji, a Przetwarzający może Przetwarzać Dane Osobowe w Fundacji wyłącznie po doręczeniu:
- Przetwarzającemu przez Administratora podpisanego przez Administratora upoważnienia oraz
- Administratorowi przez Przetwarzającego podpisanego przez Przetwarzającego zobowiązania,
wzory ww. dokumentów stanowią załącznik numer 4 do Polityki.
- Administrator może odwołać upoważnienie, o którym mowa powyżej, w formie dokumentowej, w każdym czasie, ze skutkiem natychmiastowym. W razie odwołania upoważnienia, o którym mowa w zdaniu poprzednim, upoważnienie wygasa.
- Administrator może umożliwić Podmiotowi Przetwarzającemu Przetwarzanie Danych Osobowych wyłącznie na podstawie umowy określonej w art. 28 Rozporządzenia.
- W razie naruszenia ochrony Danych Osobowych w Fundacji, o którym mowa w § 5 Polityki, Administrator ma obowiązek dokonać zgłoszenia oraz zawiadomienia tamże wskazanego.
- Administrator, Przetwarzający oraz osoba, która ma zostać Przetwarzającym, mają obowiązek zachować w tajemnicy treść Polityki, w szczególności informacje o środkach technicznych i organizacyjnych, o których mowa w § 4 Polityki, bez ograniczeń co do czasu. Obowiązek, o którym mowa w zdaniu poprzednim, nie ma zastosowania w razie uprawnionego zażądania ujawnienia informacji tamże wskazanych przez sąd, organ administracji publicznej, organ ścigania lub inny organ powołany do rozpoznawania spraw lub egzekwowania roszczeń.
- Administrator ma obowiązek kontrolować i nadzorować Przetwarzanie Danych Osobowych w Fundacji.
- Administrator ma obowiązek zapewnić, aby Dane Osobowe były:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
- Niezależnie od praw i obowiązków, określonych w Polityce, przetwarzanie Danych Osobowych zawartych w dokumentacji medycznej prowadzonej w Fundacji odbywa się w zakresie i zasadach określonych w:
- przepisach ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych,
- przepisach ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz.U.2020.295 t.j. z dnia 2020.02.25 ze zmianami),
- przepisach ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U.2019.1127 t.j. z dnia 2019.06.17 ze zmianami),
- przepisach rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz.U.2015.2069 z dnia 2015.12.08 ze zmianami),
- innych przepisach szczególnych, w tym dotyczących:
- Przepisy, o których mowa w ust. 12 powyżej, wskazują w szczególności:
- podstawę przetwarzania Danych Osobowych,
- zakres gromadzonych i przetwarzanych Danych Osobowych,
- formę przetwarzania Danych Osobowych,
- podstawę i zakres udostępniania Danych Osobowych posiadanych,
- okres przetwarzania (przechowywania) Danych Osobowych.
4. Środki
- W celu zapewnienia Przetwarzania Danych Osobowych w Fundacji zgodnie z Polityką Administrator stosuje następujące środki techniczne:
- lokale Fundacji posiadają:
- system alarmowy
- monitoring
- lokale Fundacji wyposażone są w:
- szafy zamykane pojedynczymi zamkami na klucz do przechowywania dokumentów;
- urządzenia służące do niszczenia dokumentów;
- komputery chronione hasłem;
- komputery chronione programem antywirusowym
- W celu zapewnienia Przetwarzania Danych Osobowych w Fundacji zgodnie z Polityką Administrator stosuje następujące środki organizacyjne:
- Administrator i Przetwarzający mają obowiązek korzystać ze środków technicznych, o których mowa w § 4 ust. 1 Polityki, zgodnie z ich przeznaczeniem,
- Dane Osobowe mogą być przetwarzane we wszystkich pomieszczeniach lokali Fundacji za wyjątkiem korytarza oraz toalety oraz
- osoby inne niż Administrator lub Przetwarzający mogą przebywać w lokalu stanowiącym siedzibę Fundacji wyłącznie w bezpośredniej obecności Administratora lub Przetwarzającego, to jest zapewniającej kontakt wzrokowy pomiędzy Administratorem lub Przetwarzającym a takimi osobami, za wyjątkiem korytarza oraz toalety.
5. Naruszenia
- Naruszenie ochrony Danych Osobowych Przetwarzanych w Fundacji stanowi naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do takich Danych Osobowych.
- W razie stwierdzenia przez Przetwarzającego naruszenia ochrony Danych Osobowych w Fundacji, Przetwarzający ma obowiązek zawiadomić Administratora o takim naruszeniu w terminie 1 godziny od takiego stwierdzenia.
- W razie stwierdzenia przez Administratora naruszenia ochrony Danych Osobowych w Fundacji Administrator ma obowiązek:
- zgłosić właściwemu organowi nadzorczemu takie naruszenie, w terminie 72 godzin od takiego stwierdzenia, jeżeli wyżej wskazane naruszenie może spowodować naruszenie praw lub wolności osoby fizycznej, której Dane Osobowe dotyczą,
- zgłosić właściwemu organowi nadzorczemu takie naruszenie w terminie 72 godzin od takiego stwierdzenia oraz zawiadomić osobę fizyczną, której Dane Osobowe dotyczą, o takim naruszeniu, niezwłocznie od tego stwierdzenia, jeżeli wyżej wskazane naruszenie może spowodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, której Dane Osobowe dotyczą.
- W razie ziszczenia się warunku, o którym mowa w § 4 ust. 3 Polityki, Administrator doręcza organowi nadzorczemu zgłoszenie.
6. Załączniki
Integralną część Polityki stanowią:
- wzór klauzuli informacyjnej dla Podopiecznych – załącznik numer 1,
- wzór klauzuli informacyjnej dla Podopiecznych – załącznik numer 2,
- wzór rejestru – załącznik numer 2,
- wzór upoważnienia i zobowiązania – załącznik numer 3.
7. Postanowienia końcowe
Wszelkie zmiany i uzupełnienia Polityki wymagają formy pisemnej pod rygorem nieważności.
- część szczególna – Instrukcja Zarządzania Systemem Informatycznym
8. Identyfikacja
- Administrator ma obowiązek zarejestrować się w Systemie Informatycznym za pomocą Loginu i Hasła przed rozpoczęciem Przetwarzania przez Administratora Danych Osobowych w Fundacji za pomocą Systemu Informatycznego oraz wyrejestrować się z Systemu Informatycznego w dniu zakończenia Przetwarzania przez Administratora Danych Osobowych w Fundacji za pomocą Systemu Informatycznego.
- Administrator ma obowiązek zarejestrować Przetwarzającego w Systemie Informatycznym za pomocą Loginu i Hasła przed rozpoczęciem Przetwarzania przez Przetwarzającego Danych Osobowych w Fundacji za pomocą Systemu Informatycznego a następnie podać Przetwarzającemu te Login i Hasło oraz wyrejestrować Przetwarzającego z Systemu Informatycznego w dniu wygaśnięcia upoważnienia.
- Administrator ma obowiązek wykorzystać dane Login i Hasło w celu zarejestrowania Administratora lub Przetwarzającego w Systemie Informatycznym wyłącznie jeden raz.
- Login i Hasło Administratora oraz Login i Hasło Przetwarzającego muszą być różne. Login i Hasło jednego Przetwarzającego muszą być różne od Loginu i Hasła każdego innego Przetwarzającego.
- Login Administratora oraz Login Przetwarzającego, w czasie zarejestrowania Administratora lub Przetwarzającego w Systemie Informatycznym, nie może zostać zmieniony.
- Hasło Przetwarzającego, w czasie zarejestrowania Przetwarzającego w Systemie Informatycznym, może zostać zmienione wyłącznie za uprzednią zgodą Administratora.
- Administrator oraz Przetwarzający mają obowiązek nie ujawniać swoich Loginu i Hasła, za pomocą których są zarejestrowani w Systemie Informatycznym, innej osobie.
9. Dostęp
- Administrator oraz Przetwarzający, w celu uzyskania dostępu do Systemu Informatycznego, mają obowiązek potwierdzić swoją tożsamość w Systemie Informatycznym za pomocą swoich Loginu i Hasła na poziomie dostępu do systemu operacyjnego urządzenia Systemu Informatycznego.
- Zabronione jest uzyskiwanie dostępu do Systemu Informatycznego za pomocą Loginu i Hasła innych niż Login i Hasło, za pomocą których osoba, która zamierza uzyskać dostęp do Systemu Informatycznego, jest zarejestrowana w Systemie Informatycznym.
10. Urządzenia
- Administrator oraz Przetwarzający, przed włączeniem urządzenia Systemu Informatycznego, mają obowiązek zapewnić, że do tego urządzenia nie jest podłączone inne urządzenie nieznane Administratorowi lub Przetwarzającemu.
- Administrator oraz Przetwarzający, przed tymczasowym opuszczeniem włączonego urządzenia Systemu Informatycznego wyposażonego w ekran, mają obowiązek zapewnić, że na tym ekranie nie są wyświetlane Dane Osobowe.
- Administrator oraz Przetwarzający mają obowiązek korzystać z wygaszacza ekranu urządzenia Systemu Informatycznego wyposażonego w ekran, uruchamianego przez to urządzenie automatycznie nie później niż po 15 minutach bezczynności tego urządzenia, zabezpieczonego Hasłem.
- Administrator oraz Przetwarzający, przed ostatnim wyjściem w danym dniu z Fundacji, mają obowiązek wyłączyć wszystkie urządzenia Systemu Informatycznego wyposażone w ekran, z których korzystali w tym dniu.
11. Programy
- Administrator i Przetwarzający nie mogą instalować w urządzeniach Systemu Informatycznego programów z nieznanych źródeł.
- Przetwarzający nie może odinstalować programu z urządzenia Systemu Informatycznego bez uprzedniej zgody Administratora.
- Administrator i Przetwarzający nie mogą w urządzeniu Systemu Informatycznego otwierać wiadomości elektronicznych od nieznanego nadawcy.
- Administrator i Przetwarzający mają obowiązek zapewnić, że program antywirusowy, dokonuje automatycznej aktualizacji bazy wirusów.
- Administrator i Przetwarzający mają obowiązek zapewnić, że właściwe urządzenia Systemu Informatycznego są skanowane przez program antywirusowy, o którym mowa w § 4 ust. 1 lit. b) tiret trzeci Polityki:
- co najmniej 1 raz na kwartał kalendarzowy,
- w terminie 1 dnia od dnia wykrycia przez wyżej wskazany program wirusa w urządzeniu Systemu Informatycznego.
12. Kopie zapasowe
- Dane Osobowe przetwarzane w Systemie Informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
- Kopie zapasowe o których mowa w ust. 1 powyżej, są one przechowywane na serwerze lub na nośnikach zewnętrznych.
- Z nośników zewnętrznych kopie zapasowe usuwa się niezwłocznie po ustaniu ich użyteczności w taki sposób, aby nie można było odtworzyć ich zawartości.