Niniejsza polityka ochrony danych określa zasady przetwarzania Danych Osobowych przez OsteoMind – Terapię Zintegrowane Piotr Tarnawski („Administrator”).
Administrator przetwarza Dane Osobowe z zachowaniem zasad zgodności z prawem, rzetelności i przejrzystości, w tym w szczególności zgodnie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”) oraz przepisami prawa krajowego.
Administrator wykonuje działalność leczniczą na podstawie ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej i przetwarza Dane Osobowe:
1) Pacjentów
1.1 w celach zdrowotnych, związanych z udzielaniem świadczeń zdrowotnych, w tym prowadzeniem i udostępnianiem dokumentacji medycznej – na podstawie art. 9 ust. 2 lit h RODO oraz art. 6 ust. 1 lit. b i c RODO;
1.2 w celach związanych ze zrealizowaniem ciążących na nim obowiązków związanych z prowadzeniem, przechowywaniem i udostępnianiem dokumentacji medycznej – na podstawie ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta oraz art. 6 ust. 1 lit. c RODO;
1.3 w celu dochodzenia zapłaty na usługi, jeśli taka zapłata nie zostanie uiszczona – na podstawie art. 6 ust. 1 lit. f RODO;
1.4 w celu ochrony przed roszczeniami oraz w celu dochodzenia innych roszczeń niewskazanych w punkcie c) powyżej, a także w celu zapewnienia bezpieczeństwa osób i mienia – na podstawie prawnie uzasadnionego interesu Administratora, zgodnie z art. 6 ust. 1 lit. f RODO;
1.5 w celu ochrony przed roszczeniami oraz w celu dochodzenia roszczeń oraz zapewnienia bezpieczeństwa osób i mienia – na podstawie prawnie uzasadnionego interesu Administratora, zgodnie z art. 6 ust. 1 lit. f RODO;
1.6 w celach marketingowych oraz innych niewymienionych w lit. a i b – na podstawie zgody Pacjenta, zgodnie z art. 6 ust 1 lit. a RODO;
2) Personelu:
2.1 w celu zawarcia oraz realizacji umowy o pracę – na podstawie art. 6 ust. 1 lit. b oraz art. 6 ust. 1 lit. c RODO;
2.2 w celu profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności do pracy – art. 9 ust. 2 lit. h RODO;
2.3 w celu zawarcia oraz realizacji umowy cywilnoprawnej – na podstawie art. 6 ust. 1 lit. b oraz art. 6 ust. 1 lit. c RODO;
2.4 w celu ochrony przed roszczeniami oraz w celu dochodzenia roszczeń, jak również w celu zapewnienia procesu zarządzania przedsiębiorstwem Administratora i zapewnienia bezpieczeństwa osób i mienia – na podstawie prawnie uzasadnionego interesu Administratora, zgodnie z art. 6 ust. 1 lit. f RODO;
2.5 w celach niewymienionych w lit. a – c – na podstawie zgody osoby, której dane dotyczą, zgodnie z art. 6 ust 1 lit. a RODO;
3) Innych osób
3.1 w zakresie zawartych umów, w celu zapewnienia ich realizacji – na podstawie art. 6 ust. 1 lit. b RODO;
3.2 w celu zapewnienia procesu zarządzania przedsiębiorstwem Administratora oraz zapewnienia bezpieczeństwa osób i mienia – na podstawie prawnie uzasadnionego interesu Administratora, zgodnie z art. 6 ust. 1 lit. f RODO;
3.3 w pozostałych celach – na podstawie zgody osoby, której dane dotyczą, zgodnie z art. 6 ust 1 lit. a RODO, o ile nie zachodzą inne podstawy przetwarzania Danych Osobowych, o których mowa w art. 6 oraz art. 9 RODO.
Administrator zapewnia bezpieczeństwo Danych Osobowych w tym ochronę przed ich niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, poprzez:
1) stosowanie właściwej dokumentacji przetwarzania danych osobowych;
2) dopuszczenie do przetwarzania Danych Osobowych wyłącznie osób upoważnionych przez Administratora na piśmie oraz osób zobowiązanych do zachowania tajemnicy zawodowej w związku z wykonywanym zawodem medycznym (fizjoterapeuci, lekarze) chyba, że upoważnienie do przetwarzania danych osobowych wynika wprost z przepisów prawa powszechnie obowiązującego;
3) powierzanie przetwarzania Danych Osobowych wyłącznie na podstawie odrębnych umów o powierzenie Przetwarzania Danych Osobowych;
4) prowadzenie i udostępnianie dokumentacji medycznej zgodnie z przepisami prawa powszechnie obowiązującego w tym m.in. ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz rozporządzenia Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania;
5) szkolenia Personelu z zakresu zasad Przetwarzania Danych Osobowych;
6) prowadzenie rejestru czynności przetwarzania Danych Osobowych;
7) monitorowanie naruszeń ochrony Danych Osobowych i prowadzenie rejestru naruszeń;
8) stosowanie środków technicznych ochrony Danych Osobowych, w szczególności:
9) ochrony budynku i systemu alarmowego;
10) zabezpieczeń antywłamaniowych w stolarce drzwiowej i okiennej;
11) stosowanie szaf i pojemników zapewniających należyty poziom bezpieczeństwa Danych Osobowych;
12) zabezpieczeń teleinformatycznych (m.in. ograniczony dostęp do systemów, oprogramowanie antywirusowe, firewall, certyfikaty SSL na stronie internetowej).
Administrator nie jest zobowiązany do przeprowadzenia oceny skutków dla ochrony Danych Osobowych, o której mowa w art. 35 ust. 1 RODO.
Administrator nie jest zobowiązany do wyznaczenia inspektora ochrony danych, o którym mowa w art. 37 ust. 1 RODO.
Administrator zobowiązany jest do:
1) prowadzenia i udostępniania dokumentacji medycznej Pacjentów zgodnie z obowiązującymi w tym zakresie przepisami prawa oraz jej zabezpieczenia przed utratą lub zniszczeniem;
2) w przypadku udostępniania dokumentacji medycznej – do rzetelnej weryfikacji tożsamości osoby, której dane są udostępniane;
3) w przypadku udostępniania dokumentacji medycznej w formie elektronicznej – do jej uprzedniego zaszyfrowania lub innego zabezpieczenia przed dostępem osób nieuprawnionych;
4) korzystania z urządzeń oraz systemów teleinformatycznych w sposób zapewniający ochronę Danych Osobowych przed dostępem osób nieuprawnionych m.in. poprzez:
5) stosowanie indywidualnych, niepowtarzalnych haseł dostępu,
6) niepozostawianie urządzeń bez nadzoru,
7) zamykanie pomieszczeń, w których pracują urządzenia, na których przetwarzane są Dane Osobowe,
8) wyłączanie urządzeń po zakończeniu użytkowania,
9) nieudostępniania danych dostępowych (loginów i haseł) osobom nieuprawnionym,
10) stosowanie oprogramowania antywirusowego oraz oprogramowania typu firewall.
11) zamykania na klucz pomieszczeń, w których przechowywane są Dane Osobowe;
12) przechowywania w miejscu pracy (gabinet, recepcja itp.) dokumentów i innych nośników zawierających Dane Osobowe wyłącznie w przeznaczonych do tego pojemnikach/szafach/biurkach;
13) stosowania zasady „czystego biurka”;
14) nieudostępniania Danych Osobowych osobom, których tożsamości nie można zweryfikować, lub co do której istnieją uzasadnione wątpliwości;
15) nieujawniania Danych Osobowych Pacjentów w pomieszczeniach ogólnodostępnych lokalu Administratora.
W przypadku podejrzenia naruszenia ochrony Danych Osobowych Administrator niezwłocznie weryfikuje, czy doszło do naruszenia i czy naruszenie mogło spowodować ryzyko naruszenia praw i wolności osób, których dane dotyczą. W przypadku stwierdzenia naruszenia, Administrator niezwłocznie, nie później jednak niż w terminie 72 godzin o stwierdzeniu naruszenia zawiadamia Prezesa UODO.
Jeżeli naruszenie ochrony Danych Osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu, chyba, że zachodzą okoliczności wskazane w art. 34 ust. 3 RODO.
Wrocław, 01.03.2024
Piotr Tarnawski
Podpis Administratora
ul. Hallera 188/29, (parter)
Wrocław
