Polityka prywatności - Laboratorium Medyczne Oleśnica

§ 1. DEFINICJE

• 1. Administrator (ADO) / AD-MEDIC Laboratorium Medyczne – Agnieszka Dubanowicz prowadząca
  działalność gospodarczą pod firmą Agnieszka Dubanowicz AD-MEDIC Laboratorium Medyczne
  (NIP: 9111404478).
• 2. Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie
  fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba,
  którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie
  identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator
  internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną,
  genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
• 3. Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do
  przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania,
  nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych,
  przechowywanych lub w inny sposób przetwarzanych;
• 4. Pracownik – osoba świadcząca pracę u Administratora bez względu na formę zatrudnienia;
• 5. Polityka – niniejsza Polityka bezpieczeństwa ochrony danych osobowych
• 6. Przetwarzanie danych osobowych – oznacza jakąkolwiek operację lub zestaw operacji
  wykonywanych na danych osobowych lub zestawach danych osobowych w sposób
  zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie,
  porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie,
  wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju
  udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
• 7. Podmiot przetwarzający (PP) – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny
  podmiot, który przetwarza lub będzie przetwarzał dane osobowe w imieniu Administratora;
• 8. RODO – Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016
  r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
  swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
  rozporządzenie o ochronie danych osobowych);
• 9. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur
  przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

§ 2 CEL

• 1. Celem Polityki jest określenie zasad przetwarzania danych osobowych, które pozwolą zapewnić
  ich bezpieczeństwo zgodnie z wymogami stawianymi przez przepisy dot. ochrony danych
  osobowych, w tym zwłaszcza z przepisami RODO.
• 2. Polityka Bezpieczeństwa stanowi wykaz dokumentów, które stosowane są Agnieszkę Dubanowicz
  AD – MEDIC Laboratorium Medyczne celu zapewnienia bezpieczeństwa przetwarzania danych
  osobowych.
• 3. Polityka obowiązuje od dnia zatwierdzenia jej przez Administratora. Zmiany i przegląd Polityki
  dokonywane są przez osobę wyznaczoną do nadzoru nad przestrzeganiem przepisów o ochronie
  danych osobowych.

§ 3 OBOWIĄZEK ZAPOZNANIA SIĘ Z PROCEDURĄ

• Każdy Pracownik ma obowiązek zapoznania się z niniejszą Polityką oraz stosowania się do jej
  postanowień.

§ 4 OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

• 1. W celu zapewnienia bezpieczeństwa danych osobowych Administrator jest zobowiązany w
  szczególności do:
  • a) stałego nadzoru nad treścią Polityki;
  • b) wydawania, modyfikowania, odbierania upoważnienia do przetwarzania danych
    osobowych osobom, które mają te dane przetwarzać. Wzór upoważnienia do przetwarzania
    danych osobowych stanowi załącznik nr 1 Polityki.
  • c) prowadzenia rejestru osób upoważnionych do przetwarzania danych osobowych. Wzór
    rejestru stanowi załącznik nr 2 do Polityki.
  • d) prowadzenia rejestru (kategorii) czynności przetwarzania danych osobowych. Rejestry
    stanowią załącznik nr 3 do Polityki.
  • e) zawierania umów powierzenia przetwarzania danych osobowych zgodnie z art. 28 RODO, w
    sytuacji, gdy dochodzi do powierzenia przetwarzania danych osobowych. Wzór umowy
    powierzenia przetwarzania danych osobowych stanowi załącznik nr 4 Polityki.
• 2. Przetwarzając dane osobowe Administrator kieruje się w szczególności następującymi zasadami:
  • a) zasadą przetwarzania danych osobowych zgodnie z prawem – przetwarzanie danych
    osobowych powinno następować w oparciu o jedną z podstaw prawnych wskazanych w art. 6 ust. 1 oraz art. 9 ust. 2 RODO;
  • b) zasadą minimalizacji danych osobowych – przetwarzane mogą być tylko dane osobowe
    adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są
    przetwarzane;
  • c) zasadą prawidłowości – przetwarzane mogą być tylko dane osobowe, które są prawidłowe i
    w razie potrzeby uaktualniane (Administrator powinien podejmować wszelkie działania, aby
    dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały
    niezwłocznie usunięte lub sprostowane);
  • d) zasadą integralności i poufności danych osobowych – dane osobowe powinny być
    przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę
    przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą,
    zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub
    organizacyjnych;
  • e) zasadą privacy by design – uwzględniając stan wiedzy technicznej, koszt wdrażania oraz
    charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności o
    różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, Administrator – zarówno przy określeniu sposobów przetwarzania, jak i w czasie samego
    przetwarzania, wdraża odpowiednie środki techniczne i organizacyjne, takie jak
    pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich
    jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak
    by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą;
  • f) zasadą privacy by default – Administrator wdraża odpowiednie środki techniczne i
    organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są
    niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi
    się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich
    przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślne
    dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie
    osób fizycznych.

§ 5 ZBIERANIE DANYCH OSOBOWYCH ORAZ PRAWA PODMIOTÓW DANYCH OSOBOWYCH

• 1. W przypadku zbierania danych osobowych od osób, których dane dotyczą, dokonując tej
  czynności Administrator zobowiązany jest przekazać ww. osobom informacje, o których mowa w
  art. 13 RODO.
• 2. Jeżeli danych osobowych Administrator nie pozyskał od osób, których dane dotyczą,
  Administrator zobowiązany jest przekazać tym osobom, informacje, o których mowa w art. 14
  RODO. Informacje te należy podać:
  • a) w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca –
    mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
  • b) jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą –
    najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  • c) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym
    ujawnieniu.
• 3. W przypadku, gdy osoba, której dane osobowe są przetwarzane zgłosi żądanie dotyczące dostępu
  do danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przeniesienia
  danych osobowych, czy też prawa do sprzeciwu przetwarzania danych osobowych, Administrator
  stosuje procedurę realizacji praw podmiotów danych osobowych stanowiącą załącznik nr 5
  Polityki.
• 4. Administrator prowadzi rejestr wniosków o realizację Praw RODO stanowiący załącznik nr 6
  Polityki.

§ 6 REJESTR (KATEGORII) CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

• Prowadzony przez Administratora rejestr czynności przetwarzania danych osobowych oraz rejestr
  kategorii czynności przetwarzania zawierają informacje, o których mowa w art. 30 RODO.

§ 7 ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI,
INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

• 1. Administrator stosuje środki techniczne i organizacje niezbędne dla zapewnienia poufności,
  integralności i rozliczalności przetwarzania danych osobowych.
• 2. Administrator przed dopuszczeniem pracowników, współpracowników Administratora do
  przetwarzania danych osobowych, zapoznaje ich z Polityką – w zakresie w jakim jest to wymagane
  na danym stanowisku. Zapoznanie odbywa się poprzez udostępnienie dokumentu Polityki i
  przeprowadzenie szkolenia.

§ 8 NARUSZENIE BEZPIECZEŃSTWA DANYCH OSOBOWYCH

• 1. W przypadku zaistnienia okoliczności, które mogą wskazywać na naruszenie ochrony danych
  osobowych, każdy Pracownik Administratora zobowiązany jest postępować zgodnie z procedurą
  reagowania na naruszenia ochrony danych osobowych stanowiącą załącznik nr 7 Polityki.
• 2. Administrator przed dopuszczeniem Pracowników do przetwarzania danych osobowych,
  zapoznaje ich z procedurą reagowania na naruszenia ochrony danych osobowych. Zapoznanie
  odbywa się poprzez udostępnienie dokumentu Polityki Bezpieczeństwa i przeprowadzenie
  szkolenia.
• 3. Administrator prowadzi rejestr wszelkich naruszeń ochrony danych osobowych, a więc również
  tych które nie podlegają zgłoszeniu organowi nadzorczemu, ani nie wymagają powiadomienia
  osób, których dane osobowe dotyczą. Rejestr stanowi załącznik nr 8 do Polityki.

§ 9 POWIERZENIE PRZETWARZANIA DANYCH PODMIOTOM ZEWNĘTRZNYM 

• 1. Administrator może powierzyć przetwarzanie danych osobowych innemu podmiotowi, o ile
  podmiot ten wdrożył odpowiednie środki organizacyjne i techniczne niezbędne dla ochrony praw
  osób, których te dane dotyczą oraz pod warunkiem zawarcia z nim umowy powierzenia
  przetwarzania.
• 2. Przed powierzeniem przetwarzania danych osobowych Administrator, jego Pracownicy zapoznają
  się z procedurą weryfikacji podmiotu przetwarzającego oraz stosują się do niej; procedura stanowi
  załącznik nr 9 do Polityki.
• 3. Przed zawarciem umowy powierzenia Administrator wysyła do Podmiotu przetwarzającego arkusz
  weryfikacyjny, który stanowi załącznik nr 10 do Polityki. Podmiot przetwarzający zobowiązany
  jest wypełnić i odesłać Administratorowi rzeczony arkusz.
• 4. Każdy arkusz weryfikacyjny jest archiwizowany przez Administratora.

§ 10 WSPÓŁPRACA Z ORGANEM NADZORCZYM

• 1. Każda osoba, w szczególności Pracownik Administratora  ma obowiązek przekazać AD-MEDIC
  Laboratorium Medyczne korespondencję od Prezesa Urzędu Ochrony Danych Osobowych lub
  osoby, której dane dotyczą w zakresie jej praw wynikających z RODO.
• 2. AD-MEDIC Laboratorium Medyczne współpracuje z Prezesem Urzędu Ochrony Danych
  Osobowych w przypadku skierowania wystąpienia, kontroli, postępowania wszczętego przez ten
  organ, zgłoszenia naruszenia ochrony danych osobowych, a także konieczności konsultacji z
  organem w związku z oceną skutków naruszenia bezpieczeństwa danych osobowych oraz w
  przypadku jakichkolwiek wątpliwości w zakresie ochrony danych osobowych, które wymagają
  wyjaśnienia z tym organem.
• 3. W przypadku wszczęcia kontroli AD-MEDIC Laboratorium Medyczne weryfikuje tożsamość i
  uprawnienie kontrolującego. W razie nieobecności Agnieszki Dubanowicz, czynności te
  wykonuje obecny w gabinecie Pracownik.