Polityka ochrony danych osobowych

POLITYKA OCHRONY DANYCH

OSOBOWYCH

PODMIOTU LECZNICZEGO

wzór

Spis treści

1. Wstęp .............................................................................................................................. 3

2. Zasady przetwarzania danych osobowych ..................................................................... 4

3. Podstawy prawne przetwarzania danych osobowych .................................................... 4

4. Obowiązki administratora .............................................................................................. 5

5. Obowiązki personelu ...................................................................................................... 9

6. Prawa osób, których dane dotyczą ................................................................................. 9

7. Naruszenia ochrony danych osobowych ...................................................................... 11

8. Udostępnianie danych osobowych ............................................................................... 12

1. Wstęp

1.1. Niniejsza polityka ochrony danych osobowych jest dokumentem opisującym sposób przetwarzania danych osobowych oraz obowiązki podmiotu leczniczego działającego w charakterze administratora danych osobowych, przetwarzanych w związku z prowadzoną działalnością leczniczą.

1.2. Niniejsza polityka poddawana jest bieżącej aktualizacji, nie rzadziej niż raz do roku.

1.3. Słownik:

* administrator - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

* dane dotyczące zdrowia - dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej, w tym o korzystaniu z usług opieki zdrowotnej, ujawniające informacje o stanie jej zdrowia.

* dane osobowe (dane) - wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

* Inspektor Ochrony Danych (IOD) - osoba fizyczna wyznaczona przez administratora do informowania, doradzania i monitorowania przestrzegania RODO.

* naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

* odbiorca - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawniono dane osobowe.

* podmiot przetwarzający - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

* przetwarzanie - operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany.

* Rozporządzenie (RODO) - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

* UODO (Urząd Ochrony Danych Osobowych) - organ nadzorczy w Polsce, odpowiedzialny za egzekwowanie przepisów o ochronie danych osobowych.

1.4. Przychodnia Lekarska "Zdrowie" stosuje zatwierdzony przez UODO kodeks postępowania dla sektora ochrony zdrowia i jest objęty monitoringiem stosowania tego kodeksu przez Krajową Izbę Lekarską.

1.5.

2. Zasady przetwarzania danych osobowych

2.1. Przychodnia Lekarska "Zdrowie" przetwarza dane osobowe z poszanowaniem poniższych zasad:

* legalność - przetwarzanie danych odbywa się na podstawie przepisów prawa.

* rzetelność i prawidłowość - dane są dokładne i aktualne.

* przejrzystość - osoby, których dane dotyczą, są informowane o przetwarzaniu ich danych.

* celowość - dane są przetwarzane w konkretnych, wyraźnych i prawnie uzasadnionych celach.

* adekwatność - dane są adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

* minimalizacja - przetwarzane są tylko te dane, które są niezbędne.

* ograniczenie przechowywania - dane są przechowywane nie dłużej niż jest to konieczne.

* integralność i poufność - dane są bezpieczne i chronione przed nieautoryzowanym dostępem.

2.2. Przychodnia Lekarska "Zdrowie" zapewnia rozliczalność - administrator jest w stanie wykazać przestrzeganie zasad RODO.

3. Podstawy prawne przetwarzania danych osobowych

3.1. Działalność Przychodni Lekarskiej "Zdrowie" jako podmiotu leczniczego regulują w szczególności:

* Ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej

* Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta

* Ustawa z dnia 29 listopada 2000 r. - Prawo atomowe

* Ustawa z dnia 5 grudnia 1996 r. o zawodzie lekarza

* Ustawa z dnia 25 sierpnia 2006 r. o bezpieczeństwie żywności i żywienia

* Ustawa z dnia 1 lipca 2011 r. o zawodzie farmaceuty

* Ustawa z dnia 20 kwietnia 2004 r. o opiece farmaceutycznej

* Ustawa z dnia 8 września 2006 r. o Państwowym Ratownictwie Medycznym

* Ustawa z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych

3.2. Jako podmiot leczniczy, Przychodnia Lekarska "Zdrowie" przetwarza dane osobowe w celach zdrowotnych na podstawie art. 9 ust. 2 lit. h) RODO.

3.3. Przez cele zdrowotne rozumie się:

* profilaktykę zdrowotną - działania mające na celu zapobieganie chorobom.

* medycynę pracy oraz ocenę zdolności pracownika do pracy - badania i orzeczenia lekarskie.

* diagnozę medyczną oraz leczenie - postawienie diagnozy i wdrożenie odpowiedniego leczenia.

* zapewnienie opieki zdrowotnej oraz zarządzanie systemami opieki zdrowotnej - organizacja i koordynacja opieki zdrowotnej.

3.4. W zakresie wykraczającym poza cele zdrowotne Przychodnia Lekarska "Zdrowie" przetwarza dane na podstawie:

* zgody pacjenta (art. 6 ust. 1 lit. a) RODO) - przesyłanie informacji marketingowych.

* prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f) RODO) - windykacja należności.

3.5. Zgoda, o której mowa w pkt 3.4.1. jest dobrowolna i jej wyrażenie jest świadomym działaniem pacjenta. Nieudzielenie zgody nie powoduje dla pacjenta żadnych negatywnych konsekwencji, w szczególności nie skutkuje odmową udzielenia świadczenia zdrowotnego ani nie warunkuje udzielenia tego świadczenia.

4. Obowiązki administratora

Środki organizacyjne i techniczne

4.1. Przychodnia Lekarska "Zdrowie" stosuje środki techniczne oraz organizacyjne w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych, z uwzględnieniem stanu wiedzy technicznej, kosztu wdrożenia, charakteru, zakresu, kontekstu i celu przetwarzania, ryzyka naruszenia praw lub wolności o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. W szczególności Przychodnia Lekarska "Zdrowie" stosuje w tym celu:

* Szyfrowanie danych

* Kontrola dostępu

* Pseudonimizacja

* Szkolenia personelu

4.2. Przychodnia Lekarska "Zdrowie" prowadzi dokumentację opisującą sposób przetwarzania danych osobowych oraz sposób ich zabezpieczenia, w szczególności w postaci Polityki Bezpieczeństwa Informacji.

4.3. Przychodnia Lekarska "Zdrowie" dopuszcza do przetwarzania danych osobowych jedynie osoby upoważnione przez Przychodnię Lekarską "Zdrowie", które złożyły oświadczenie o zachowaniu danych oraz sposobu ich zabezpieczeń w poufności. Obowiązek złożenia oświadczenia nie dotyczy osób zobowiązanych do zachowania tajemnicy zawodowej, w szczególności lekarzy, pielęgniarek, farmaceutów.

4.4. Przychodnia Lekarska "Zdrowie" prowadzi rejestr osób upoważnionych oraz przechowuje treść oświadczeń, o których mowa w pkt 4.3.

4.5. Przychodnia Lekarska "Zdrowie" opracował oraz wdrożył procedury gwarantujące ochronę prywatności na etapie powstawania nowych projektów informatycznych.

4.6. Przychodnia Lekarska "Zdrowie" regularnie szkoli personel posiadający dostęp do danych i podnosi jego wiedzę w zakresie bezpieczeństwa danych osobowych.

Rejestr czynności przetwarzania

4.7. Przychodnia Lekarska "Zdrowie" prowadzi rejestr czynności przetwarzania. Rejestr ten prowadzony jest w formie elektronicznej.

4.8. Rejestr czynności przetwarzania Przychodni Lekarskiej "Zdrowie" zawiera:

* nazwę czynności przetwarzania

* cel przetwarzania

* kategorie danych osobowych

* kategorie osób, których dane dotyczą

* informacje o odbiorcach danych

* okres przechowywania danych

* środki techniczne i organizacyjne zabezpieczające dane

4.9. Rejestr czynności przetwarzania jest na bieżąco aktualizowany i udostępniany przez Przychodnię Lekarską "Zdrowie" na każde żądanie UODO.

Ocena skutków dla ochrony danych

4.10. Przychodnia Lekarska "Zdrowie" dokonuje oceny skutków dla ochrony danych i dokumentuje fakt dokonania tej oceny.

4.11. Wykonanie oceny skutków dla ochrony danych jest konieczne, jeżeli przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

4.12. Wykonanie oceny skutków dla ochrony danych osobowych wymaga w szczególności:

* systematycznego i ekstensywnego monitorowania osób fizycznych

* przetwarzania szczególnych kategorii danych osobowych na dużą skalę

4.13. Przychodnia Lekarska "Zdrowie" monitoruje wykaz rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych opublikowany przez UODO i dokonuje oceny skutków czynności przetwarzania wskazanych w tym wykazie jako rekomendowanych do poddania tej ocenie.

4.14. Ocena skutków dla ochrony danych osobowych zawiera co najmniej:

* opis planowanych operacji przetwarzania

* ocenę konieczności i proporcjonalności operacji przetwarzania

* ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą

* środki mające na celu minimalizację zidentyfikowanego ryzyka

4.15. Przychodnia Lekarska "Zdrowie" dokonuje bieżącego przeglądu czynności przetwarzania, celem weryfikacji, czy przetwarzanie to odbywa się w sposób zgodny z dokonaną oceną skutków dla ochrony danych osobowych.

4.16. Przychodnia Lekarska "Zdrowie" konsultuje się z UODO, jeżeli dokonana ocena skutków dla ochrony danych będzie wskazywała na wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą. Konsultacje z UODO dokonywane są przed rozpoczęciem przetwarzania danych osobowych.

Inspektor ochrony danych

4.17. Przychodnia Lekarska "Zdrowie" jako podmiot leczniczy zobowiązany jest do wyznaczenia IOD, w szczególności jeżeli:

* główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę

* podmiot na dużą skalę przetwarza szczególne kategorie danych osobowych

4.18.

4.19. Przychodnia Lekarska "Zdrowie" wyznaczył Annę Kowalską i dokonał zawiadomienia o wyznaczeniu IOD do UODO.

4.20. IOD został wyznaczony na podstawie kwalifikacji zawodowych i wiedzy specjalistycznej z zakresu prawa i praktyk ochrony danych.

4.21. Przychodnia Lekarska "Zdrowie" stwarza IOD warunki niezbędne do wykonania jego zadań, w szczególności poprzez:

* zapewnienie dostępu do danych osobowych

* zapewnienie zasobów niezbędnych do wykonywania zadań

* zapewnienie niezależności w wykonywaniu zadań

4.22. Zadania IOD obejmują w szczególności:

* informowanie i doradzanie administratorowi

* monitorowanie przestrzegania RODO

* współpraca z UODO

* prowadzenie szkoleń dla personelu

* bycie punktem kontaktowym dla UODO i osób, których dane dotyczą

* przeprowadzanie audytów wewnętrznych

Powierzenie przetwarzania danych osobowych

4.23. Przychodnia Lekarska "Zdrowie" może korzystać z usług podmiotów zewnętrznych w celu przetwarzania danych osobowych, w szczególności polegających na obsłudze systemów informatycznych.

4.24. Przychodnia Lekarska "Zdrowie" korzysta wyłącznie z usług takich dostawców usług, którzych zapewniają odpowiednie gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO.

4.25. Przychodnia Lekarska "Zdrowie" dokonuje weryfikacji dostawców usług przetwarzania danych.

4.26. Przychodnia Lekarska "Zdrowie" zawiera z podmiotem przetwarzającym umowę powierzenia przetwarzania danych osobowych lub reguluje okoliczność powierzenia przetwarzania danych innym instrumentem prawnym, w której określone zostają obowiązki podmiotu przetwarzającego.

4.27.

4.28. Przychodnia Lekarska "Zdrowie" nie przekazuje danych osobowych do państw trzecich.

5. Obowiązki personelu

5.1. Dostęp do danych osobowych pacjentów posiada personel medyczny adekwatnie do ich obowiązków służbowych.

5.2. Personel Przychodni Lekarskiej "Zdrowie" zobowiązany jest do:

* zachowania poufności danych osobowych

* przetwarzania danych osobowych zgodnie z przepisami prawa

* stosowania się do wewnętrznych procedur bezpieczeństwa

* zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych

* uczestniczenia w szkoleniach z zakresu ochrony danych osobowych

* nieużywania danych osobowych do celów prywatnych

* dbałości o bezpieczeństwo systemów informatycznych

5.3. Personel ponosi odpowiedzialność dyscyplinarną za naruszenie przepisów o ochronie danych osobowych i jest on pouczony przez Przychodnię Lekarską "Zdrowie" o sankcjach, w tym o odpowiedzialności karnej.

6. Prawa osób, których dane dotyczą

6.1. Przychodnia Lekarska "Zdrowie" przetwarza dane osobowe z poszanowaniem praw osób, których dane dotyczą.

6.2. Przychodnia Lekarska "Zdrowie" prowadzi rejestr żądań osób, których dane dotyczą.

6.3. Przed wykonaniem praw osoby, której dane dotyczą Przychodnia Lekarska "Zdrowie" dokonuje weryfikacji tożsamości osoby żądającej.

6.4. Przychodnia Lekarska "Zdrowie" zapewnia odpowiednie zaplecze organizacyjne i techniczne w celu realizacji praw osób, których dane dotyczą. Zgłoszone żądania realizowane są przez Przychodnię Lekarską "Zdrowie" bez zbędnej zwłoki, a w każdym razie w terminie miesiąca. W przypadku gdy żądanie jest skomplikowane Przychodnia Lekarska "Zdrowie" kontaktuje się z pacjentem i informuje go o przyczynie opóźnienia oraz o nowym terminie realizacji żądania, który nie może przekroczyć 3 miesięcy.

Prawo do informacji

6.5. Pacjenci są informowani przez Przychodnię Lekarską "Zdrowie" o przetwarzaniu ich danych osobowych w formie klauzuli informacyjnej, z którą mogą zapoznać się w rejestracji przychodni.

6.6. Klauzulainformacyjna jest sporządzona w sposób jasny, zrozumiały i wyczerpuje wszystkie informacje zgodnie z art. 13 i 14 RODO.

Prawo dostępu do danych

Na żądanie pacjenta Przychodnia Lekarska "Zdrowie" udziela mu informacji o przetwarzaniu jego danych osobowych.

6.8. Na żądanie pacjenta Przychodnia Lekarska "Zdrowie" udostępnia mu kopię jego danych osobowych, w tym zawierającą jego dokumentację medyczną; za każdą kolejną kopię Przychodnia Lekarska "Zdrowie" może pobrać opłatę w wysokości 10 zł (w tym za wydanie kopii w formie papierowej pobierana jest opłata w wysokości 5 zł za stronę).

6.9. Jeżeli żądanie dotyczy kopii danych osobowych a pacjent nie zaznacza inaczej - kopia wydawana jest w tej samej formie, w jakiej dane są przetwarzane.

6.10. Przychodnia Lekarska "Zdrowie" może udostępnić kopię w inny sposób, niż wybrany przez pacjenta, jeżeli jest to technicznie niemożliwe; o niemożliwości udostępnienia kopii w żądanej formie oraz proponowanym alternatywnym rozwiązaniu Przychodnia Lekarska "Zdrowie" niezwłocznie powiadamia pacjenta.

Prawo do sprostowania danych

6.11. Przychodnia Lekarska "Zdrowie" umożliwia pacjentowi sprostowanie jego danych osobowych.

6.12. Przychodnia Lekarska "Zdrowie" może żądać od pacjenta odpowiednich dokumentów aby ustalić zasadność żądania sprostowania danych.

Prawo do usunięcia danych (prawo do bycia zapomnianym)

6.13. Przychodnia Lekarska "Zdrowie" usuwa dane osobowe na żądanie pacjenta, jeżeli na Przychodni Lekarskiej "Zdrowie" nie spoczywają obowiązki prawne w zakresie archiwizowania dokumentacji medycznej.

6.14. Przychodnia Lekarska "Zdrowie" odmawia realizacji prawa do bycia zapomnianym, jeżeli przetwarzanie danych jest niezbędne do celów archiwalnych w interesie publicznym, do celów statystycznych lub do ustalenia, dochodzenia lub obrony roszczeń.

6.15. odmowa realizacji prawa do bycia zapomnianym jest przekazywana przez Przychodnię Lekarską "Zdrowie" pacjentowi wraz z uzasadnieniem zawierającym podstawy prawne odmowy.

Prawo do ograniczenia przetwarzania

6.16. Z uwagi na fakt, iż przetwarzanie danych osobowych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń, pomimo zgłoszonego żądania ograniczenia przetwarzania danych, Przychodnia Lekarska "Zdrowie" jest uprawniony do ich przetwarzania w dalszym zakresie (w szczególności danych dotyczących przebiegu leczenia).

Prawo do przenoszenia danych

6.17. Dla danych zawartych w dokumentacji medycznej, prawo do przenoszenia danych nie znajduje zastosowania.

6.18. W sytuacji odmowy realizacji prawa do przenoszenia danych, Przychodnia Lekarska "Zdrowie" informuje pacjenta o przyczynie odmowy i instruuje pacjenta jak uzyskać kopię danych osobowych.

Prawo do sprzeciwu

Dla danych przetwarzanych w celu udzielania świadczeń zdrowotnych, prawo do sprzeciwu nie znajduje zastosowania.

7. Naruszenia ochrony danych osobowych

7.1. Przychodnia Lekarska "Zdrowie" opracował i wdrożył procedury postępowania w przypadku naruszenia ochrony danych osobowych.

7.2. Przychodnia Lekarska "Zdrowie" prowadzi rejestr naruszeń ochrony danych osobowych oraz dokumentuje okoliczności naruszenia.

7.3. W przypadku naruszenia ochrony danych osobowych, Przychodnia Lekarska "Zdrowie" dokonuje zgłoszenia do UODO w terminie 72 godzin od stwierdzenia naruszenia.

7.4. W celu dotrzymania terminu 72 godzin, Przychodnia Lekarska "Zdrowie" wprowadza do umów powierzenia przetwarzania danych osobowych zobowiązujące podmioty przetwarzające do zgłaszania Przychodni Lekarskiej "Zdrowie" naruszeń ochrony danych osobowych oraz udzielania wszelkich niezbędnych informacji.

7.5. W przypadku, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, Przychodnia Lekarska "Zdrowie" zawiadamia pacjenta i informuje go w jasny i zrozumiały sposób o okolicznościach naruszenia oraz o środkach podjętych w celu ograniczenia jego negatywnych skutków.

8. Udostępnianie danych osobowych

Przychodnia Lekarska "Zdrowie" udostępnia dane osobowe innym podmiotom zgodnie z obowiązującymi przepisami prawa.

8.2. W szczególności Przychodnia Lekarska "Zdrowie" udostępnia dane osobowe pacjenta (poprzez udostępnienie dokumentacji medycznej lub udzielenie informacji) osobom upoważnionym przez pacjenta.

8.3. Przed udostępnieniem danych osobowych pacjenta Przychodnia Lekarska "Zdrowie" podejmuje czynności mające na celu weryfikację tożsamości osoby żądającej udostępnienia danych.