Polityka Prywatności

(dalej jako: „Polityka Prywatności”)

Rozdział I – Wstęp

§1

W celu dostosowania działalności gospodarczej prowadzonej pod firmą Dentica Stomatologia i Medycyna Estetyczna Monika Sajewicz przy ul. Lipowa 1C, 97-400 Bełchatów, NIP: 7271239952, REGON: 473297628 (dalej jako: „Jednostka Organizacyjna”) przez Monikę Sajewicz (dalej jako: „Administrator Danych Osobowych”) do wymogów wskazanych w przepisach rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako: „Rozporządzenie”) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej jako: „Ustawa”) Administrator Danych Osobowych ustanawia niniejszą Politykę Prywatności.

Rozdział II – Zasady przetwarzania i ochrony danych osobowych

§1

Każda osoba mająca dostęp do danych osobowych przetwarzanych w Jednostce Organizacyjnej jest zobowiązana do zapoznania się z niniejszą Polityką Prywatności.

§2

Wszelkie czynności przetwarzania danych osobowych powinny zostać wykazane w rejestrze czynności przetwarzania, którego wzór stanowi załącznik nr 1 do niniejszej Polityki Prywatności.

§3

Każda osoba, która posiada wiedzę bądź uzasadnione przypuszczenie w zakresie naruszenia niniejszej Polityki Prywatności, Ustawy lub Rozporządzenia zobowiązana jest zgłosić takie naruszenie Administratorowi Danych Osobowych. Dodatkowo, każde naruszenie, które skutkuje naruszeniem jakichkolwiek praw osób, których dane są przetwarzane bądź stanowi naruszenie Rozporządzenia lub Ustawy powinno zostać odnotowane przez Administratora Danych Osobowych w rejestrze naruszeń ochrony danych osobowych, którego wzór stanowi załącznik nr 2 do niniejszej Polityki Prywatności. Ponadto, jeśli Administrator Danych Osobowych stwierdzi naruszenie danych osobowych lub wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ma obowiązek bez zbędnej zwłoki zawiadomić osoby, których naruszenia dotyczą oraz Prezesa Urzędu Ochrony Danych Osobowych.

§4

Każda osoba, która przetwarza w Jednostce Organizacyjnej dane osobowe (dalej jako: „Osoba Upoważniona”), musi posiadać pisemne upoważnienie do przetwarzania danych nadane przez Administratora Danych Osobowych oraz podpisać oświadczenie o zachowaniu poufności przetwarzanych danych osobowych (wzór upoważnienia wraz z oświadczeniem stanowi załącznik nr 3 do niniejszej Polityki Prywatności). Dodatkowo, wszelkie udzielone upoważnienia powinny zostać odnotowane w rejestrze upoważnień, którego wzór stanowi załącznik nr 4 do niniejszej Polityki Prywatności.

§5

W przypadku konieczności dostępu do przestrzeni, na której przetwarzane są dane osobowe bądź do systemów informatycznych w których przetwarzane są dane osobowe osób nieposiadających upoważnienia wskazanego w § 4 powyżej, które muszą dokonać doraźnych prac o charakterze serwisowym lub innym, podpisują oni oświadczenie o zachowaniu poufności, którego wzór stanowi załącznik nr 5 do niniejszej Polityki Prywatności. Dodatkowo, wszelkie czynności powinny odbywać się pod nadzorem Osoby Upoważnionej.

§6

Zlecenie podmiotowi zewnętrznemu przetwarzania danych osobowych może nastąpić wyłącznie w ramach umowy powierzenia przetwarzania danych osobowych, zgodnie z art. 28 Rozporządzenia. Każde powierzenie przetwarzania danych osobowych powinno zostać odnotowane w rejestrze powierzeń przetwarzania, którego wzór stanowi załącznik nr 6 do niniejszej Polityki Prywatności.

§7

Udostępnianie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie po pozytywnym zweryfikowaniu wskazanych w Rozporządzeniu przesłanek dopuszczalności takiego udostępnienia, przez co rozumie się w szczególności odpowiednią weryfikację podmiotu, któremu następuje udostępnianie, wraz z weryfikacją poziomu zabezpieczeń takiego podmiotu oraz zasad ochrony danych osobowych przewidzianych przepisami kraju, w którym taki podmiot ma siedzibę.

§8

Dokumenty zawierające dane osobowe przechowywane w formie papierowej Upoważnione Osoby bądź Administrator Danych Osobowych przechowują w szafach zamykanych na klucz. W przypadku konieczności zniszczenia papierowych dokumentów zawierających dane osobowe, ich zniszczenia dokonuje Osoba Upoważniona poprzez pocięcie ich w niszczarce.

§9

Nadzór nad przetwarzaniem danych osobowych w jednostce organizacyjnej sprawuje Administrator Danych Osobowych. Może on wyznaczyć Inspektora Danych Osobowych, do którego zadań będzie należało bezpośrednie nadzorowanie stanu realizacji procedur związanych z ochroną danych osobowych oraz bezpośrednia realizacja procedur w imieniu Administratora Danych Osobowych. W przypadku wyznaczenia Inspektora Danych Osobowych przejmuje on obowiązki przewidziane w niniejszym rozdziale w paragrafach następujących dla Administratora Danych Osobowych.

§10

Administrator Danych Osobowych w ramach nadzoru nad przetwarzaniem danych osobowych ma obowiązek weryfikować w szczególności cele, zakres przetwarzania, czas przetwarzania oraz sposoby zabezpieczenia danych osobowych Dodatkowo, Administrator Danych Osobowych nadaje upoważnienia do przetwarzania danych osobowych (wskazane w § 4 niniejszej Polityki Prywatności) oraz jest zobowiązany do przeprowadzania analizy ryzyk związanych z zagrożeniami związanymi z przetwarzaniem danych osobowych w Jednostce Organizacyjnej.

§11

Administrator Danych Osobowych prowadzi i dba o bezwzględną aktualność następujących rejestrów:

rejestr czynności przetwarzania
rejestr naruszeń ochrony danych osobowych
rejestr upoważnień
rejestr powierzeń przetwarzania

Wszystkie wskazane wyżej rejestry mogą być prowadzone w formie papierowej lub elektronicznej. W przypadku ręcznej aktualizacji rejestru prowadzonego w formie papierowej, każda zaktualizowana pozycja powinna zostać opatrzona odręczną parafą Administratora Danych Osobowych.

§12

Osoby Upoważnione mają obowiązek:

przetwarzać dane osobowe zgodnie z obowiązującymi przepisami, w szczególności z ustawą i rozporządzeniem;
nie udostępniać danych osobowych osobom nieupoważnionym oraz uniemożliwiać dostęp do nich takim osobom;
zabezpieczać dane osobowe przed niepożądanym zniszczeniem.

§13

W przypadku zbierania danych osobowych od osoby, której dane dotyczą, Administrator Danych Osobowych jest obowiązany przedstawić takiej osobie odpowiednią Klauzulę Informacyjną bądź przedstawić takiej osobie w inny sposób w przystępnej, jasnej, zrozumiałej i jednoznacznej formie następujące informacje:

dane identyfikujące Administrator Danych Osobowych;
dane kontaktowe Administrator Danych Osobowych;
podstawę prawną przetwarzania danych osobowych;
cele przetwarzania danych osobowych;
kategorie przetwarzanych danych osobowych;
źródło pochodzenia przetwarzanych danych osobowych;
okres, przez który dane będą przetwarzane;
informacje na temat odbiorców danych osobowych;
informacje na temat praw osoby, której dane dotyczą;
informacja o organie nadzorczym;
informacje na temat charakteru udostępnienia danych osobowych;
informacja o profilowaniu danych osobowych.

§14

Przetwarzanie szczególnych kategorii danych osobowych pacjentów, w szczególności w ramach dokumentacji medycznej, odbywa się na podstawie i zgodnie z powszechnie obowiązującymi w tym zakresie przepisami prawa, w tym w szczególności z Ustawą z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. 2009 nr 52 poz. 417 z późn. zm.) oraz Rozporządzeniem Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz.U. 2020 poz. 666 z późn. zm.).

§15

Lokal w którym Administrator Danych Osobowych prowadzi działalność gospodarczą, objęty jest monitoringiem wizyjnym w niezbędnym zakresie, tj.:

poczekalni;
korytarza;
terenu bezpośrednio przed wejściem do lokalu.

Rejestracja obrazu za pomocą monitoringu, w pomieszczeniach o których mowa w ust. 1, jest prowadzona i niezbędna w celu:

zapewnienia bezpieczeństwa pracowników oraz pacjentów – w tym zakresie przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej i odbywa się na podstawie art. 6 ust. 1 lit. d Rozporządzenia);
ochrony mienia – w tym zakresie przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora Danych Osobowych i odbywa się na podstawie art. 6 ust. 1 lit. f Rozporządzenia;
zapewnienia zachowania w tajemnicy informacji, w tym szczególnych kategorii danych osobowych zawartych w szczególności dokumentacji medycznej – w tym zakresie przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze Danych Osobowych i odbywa się na podstawie art. 6 ust. 1 lit. c Rozporządzenia;

Zapis z monitoringu przechowywany jest przez 10 dni na zabezpieczonym urządzeniu rejestrującym. Po upływie powyższego okresu, nagrania podlegają zniszczeniu. Dostęp do nagrań z monitoringu posiada wyłącznie Administrator Danych Osobowych. Nagrania z monitoringu mogą być przeglądane i analizowane wyłącznie w przypadku stwierdzenia przez Administratora Danych Osobowych wystąpienia incydentu naruszenia bezpieczeństwa danych osobowych, a także jeżeli jest to niezbędne do realizacji celu w którym dane te są gromadzone.

Rozdział III – Postanowienia końcowe

§1

Nieprzestrzeganie zasad ochrony danych osobowych określonych w niniejszej Polityce Prywatności przez Osoby Upoważnione grozi odpowiedzialnością dyscyplinarną.

§2

W sprawach nieuregulowanych niniejszą Polityką Prywatności znajdują bezpośrednie zastosowanie przepisy Ustawy oraz Rozporządzenia.