Przejdź do treści
← Powrót do strony głównej

Polityka Ochrony Danych Osobowych

My MedClinic spółka z ograniczoną odpowiedzialnością z siedzibą w Bydgoszczy

wpisana do rejestru przedsiębiorców pod nr KRS: 0001174680, NIP: 9532811583, kapitał zakładowy: 20.000 zł, e-mail: kontakt@mymedclinic.pl.

Postanowienia ogólne oraz administrator danych osobowych

  1. Niniejsza Polityka ochrony danych osobowych stanowi dokument regulujący zasady przetwarzania danych osobowych przez My MedClinic spółka z ograniczoną odpowiedzialnością z siedzibą w Bydgoszczy, wpisana do rejestru przedsiębiorców pod nr KRS: 0001174680, NIP: 9532811583, kapitał zakładowy: 20.000 zł, e-mail: kontakt@mymedclinic.pl. Spółka reprezentowana jest przez zarząd w ten sposób, że Prezes Zarządu może ją reprezentować samodzielnie (reprezentacja samoistna). Na potrzeby niniejszej Polityki ww. spółka zwana będzie Administratorem lub ADO.
  2. Podstawą prawną sporządzenia Polityki jest art. 24 ust. 2 RODO.
  3. Sporządzenie Polityki zostało poprzedzone przeprowadzeniem stosownej analizy ryzyka, celem zapewnienia odpowiedniego stopnia skuteczności zabezpieczeń przetwarzania danych osobowych.
  4. Administratorem danych osobowych jest spółka wskazana w pkt 1, której dane kontaktowe zostały wskazane w nagłówku.
  5. Administrator nie powołuje inspektora ochrony danych osobowych.
  6. Administrator jest jedynym administratorem danych osobowych.
  7. Administrator może występować także w roli podmiotu przetwarzającego dane osobowe w sytuacji ich powierzenia przez inny podmiot, w szczególności inny podmiot leczniczy.
  8. Administrator wykonuje działalność leczniczą zgodnie z odrębnymi przepisami, w tym ustawą o działalności leczniczej.
  9. Przedmiotem działalności administratora jest udzielanie świadczeń zdrowotnych.

Słownik pojęć

  1. Polityka – niniejsza Polityka ochrony danych osobowych.
  2. RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).
  3. Pacjent – zgodnie z definicją zawartą w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta.
  4. Podmiot współpracujący lub kontrahent - osoba fizyczna, osoba prawna lub jednostka organizacyjna, a także jakikolwiek inny podmiot, z którym ADO dokonuje czynności prawnych w ramach prowadzonej działalności gospodarczej, w tym w zakresie nabywania usług i towarów.
  5. Pozostałe pojęcia występujące w Polityce należy rozumieć w sposób odpowiadający RODO oraz innym przepisom prawa, a w innym wypadku zgodnie z ich normalnym znaczeniem.

Zasady i cele przetwarzania danych osobowych

  1. Przetwarzając dane osobowe administrator kieruje się z zasadami wynikającymi z RODO oraz innych przepisów prawa, w szczególności wskazanymi w art. 5 RODO.
  2. Administrator przetwarza dane osobowe w ściśle określonym celu, zgodnie z przepisami prawa.
  3. Celami przetwarzania danych osobowych są: a) udzielanie świadczeń zdrowotnych, oraz b) prowadzenie działalności gospodarczej, w ramach czego mieszczą się w szczególności obowiązki publicznoprawne, działania marketingowe oraz prowadzenie strony internetowej (mymedclinic.pl).
  4. Administrator nie pobiera ani nie przetwarza danych osobowych w zakresie przekraczającym cel ich przetwarzania.
  5. Jeśli administrator będzie planował przetwarzać dane w innych celach niż wskazane w pkt 17, to przed takim dalszym przetwarzaniem zastosowanie znajdują postanowienia z art. 13 ust. 3 i z art. 14 ust. 4 RODO.

Zbiory i kategorie danych osobowych

  1. Administrator przetwarza (lub może przetwarzać) następujące dane osobowe:
    1. dane pacjentów – imię (imiona), nazwisko, nr PESEL lub rodzaj i numer dokumentu potwierdzającego tożsamość, data urodzenia, płeć, adres zamieszkania, nr telefonu, ewentualnie adres e-mail, ewentualnie nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania, ewentualnie dane kontaktowe osoby upoważnionej do zasięgania informacji o stanie zdrowia lub osoby upoważnionej do dostępu do dokumentacji medycznej, a także dane dotyczące zdrowia, w tym dane obrazowe i informacje o udzielonych świadczeniach; ewentualnie także adres IP;
    2. dane podmiotów współpracujących lub kontrahentów – imię (imiona), nazwisko, adres prowadzenia działalności gospodarczej lub adres zamieszkania, adres e-mail, nr telefonu, numer NIP oraz firma, dane rejestrowe, w tym numer KRS, numer REGON, a także dane członków organów i numer rachunku bankowego;
    3. dane kandydatów na pracowników - imię (imiona) i nazwisko, data urodzenia, dane kontaktowe wskazane przez tę osobę, w tym miejsce zamieszkania (adres korespondencyjny) i w razie zgody także numer telefonu i adres e-mail, wykształcenie oraz przebieg dotychczasowego zatrudnienia;
    4. dane pracowników - imię (imiona), nazwisko, data urodzenia, miejsce zamieszkania (adres korespondencyjny), w razie zgody także adres e-mail i numer telefonu, numer PESEL (a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość), numer rachunku bankowego, wykształcenie, informacje dotyczące stanu rodzinnego, informacje dotyczące stopnia niepełnosprawności oraz z zakresu medycyny pracy, a także ewentualnie informacje dotyczące zawodu, kursów, uprawnień oraz przebiegu zatrudnienia;
    5. dane użytkowników strony internetowej – adres IP, a także ewentualnie imię, nazwisko, adres e-mail oraz dane dotyczące zdrowia.
  2. W pkt 20 wskazano na maksymalny zakres przetwarzanych danych. W konkretnym przypadku administrator może przetwarzać mniejsza ilość danych osobowych danej osoby fizycznej.
  3. Administrator przetwarza zwykłe dane osobowe, za wyjątkiem danych pacjentów dotyczących zdrowia.
  4. Administrator co do zasady nie przetwarza danych osobowych wskazanych w art. 10 RODO.
  5. Administrator nie przetwarza danych osobowych w sposób zautomatyzowany i nie dokonuje profilowania.
  6. Dane osobowe nie są przekazywane do państwa trzeciego lub organizacji międzynarodowej.
  7. Administrator informuje osobę, której dane dotyczą o charakterze pobieranych danych osobowych oraz celu ich przetwarzania na etapie poprzedzającym ich zebranie, w drodze informacji przekazanej drogą pisemną lub elektroniczną. W razie potrzeby informacja może być udzielona ustnie. W przypadku pozyskania danych nie od osoby, której dane dotyczą, zastosowanie znajdzie art. 14 ust. 5 lit. d) RODO, w związku z obowiązkiem zachowania tajemnicy lekarskiej.

Podstawy prawne przetwarzania danych osobowych

  1. Dane osobowe pacjentów przetwarzane są na podstawie: art. 6 ust. 1 lit. b) RODO (realizacja umowy o udzielanie świadczeń zdrowotnych, ewentualnie umowy o świadczenie usług drogą elektroniczną lub realizacja czynności zmierzających do zawarcia tych umów), art. 6 ust. 1 lit. c) RODO (realizacja prawnych obowiązków administratora, np. podatkowych i dot. dokumentacji medycznej) oraz art. 9 ust. 2 lit. h) RODO (niezbędność dla diagnozy medycznej i leczenia); ewentualnie także na podstawie: art. 6 ust. 1 lit. f) RODO (realizacja prawnie uzasadnionego interesu administratora, jakim jest ustalenie, dochodzenie lub obrona roszczeń, a także ewentualne działania marketingowe ADO), art. 6 ust. 1 lit. a) i art. 9 ust. 2 lit. a) RODO (zgoda na przetwarzanie danych zwykłych i dotyczących zdrowia nieobjętych inną podstawą) oraz art. 9 ust. 2 lit. f) RODO (niezbędność dla ustalenia, dochodzenia lub obrony roszczeń z inicjatywy ADO albo przeciwko ADO).
  2. Dane osobowe podmiotów współpracujących lub kontrahentów przetwarzane są na podstawie: art. 6 ust. 1 lit. b) RODO (realizacja umowy lub realizacja czynności zmierzających do zawarcia umowy), art. 6 ust. 1 lit. c) RODO (realizacja prawnych obowiązków administratora, np. podatkowych) oraz ewentualnie art. 6 ust. 1 lit. f) RODO (realizacja prawnie uzasadnionego interesu administratora, jakim jest ustalenie, dochodzenie lub obrona roszczeń, a także ewentualne działania marketingowe ADO).
  3. Dane kandydatów na pracowników przetwarzane są na podstawie: art. 6 ust. 1 lit. c) RODO (realizacja prawnych obowiązków administratora z Kodeksu Pracy) oraz ewentualnie art. 6 ust. 1 lit. a) RODO (zgoda na przetwarzanie danych zwykłych).
  4. Dane pracowników przetwarzane są na podstawie: art. 6 ust. 1 lit. b) RODO (realizacja umowy) oraz art. 9 ust. 2 lit. b) i h) RODO (niezbędność wypełniania obowiązków przez ADO z zakresu prawa pracy i ubezpieczeń społecznych oraz dla oceny zdolności pracownika do pracy i ewentualnie realizacji uprawnień osób niepełnosprawnych w stosunku pracy) oraz ewentualnie art. 6 ust. 1 lit. a) RODO (zgoda na przetwarzanie danych zwykłych) i art. 6 ust. 1 lit. f) RODO (realizacja prawnie uzasadnionego interesu administratora, jakim jest ustalenie, dochodzenie lub obrona roszczeń, a także ewentualne działania marketingowe ADO).
  5. Dane osobowe użytkowników strony internetowej przetwarzane są na podstawie: art. 6 ust. 1 lit. b) RODO (realizacja umowy o świadczenie usług drogą elektroniczną), art. 6 ust. 1 lit. a) RODO (zgoda na skorzystanie z wtyczki znanylekarz, FB lub Instagram) oraz art. 6 ust. 1 lit. f) RODO (uzasadniony interes administratora w zakresie promocji działalności lekarskiej administratora).
  6. Dane pacjentów, kandydatów na pracowników, pracowników i użytkowników strony internetowej administrator pozyskuje bezpośrednio od nich (z zastrzeżeniem, iż w przypadku pacjentów małoletnich dane te pochodzą od opiekuna prawnego/faktycznego). Dane podmiotów współpracujących lub kontrahentów administrator pozyskuje bezpośrednio od nich lub ze źródeł ogólnodostępnych, jak CEiDG lub KRS.
  7. W przypadku, gdy administrator pełni rolę podmiotu przetwarzającego w stosunku do innego administratora danych, co dotyczyć może w szczególności innych podmiotów leczniczych, to przetwarza dane osobowe jako procesor w ramach zawartego instrumentu prawnego, jakim powinna być pisemna lub elektroniczna umowa o powierzenie przetwarzania danych osobowych (która może być także elementem innej umowy). Umowa ta m. in. wskazuje na zbiory przetwarzanych danych, podstawy ich przetwarzania oraz źródło danych.
  8. W przypadku, gdy inne osoby lub podmioty przetwarzają dane w imieniu administratora, czynią to w ramach pisemnego upoważnienia albo pisemnej umowy o powierzenie przetwarzania danych osobowych, co dotyczy w szczególności księgowej, prawnika lub asystentki biurowej (recepcjonistka/sekretarka). Forma pisemna może być ewentualnie zastąpiona formą elektroniczną. Osoby lub podmioty te mogą przetwarzać powierzone dane w formie pisemnej lub elektronicznej.
  9. Powierzenie przetwarzania danych osobowych przez ADO dopuszczalne jest wyłącznie w ramach celu ich przetwarzania przez ADO.
  10. Administrator przetwarza dane osobowe przez czas niezbędny ze względu na cel przetwarzania, lecz nie dłużej niż pozwalają na to przepisy prawa.
  11. Administrator prowadzi rejestr osób upoważnionych oraz podmiotów przetwarzających.

Zabezpieczenia przetwarzania danych osobowych oraz pozostałe obowiązki administratora

  1. Administrator pozyskuje i przetwarza dane osobowe z poszanowaniem zasad wynikających z obowiązujących przepisów prawa, w tym zasad wynikających z niniejszej Polityki.
  2. Zabezpieczenia stosowane przez ADO są dopasowane do sposobu przetwarzania danych, celem zagwarantowania adekwatnego poziomu ich bezpieczeństwa, z uwzględnieniem organizacji pracy ADO oraz jego ewentualnych współpracowników.
  3. Każda osoba mająca styczność z danymi osobowymi przetwarzanymi przez ADO zobowiązana jest stosować zasady bezpieczeństwa wynikające z RODO, innych przepisów prawa i Polityki oraz do zachowania w poufności uzyskanych danych osobowych oraz informacji o zabezpieczeniach u ADO. Obowiązki te trwają, mimo ustania stosunku prawnego lub faktycznego z ADO.
  4. Administrator stosuje następujące środki zabezpieczenia danych osobowych: przetwarzać dane osobowe może wyłącznie ADO oraz osoba upoważniona przez ADO lub z którą ADO zawarł umowę o powierzenie przetwarzania danych, stosowanie się do tajemnicy lekarskiej w zakresie danych dot. pacjentów, dane osobowe przetwarzane w formie papierowej usuwane są za pomocą niszczarki lub profesjonalnego podmiotu, u ADO obowiązuje zasada „czystego biurka”, u ADO obowiązuje zakaz wynoszenia nośników z danymi osobowymi poza bezpieczny obszar przetwarzania lub pozostawiania tych nośników bez nadzoru uprawnionej osoby, zabezpieczenie komputera ADO poprzez hasło, w zakresie usług pocztowych i kurierskich ADO korzysta wyłącznie z profesjonalnych podmiotów, każda osoba lub podmiot współpracujący z ADO zobowiązany jest do niezwłocznego zgłaszania ADO wszelkich podejrzeń naruszenia ochrony danych osobowych, stosowane łącze internetowe jest odpowiednio szyfrowane, zakaz korzystania z oprogramowania komputerowego nieznanego lub niepewnego pochodzenia, bieżąca kontrola i testowanie skuteczności stosowanych zabezpieczeń, a w razie nieprawidłowości wdrażanie odpowiednich zmian, zapewnienie poufności, integralności, dostępności oraz odporności systemów oraz usług przetwarzania, w razie możliwości tworzenie kopii zapasowych danych przetwarzanych elektronicznie, korzystanie z zabezpieczonych i pochodzących od profesjonalnych dostawców serwerów.
  5. Podanie danych osobowych przez osoby, których dane dotyczą jest dobrowolne, aczkolwiek niezbędne do realizacji celów przetwarzania.
  6. W przypadku pozyskiwania danych osobowych dzieci poniżej 16 lat ADO dba o wyrażenie zgody na ich pobranie od osoby sprawującej władzę rodzicielską lub opiekę nad osobą, której dane są przetwarzane. ADO uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.
  7. Osoba, której dane osobowe są przetwarzane, otrzymuje przystępną informację co do przysługujących jej praw, którą ADO przekazuje jej w formie pisemnej lub elektronicznej bądź ustnej (gdy żąda tego osoba, której dane dotyczą i potwierdzona jest jej tożsamość). Informacja ta może być elementem innego dokumentu. Przekazanie informacji, o której mowa w zdaniu poprzedzającym jest wolne od opłat.
  8. Administrator pozyskuje wyłącznie dane osobowe niezbędne dla realizacji celu ich przetwarzania oraz nie gromadzi danych niezwiązanych z tym celem.
  9. Każda osoba, której dane są przetwarzane na podstawie jej zgody uprawniona jest do wycofania tej zgody w dowolnym momencie, co nie wpływa na legalność przetwarzania do czasu cofnięcia zgody.
  10. Administrator – na żądanie osoby, której dane dotyczą – jest zobowiązany potwierdzić przetwarzanie danych osobowych, udostępnić te dane, udzielić informacji stosownie do art. 15 ust. 1 RODO oraz dostarczyć kopię danych osobowych podlegających przetwarzaniu.
  11. Administrator obowiązany jest do uzupełnienia, uaktualnienia, sprostowania lub usunięcia danych osobowych w sytuacji, gdy określone dane osobowe są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane bez podstawy prawnej bądź są zbędne do realizacji celu, dla którego zostały zebrane.
  12. Administrator realizuje względem osoby, której dane są przetwarzane obowiązek informacyjny poprzez przedłożenie tej osobie podczas pozyskiwania danych lub przy pierwszej komunikacji pisemnej lub elektronicznej bądź ustnej.
  13. Prawo do ograniczenia przetwarzania danych osobowych ADO powinien wykonać w przypadkach opisanych w art. 18 ust. 1 RODO.
  14. Prawo do o przenoszenia danych osobowych oznacza, że osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła ADO, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Nadto, wykonując prawo do przenoszenia danych, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez ADO bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
  15. Prawo do sprzeciwu przysługuje w przypadkach wskazanych w art. 21 RODO, jeśli mają miejsce.
  16. ADO obowiązany jest nadzorować oraz kontrolować ochronę danych osobowych przetwarzanych u niego.
  17. ADO obowiązany jest współpracować ze wszelkimi organami państwowymi w zakresie ochrony danych osobowych, w szczególności z organem nadzorczym.

Rejestr czynności przetwarzania oraz rejestr kategorii przetwarzania danych osobowych

  1. Administrator prowadzi elektroniczny rejestr czynności przetwarzania (RCP).
  2. RCP zawiera informacje wymagane art. 30 ust. 1 RODO.
  3. Administrator prowadzi elektroniczny rejestr kategorii przetwarzania danych osobowych (RKP) w przypadku pełnienia funkcji podmiotu przetwarzającego w stosunku do innego administratora.
  4. RCP oraz RKP udostępniane są na żądanie organu nadzorczego.
  5. RCP oraz RKP aktualizowane są w miarę potrzeby.

Procedura postępowania w przypadku naruszenia ochrony danych osobowych oraz rejestr naruszeń ochrony danych osobowych

  1. Do naruszenia bezpieczeństwa danych osobowych dochodzi w sytuacji przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  2. Każdy podmiot przetwarzający dane osobowe obowiązany jest do niezwłocznego zgłaszania ADO podejrzenia naruszenia ochrony danych osobowych.
  3. W przypadku naruszenia ochrony danych osobowych, ADO bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
  4. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  5. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
  6. Zawiadomienie to powinno także zawierać informacje dotyczące danych kontaktowych ADO, od którego można uzyskać więcej informacji, informacje co do możliwych konsekwencji naruszenia ochrony danych osobowych jak również zastosowanych przez ADO środków w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  7. Zawiadomienie osoby, której dane dotyczą nie jest wymagane w następujących przypadkach: a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
  8. ADO utrzymuje zdolność do niezwłocznego przywrócenia dostępności danych osobowych i dostępu do nich w razie naruszenia ochrony danych osobowych.
  9. Administrator prowadzi rejestr naruszeń ochrony danych osobowych (RNODO) stosownie do wymagań z art. 33 ust. 5 RODO. Rejestr ten prowadzony jest w formie elektronicznej i jest udostępniany na żądanie organu nadzorczego.

Aktualizacja Polityki

  1. Polityka powinna być aktualizowana w przypadku zaistnienia takiej potrzeby.
  2. Aktualizacja Polityki wymaga formy pisemnej. Pożądane jest sporządzenie tekstu jednolitego.