Ilona Kozłowska i Adam Kozłowscy prowadzący działalność gospodarczą pod firmą NZOZ KAdent S.C. Ilona Kozłowska, Adam Kozłowski – ul. Bogusława 33 lok. 2, 70-246 Szczecin, NIP: 8522300722, REGON: 812046232

 

Polityka ochrony i przetwarzania danych osobowych

 

• 1

Postanowienia ogólne

1. Polityka reguluje prawa i obowiązki Administratora związane z przetwarzaniem przez niego Danych osobowych zgodnie z aktualnie obowiązującymi przepisami.
2. Polityka jest zbiorem zasad i procedur obowiązujących przy przetwarzaniu danych osobowych, regulującym zasady przetwarzania, przechowywania i zabezpieczenia Danych osobowych przez

 

• 2

Definicje

Jeżeli w treści Polityki Przetwarzania Danych Osobowych nie postanowiono inaczej, niżej wskazane wyrażenia, użyte w jej treści mają następujące znaczenie:

1. RODO – Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
2. Polityka – Polityka Ochrony i Przetwarzania Danych sporządzona w celu realizacji art. 24 ust 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
3. Administrator – Ilona Kozłowska i Adam Kozłowscy prowadzący działalność gospodarczą pod firmą NZOZ KAdent S.C. Ilona Kozłowska, Adam Kozłowski – ul. Bogusława 33 lok. 2, 70-246 Szczecin, NIP: 8522300722, REGON: 812046232, Administrator Przetwarzania Danych Osobowych w rozumieniu RODO.
4. Dane osobowe – dane osobowe w rozumieniu RODO.
5. Ewidencja – Ewidencja osób upoważnionych do przetwarzania Danych osobowych.

 

• 3

Zakres obowiązywania Polityki

1. Politykę stosuje się do przetwarzania Danych osobowych niezależnie od sposobu przetwarzania , w tym do przetwarzania Danych osobowych w sposób tradycyjny lub przetwarzania w systemach informatycznych.
2. Polityka obowiązuje wszystkie osoby, które przetwarzają lub mogą przetwarzać Dane osobowe znajdujące się w zbiorach

 

 

 

• 4

Obowiązki Administratora

1. Administrator zobowiązuje się dopełnić należytej staranności, tak aby Dane osobowe były przetwarzane w sposób zgodny z prawem, w szczególności RODO, przy zapewnieniu należytego bezpieczeństwa ich przechowywania, w tym ochrony przed bezprawnym dostępem osób nieuprawnionych.
2. Administrator jest odpowiedzialny. za należyte wykonywanie obowiązków wskazanych w ust. 1.
3. Administrator, wykonując obowiązki wskazane w ust. 1, w szczególności:

• wydaje osobom trzecim uprawnienia do przetwarzania Danych osobowych,
• wyznacza cele i sposób realizacji ochrony przechowywania i przetwarzania Danych osobowych.

 

• 5

Szczegółowe obowiązki Administratora

Do zakresu obowiązków Administratora należy w szczególności:

• zapewnianie przetwarzania Danych osobowych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą,
• zbieranie Danych osobowych wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzanie Danych osobowych w sposób niezgodny z tymi celami,
• zbieranie i przetwarzanie Danych osobowych wyłącznie w zakresie niezbędnym do celów, dla których są one przetwarzane,
• zapewnienie aby Dane osobowe były prawidłowe i w razie potrzeby uaktualniane, prostowane,
• zapewnienie aby Dane osobowe były przechowywane nie dłużej niż jest to niezbędne dla celów, w których dane te są przetwarzane,
• kontrola zgodności przetwarzania Danych osobowych z przepisami o ochronie danych osobowych,
• opracowanie i aktualizowanie dokumentacji opisującej sposób przetwarzania Danych osobowych i środki zapewniające ochronę przetwarzanych danych osobowych, w szczególności poprzez stworzenie stosownych polityk i procedur,
• zapewnianie zapoznania osób upoważnionych do przetwarzania Danych osobowych z przepisami o ochronie danych osobowych;
• prowadzenie rejestru czynności przetwarzania danych osobowych zgodnie z art. 30 RODO.

 

• 6

 Nadanie uprawnień w zakresie ochrony danych osobowych pracownikowi 

Administrator jest uprawniony:

• kontrolować właściwe zabezpieczenie systemów informatycznych oraz pomieszczeń, w których przetwarzane są Dane osobowe;
• wydawać polecenia w zakresie dot. bezpieczeństwa Danych osobowych;
• żądać wyjaśnień od wszystkich pracowników oraz osób świadczących na rzecz Administratora usługi w sytuacjach naruszenia bezpieczeństwa Danych osobowych.

 

 

• 7

Zasady udostępniania Danych osobowych

1. Warunkiem przetwarzania Danych osobowych jest uzyskanie upoważnienia do przetwarzania Danych osobowych wydanego przez Podstawową formą udzielenia upoważnienia jest Ewidencja.
2. Osoba może otrzymać zgodę Administratora po spełnieniu następujących wymogów:

• Potrzeba przetwarzania Danych osobowych jest uzasadniona i jest zgodna z przepisami RODO oraz innych obowiązujących przepisów.
• Administrator lub osoba przez niego upoważniona pouczy wnioskującego o podstawowych zasadach przetwarzania Danych osobowych, oraz o treści dokumentów wewnętrznych stworzonych przez Administratora, a mających na celu ochronę Danych osobowych.

 

• 8

Ewidencja osób uprawnionych do przetwarzania Danych osobowych

1. Administrator prowadzi Ewidencję, w której są umieszczane kategorie osób upoważnionych do przetwarzania Danych osobowych, w Ewidencji znajdują się następujące informacje:

• Kategoria osób, których Dane osobowe dotyczą,
• Kategoria osób uprawnionych do przetwarzania Danych osobowych poszczególnych kategorii odnoszących się do rejestru czynności przetwarzania,
• Okres nadania uprawnień,
• Zakres uprawnień

2. Administrator niezwłocznie wprowadza zmiany w Ewidencji i odnotowuje wprowadzone w jej treści zmiany w przypadku wystąpienia nowej kategorii osób, których Dane osobowe są przez niego przetwarzane lub zmian w zakresie wskazanym w ust 1 pkt 2-4

 

• 9

Zbiory danych osobowych i miejsce ich przetwarzania

1. Dane osobowe gromadzone są w zbiorach, których wykaz stanowi rejestr czynności przetwarzania,
2. Zbiory Danych osobowych gromadzone są i przetwarzane przy użyciu systemów informatycznych. Administrator oraz w formie tradycyjnej (papierowej).
3. Wykaz programów służących do przetwarzania Danych osobowych stanowi załącznik nr 1
4. Dane osobowe gromadzone i przetwarzane są w wyłącznie w miejscu prowadzenia działalności przez Administratora pod adresem: ul. Bogusława 33 lok 2, 70-246 Szczecin.
5. Zabrania się przetwarzania Danych osobowych poza miejscami wskazanymi w pkt. 4.
6. Dostęp do pomieszczeń, gdzie przetwarzane są Dane osobowe w wersji tradycyjnej (papierowej) oraz w celach archiwizacyjnych zabezpieczony jest w następujący sposób:
7. Gabinet znajduje się w budynku prywatnym. Drzwi wejściowe do budynku zabezpieczone są zamkiem a wszystkie pomieszczenia gabinetu zabezpieczone są systemem alarmowym oraz monitoringiem wizyjnym. Gabinet objęty jest ochroną zewnętrznej wyspecjalizowanej firmy ochroniarskiej. Pomiędzy wejściem a poczekalnią znajduje się przedpokój, z którego przejście do poczekalni zabezpieczonej jest drzwiami z zamkiem. Z poczekalni istnieje dostęp do zamykanych na klucz pomieszczeń gabinetów oraz do biura, do którego dostęp zabezpieczony jest zamkiem cyfrowym.
8. Klucze oraz kod do alarmu zabezpieczającego drzwi wejściowe do budynku oraz klucze do pomieszczeń gabinetów poza administratorem posiadają osoby zatrudnione na stanowiskach rejestratorka, asystentka/higienistka oraz lekarze stale współpracujący z administratorem.
9. Kartę dostępu pozwalającą na otwarcie drzwi do biura posiada tylko administrator.
10. Administrator lub inna ostatnia osoba opuszczająca miejsce przechowywania danych osobowych (pracownik lub osoba związana z Administratorem umową cywilnoprawną) obowiązana jest zamknąć wszystkie szafy oraz drzwi na klucz a także aktywować system alarmowy.

 

• 10

Zabezpieczenie danych osobowych przechowywanych w formie papierowej

Dane osobowe przechowywane w formie dokumentacji tradycyjnej (papierowej) znajdują się w opisanych niżej pomieszczeniach (dostęp oraz osoby uprawnione do dostępu do pomieszczenia archiwum oraz szaf zostały opisane w § 9.) oraz są zabezpieczone w następujący sposób:

1. archiwalne kartoteki pacjentów znajdują się w zamykanej na klucz szafie w pomieszczeniu biura (klucz do szafy posiada jedynie administrator).
2. dokumentacja kadrowa zawierająca dane osobowe pracowników oraz osób współpracujących na podstawie umów cywilnoprawnych (w tym w ramach działalności gospodarczej) znajdują się w zamykanej na klucz szafie w pomieszczeniu biura (klucz do szafy posiada jedynie administrator).
3. dokumentacja papierowa pacjentów w ograniczonym zakresie (zgody na leczenie chirurgiczne oraz implantologiczne oraz dostarczone przez pacjentów wyniki badań z innych podmiotów leczniczych, w tym wyniki RTG i pantomografu) jest przechowywana w zamykanej na klucz szafie na recepcji (wydzielona część poczekalni), do dostęp mają wyłącznie osoby zatrudnione na stanowisku rejestratorki.

 

• 11

Zabezpieczenia Danych Osobowych przechowywanych w systemie elektronicznym

Postanowienia Ogólne

1. Przetwarzanie Danych osobowych w systemie elektronicznym odbywa się na komputerach znajdujących się w pomieszczeniach poczekalni/recepcji oraz gabinetów, które działają na zasadzie terminali łączących się z serwerem własnym Administratora, na którym zainstalowane jest oprogramowanie przy pomocy które przetwarzane są danme.
2. Dane osobowe zabezpiecza się przy użyciu środków chroniących dane przed nieuprawnionym pozyskaniem i przetwarzaniem.
3. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające Dane osobowe, przeznaczone do:

• likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;
• przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;
• naprawy – pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora.

4. Kopie zapasowe zbiorów Danych Osobowych:

• przechowuje się na serwerach w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, w pomieszczeniu, do którego dostęp ma wyłącznie Administrator.
• usuwa się niezwłocznie po ustaniu ich użyteczności.

 

• 12

Zabezpieczenia Danych Osobowych w systemie elektronicznym

Postanowienia szczegółowe

 

1. W systemie informatycznym służącym do przetwarzania Danych Osobowych stosuje się mechanizmy kontroli dostępu do tych danych.
2. Administrator zapewnia aby dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.
3. System informatyczny służący do przetwarzania Danych Osobowych zabezpiecza się, w szczególności przed:
4. działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
5. utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.
6. Dostęp do systemu informatycznego służącego do przetwarzania Danych Osobowych zabezpieczony jest poprzez konieczność uwierzytelniania użytkownika przy uruchomieniu komputera za pomocą indywidualnego identyfikatora i hasła.
7. System informatyczny wymaga ponownego uwierzytelniania przy uruchomieniu oprogramowania, przy pomocy którego przetwarzane są Dane Osobowe,
8. Kopie zapasowe wykonywane są na serwerze własnym Administratora.
9. Administrator dokonuje cyklicznej zmiany haseł uwierzytelniających dostęp na następujących zasadach:

• zmiana następuje nie rzadziej niż co 30 dni,
• hasło składa się co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne,
• hasło nie może składać się z żadnych danych odnoszących się do imienia, nazwiska, adresu zamieszkania użytkownika, jego daty urodzenia, danych najbliższych mu osób, lub ich fragmentów,
• hasło nie może być jednakowe z identyfikatorem użytkownika,
• zabronione jest korzystanie z uprzednio używanego przez użytkownika hasła.

8. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przed nieuprawnionym wykonywaniem kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
9. Uprawnienia do wykonywania kopii zapasowych dokumentacji zawierającej Dane Osobowe ma wyłącznie
10. Kopie zapasowe dokumentacji zawierającej Dane Osobowe wykonywane są nie rzadziej niż raz w miesiącu.
11. Komputer służący do przetwarzania Danych Osobowych zabezpieczony jest przy pomocy stale aktualizowanego oprogramowania antywirusowego sprawdzającego także korespondencję e-mail.
12. Komputer służący do przetwarzania Danych Osobowych ma aktywowany wygaszacz ekranu uruchamiający się automatycznie w przypadku bezczynności użytkownika.
13. Monitor komputera ustawiony jest zawsze w taki sposób aby uniemożliwić dostęp do danych osobowych osobom nieuprawnionym. Niezależnie od powyższego, Administrator dokonuje wylogowania się z programu z chwilą zakończenia pracy.
14. W przypadku przesyłania pacjentom przez Administratora dokumentacji zawierającej wrażliwe dane osobowe (w szczególności plany leczenia) pocztą elektroniczną, dokumentacja taka musi być przesłana w formie zaszyfrowanej a kod do odszyfrowania dokumentacji musi zostać podany odbiorcy innym środkiem komunikacji.

 

• 13

Zasady przetwarzania Danych Osobowych

1. Dane osobowe mogą być pozyskiwane bezpośrednio od osób, których te dane dotyczą, poprzez ich przekazanie osobiste, drogą telefoniczną, drogą e-mail oraz poprzez formularz na stronie internetowej Administratora.
2. Dane osobowe niekompletne, nieaktualne, nieprawdziwe lub zebrane z naruszeniem Ustawy albo zbędne do realizacji celu, dla którego zostały zebrane, uzupełnienia, uaktualnia się, prostuje lub usuwa.
3. Dane osobowe przetwarzane są wyłącznie przez upoważnione przez Administratora podmioty w sposób zapewniający bezpieczeństwo przetwarzanych danych.
4. Dane osobowe przetwarzane są jedynie w celu, w jakim zostały zgromadzone lub w celu dopuszczalnym przez bezwzględne przepisy prawa i jedynie w zakresie niezbędnym dla ich realizacji.

 

 

 

 

• 14

 Udostępnienia Danych osobowych osobom trzecim 

1. Administrator udostępnia Dane osobowe wyłącznie osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
2. Dane osobowe mogą być udostępniane:

• na podstawie wniosku podmiotu uprawnionego do otrzymywania danych osobowych na podstawie przepisów prawa;
• na podstawie umowy z zawartej z podmiotem trzecim, w ramach której istnieje konieczność udostępnienia danych;
• na podstawie wniosku lub zgody osoby, której dane dotyczą.

3. Wniosek o udostępnienie Danych osobowych powinien zawierać informacje umożliwiające wyszukanie żądanych Danych osobowych w zbiorze oraz wskazywać ich zakres i przeznaczenie.
4. Udostępniając Dane Osobowe, należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
5. Odmowa udostępnienia Danych osobowych następuje wówczas, gdy spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą, lub innych osób oraz jeżeli Dane Osobowe nie mają związku ze wskazanymi we wniosku motywami działania wnioskodawcy.

 

• 15

Usuwanie Danych Osobowych

1. Dane Osobowe są przechowywane w sposób umożliwiający identyfikację osób, których dotyczą nie dłużej, niż wymaga tego cel, w którym są przetwarzane lub bezwzględnie obowiązujące przepisy prawa.
2. Decyzję o usunięciu danych lub o zniszczeniu nośników danych podejmuje Administrator, po upływie okresu wskazanego w art. 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. 2009 Nr 52, poz. 417 t.j. Dz.U. z 2017 r. poz. 1318).
3. Nośniki zawierające Dane Osobowe są niszczone pod nadzorem Administratora w obszarze przeznaczonym do przetwarzania danych. Z czynności tej sporządza się protokół.
4. Na podstawie umowy o powierzenie danych osobowych, Dane Osobowe oraz nośniki Danych Osobowych mogą być usuwane i niszczone przez podmiot, któremu powierzono Dane Osobowe, w sposób uniemożliwiający zapoznanie się z danymi przez osoby nieupoważnione.

 

• 16

Gwarancja praw osoby, której dane dotyczą

1. Na wniosek osoby, której dane dotyczą, Administrator zobowiązany jest w terminie 30 dni poinformować ją o przysługujących jej prawach oraz udzielić informacji o których mowa w art. 15 RODO poprzez wskazanie
2. celów przetwarzania,
3. kategorii przetwarzanych danych,
4. informacji o podmiotach, którym dane mogą być przekazane.,
5. okresu planowanego przechowywania danych,
6. informacji o prawie do żądania sprostowania lub ograniczenia przetwarzanych danych osobowych,
7. informacji o prawie wniesienia sprzeciwu w przypadkach określonych prawem,
8. informacji o prawie wniesienia skargi do organu nadzorczego.
9. Jeśli wnioskodawca nie wskaże inaczej, kopia danych osobowych podlegających przetwarzaniu zostanie przekazana wnioskodawcy drogą poczty elektronicznej.
10. Osoba, której dane dotyczą, ma prawo do sprostowania Danych Osobowych, w szczególności jeśli dane te są niekompletne lub nieaktualne. Administrator dokonuje sprostowania niezwłocznie po otrzymaniu wniosku.
11. Osoba, której dane dotyczą, w przypadkach wskazanych w art. 18 RODO, jest uprawniona do żądania od Administratora ograniczenia przetwarzania jej danych. W przypadku otrzymania takiego żądania Administrator niezwłocznie dokonuje ograniczenia przetwarzania Danych osobowych w zakresie wskazanym w żądaniu.
12. W przypadkach określonych w pkt 3-4, Administrator niezwłocznie informuje o sprostowaniu lub ograniczeniu przetwarzania Danych osobowych każdego odbiorcę, któremu ujawniono Dane osobowe, chyba że okaże się to niemożliwe lub wymagać będzie niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą o tych odbiorcach, jeżeli osoba, której dane dotyczą tego zażąda.

 

 

• 17

Postanowienia Końcowe

1. Polityka wchodzi w życie z dniem 25.05.2018 r.
2. Zmiana Polityki może zostać dokonana w każdym czasie, z 14 dniowym wyprzedzeniem.

 

 

………………………………..

(podpis i pieczęć)

 

 

Załącznik nr 1 do

Polityki ochrony i przetwarzania danych osobowych

Wykaz oprogramowania służącego do przetwarzania danych osobowych

 

1. Dental Imaging Software (Kodak Carestream)