Polityka prywatności i cookies

POLITYKA
OCHRONY DANYCH OSOBOWYCH
w COREclinic spółka z ograniczoną odpowiedzialnością spółka komandytowa

Dokument tylko do użytku wewnętrznego COREclinic sp. z o.o. sp. k.
stanowi tajemnicę przedsiębiorstwa

1. Postanowienia ogólne
   • Niniejsza Polityka Ochrony Danych Osobowych w COREclinic sp. z o.o. sp. k. (zwana dalej również „Polityką”) określa zasady przetwarzania danych osobowych w COREclinic sp. z o.o. sp. k., z siedzibą w Poznaniu (61-555), przy ul. Karpia 25B wpisanej do rejestru przedsiębiorców pod  NIP 7831798837, REGON 381799947, dalej jako „COREclinic”
   • Politykę sporządzono uwzględniając przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz.Urz. UE z 4 maja 2016 r. seria L 199) – zwane dalej RODO – oraz przepisy innych aktów powszechnie obowiązującego prawa w zakresie ochrony danych osobowych.

2. Cele przyjętej Polityki
   • Celem przyjętej Polityki jest zapewnienie świadomego i jednocześnie zgodnego z prawem przetwarzania danych osobowych w ramach prowadzonej przez COREclinic działalności z uwzględnieniem praw i wolności osób, których dane dotyczą.
   • Znajomość celów, procesów i sposobów przetwarzania danych osobowych, a także obowiązków spoczywających na administratorze danych i podmiocie przetwarzającym dane pozwala COREclinic na prawidłowe zarządzanie ryzykiem związanym z przetwarzaniem danych, w tym ryzykiem w zakresie naruszenia praw lub wolności osób, których dane dotyczą.
   • Świadome przetwarzanie danych i racjonalne zarządzanie ryzykiem związanym z przetwarzaniem umożliwia wdrożenie odpowiednich środków bezpieczeństwa w procesie przetwarzania i określenie przesłanek, którymi należy się kierować podczas rozwoju prowadzonej przez COREclinic działalności.
   • Przez bezpieczeństwo przetwarzania danych osobowych rozumie się zapewnienie i utrzymanie w stosunku do danych następujących atrybutów:
3. poufności – rozumianej jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom (w ramach zapewnienia poufności danych należy również zapewnić poufność stosowanych zabezpieczeń);
4. integralności – rozumianej jako właściwość zapewniającą, że dane osobowe nie zostaną zmienione lub zniszczone w sposób nieautoryzowany;
5. dostępności – rozumianej jako właściwość zapewniającą, że osoby upoważnione do przetwarzania danych mają do nich dostęp wtedy, gdy jest to wymagane w związku z procesami przetwarzania zachodzącymi w COREclinic.
   • Niniejsza Polityka ma również na celu zapewnienie, że COREclinic jest w stanie wykazać przed uprawnionymi podmiotami przetwarzanie danych osobowych zgodnie z następującymi zasadami wynikającymi z RODO:
6. zgodności z prawem, rzetelności i przejrzystości,
7. ograniczoności w zakresie celu przetwarzania,
8. ograniczoności w zakresie czasu przetwarzania,
9. adekwatności przetwarzanych danych (minimalizacji danych do tych, które są niezbędne w stosunku do celu przetwarzania),
10. prawidłowości,
11. bezpieczeństwa danych.
    • Polityka, jako zestaw praw, reguł, procedur i wytycznych, regulujących sposób zarządzania danymi, ich ochrony i dystrybucji wewnątrz COREclinic, jak i w kontaktach z otoczeniem służy realizacji wytyczonych w firmie celów przedstawionych w niniejszym dokumencie.

3. Deklaracje COREclinic
   • COREclinic wdraża cele Polityki poprzez aktywne podejście do przetwarzania danych osobowych, w tym ich ochrony przed różnego rodzaju zagrożeniami.
   • Ryzyko zawsze będzie towarzyszyło przetwarzaniu danych osobowych, dlatego też COREclinic na bieżąco zarządza tym ryzykiem.
   • Zarządzanie ryzykiem w zakresie ochrony danych osobowych polega na jego identyfikacji, analizie, ocenie, właściwym postępowaniu z ryzykiem oraz na stałym monitorowaniu ryzyka.
   • Wspólnicy, pracownicy i współpracownicy COREclinic są odpowiedzialni za bezpieczeństwo danych osobowych, do których mają dostęp.
   • COREclinic zobowiązuje wszystkie osoby upoważnione do przetwarzania danych osobowych do wspólnego zaangażowania w świadome i aktywne podejście do przetwarzania danych osobowych, w tym do ich ochrony, co warunkuje możliwość efektywnego i całościowego zarządzania tym aspektem funkcjonowania firmy.

4. Podstawowe pojęcia Polityki

Użyte w Polityce Ochrony Danych Osobowych określenia oznaczają:

• Administrator Danych (wymiennie z ADO) – podmiot, który ustala cele i sposoby przetwarzania danych osobowych – co do zasady jest nim COREclinic, chyba że przetwarza on dane osobowe w imieniu innego podmiotu,
• Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
• Dokumentacja medyczna – dokumentacja medyczna, o której mowa w przepisach ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz wydanych na jej podstawie aktach wykonawczych, a także określona w przepisach odrębnych;
• Inspektor Ochrony Danych (wymiennie IOD)– osoba wyznaczona przez Administratora Danych zgodnie z właściwymi przepisami, odpowiedzialną za nadzór nad prawidłowym przetwarzaniem danych osobowych przez Administratora Danych i doradzanie Administratorowi Danych w tym zakresie,
• Odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią; organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego nie są uznawane za odbiorców,
• Osoba możliwa do zidentyfikowania jest osobą, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub pracy,
• Osoba upoważniona – osoba upoważniona do przetwarzania danych osobowych, w tym Użytkownik,
• Osoba odpowiedzialna za proces przetwarzania danych – Osoba upoważniona, wyznaczona przez Administratora Danych, do której obowiązków należy przetwarzanie danych osobowych w Zbiorze danych oraz sprawowanie nadzoru nad przetwarzaniem danych osobowych przez pracowników i współpracowników w danym Zbiorze. Osoby odpowiedzialne za proces przetwarzania danych zostały określone w załączniku nr 7 do Polityki.
• Osoba wykonująca zawód medyczny – osoba uprawniona na podstawie odrębnych przepisów do udzielania świadczeń́ zdrowotnych oraz osoba legitymująca się̨ nabyciem fachowych kwalifikacji do udzielania świadczeń́ zdrowotnych w określonym zakresie lub w określonej dziedzinie medycyny, w tym m.in. lekarz, fizjoterapeuta, i inne osoby wskazane w art. 6a ustawy o diagnostyce laboratoryjnej, farmaceuta, technik farmacji, psycholog, psychoterapeuta, fizjoterapeuta, logopeda, felczer, optometrysta, dietetyk, a także osoby wykonującej inne zawody wskazane w tabeli nr 1 załącznika nr 3 do rozporządzenia Ministra Zdrowia z dnia 20 czerwca 2008 r. w sprawie zakresu niezbędnych informacji gromadzonych przez świadczeniodawców, szczegółowego sposobu rejestrowania tych informacji oraz ich przekazywania podmiotom zobowiązanym do finansowania świadczeń́ ze środków publicznych;
• Pacjent – osoba zwracająca się̨ o udzielenie świadczeń́ zdrowotnych lub korzystającą̨ ze świadczeń́ zdrowotnych udzielanych przez podmiot udzielający świadczeń́ zdrowotnych lub Osobę wykonującą̨ zawód medyczny;
• Podmiot przetwarzający – osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora – do chwili innego rozstrzygnięcia tej okoliczności przez właściwy organ sądowy, COREclinic przyjmuje, że podmiot przetwarzający jest również odbiorcą,
• Organ nadzorczy (PUODO) – Prezes Urzędu Ochrony Danych Osobowych lub inny organ administracji publicznej, odpowiedzialny na terytorium Rzeczypospolitej Polskiej za monitorowanie stosowania przepisów o ochronie danych osobowych,
• Profilowanie – dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się,
• Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
• Publiczna sieć telekomunikacyjna – sieć telekomunikacyjna wykorzystywana do świadczenia publicznie dostępnych usług telekomunikacyjnych w rozumieniu właściwych przepisów prawa telekomunikacyjnego,
• System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych w sposób zautomatyzowany lub co najmniej częściowo zautomatyzowany,
• Świadczenie zdrowotne – działania służące zachowaniu, ratowaniu, przywracaniu lub poprawie zdrowia oraz inne działania medyczne wynikające z procesu leczenia lub przepisów odrębnych regulujących zasady ich wykonywania;
• Usuwanie danych osobowych – zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
• Użytkownik – osoba upoważniona do przetwarzania danych osobowych w systemie informatycznym;
• Zabezpieczenie danych osobowych – środki służące zapewnieniu poufności, integralności i dostępności danych osobowych;
• Zautomatyzowane podejmowanie decyzji – podejmowanie decyzji opierające się na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, która wywołuje wobec osoby skutki prawne lub w podobny sposób istotnie wpływa na tę osobę;
• Zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
• Zakres przedmiotowy i podmiotowy Polityki
  • Niniejszą Politykę stosuje się do wszystkich danych osobowych przetwarzanych w COREclinic w:

1. systemach informatycznych oraz zapisanych na zewnętrznych nośnikach informacji, w tym w szczególności w systemie PL-MED, W-Firma, Medfile na serwerach należących do Coreclinic, serwerach pocztowych, z wykorzystaniem usług chmurowych;
2. w sposób tradycyjny (w szczególności w kartotekach, rejestrach, księgach, wykazach i innych zbiorach ewidencyjnych w wersji papierowej oraz elektronicznej).
   • Wszystkie aspekty bezpieczeństwa ochrony danych osobowych, określone w niniejszym dokumencie mają zastosowanie w szczególności do:
3. istniejących, wdrażanych obecnie lub w przyszłości procesów przetwarzania danych osobowych w COREclinic;
4. informacji będących własnością COREclinic lub klientów COREclinic, o ile zostały powierzone COREclinic na podstawie umów;
5. wszystkich lokalizacji, w których są lub będą przetwarzane dane podlegające ochronie.
   • Ochronie opisanej w treści niniejszej Polityki podlegają wszystkie dane osobowe przetwarzane przez COREclinic, również te, które powierza do przetwarzania innym podmiotom oraz te, które od innych podmiotów otrzymuje na zasadzie powierzenia.
   • W zakresie podmiotowym do stosowania zasad określonych w niniejszym dokumencie zobowiązane są wszystkie osoby, które przetwarzają w COREclinic dane osobowe, to jest w szczególności: wspólnicy, pracownicy w rozumieniu przepisów kodeksu pracy, osoby współpracujące z COREclinic na podstawie umów cywilnoprawnych, konsultanci, stażyści/praktykanci oraz inne osoby mające dostęp do danych osobowych.

• Sposób i zakres udostępniania Polityki
  • Z niniejszym dokumentem powinny zapoznać się wszystkie osoby wskazane w pkt. 5.1.4. powyżej, a w szczególności Osoby upoważnione w zakresie w jakim jest to wymagane dla należytego i bezpiecznego przetwarzania danych przez Osobę upoważnioną.
  • Za rozpowszechnienie dokumentu i umożliwienie zapoznania się z nim przez wszystkich pracowników i współpracowników odpowiedzialny jest IOD lub inna osoba odpowiedzialna za ochronę w COREclinic danych osobowych, a w przypadku ich braku – komandytariusze COREclinic.

5. Administracja i organizacja bezpieczeństwa przetwarzania danych
   • Wprowadzenie

Określenie odpowiedzialności za przetwarzanie danych osobowych w COREclinic przez poszczególne osoby jest niezbędne do zapewnienia bezpieczeństwa danych.

Osobami odpowiedzialnymi za przetwarzanie danych osobowych oraz ich ochronę zgodnie z postanowieniami RODO i Polityki są:

1. Administrator Danych,
2. Inspektor Ochrony danych,
3. Administrator Systemu Informatycznego,
4. Pracownicy i współpracownicy, w tym kadra kierownicza.
   • Administrator Danych Osobowych (ADO)
     • Za bezpieczeństwo przetwarzania danych osobowych odpowiada Administrator Danych Osobowych (ADO). Administratorem Danych Osobowych jest COREclinic.
     • Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, COREclinic wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
     • Do obowiązków Administratora Danych należy również:

1. wprowadzanie do stosowania procedur zapewniających prawidłowe przetwarzanie danych,
2. nadawanie/zmiana/odbieranie uprawnień osobom upoważnionym do przetwarzania danych osobowych,
3. przyznawanie i odwoływanie upoważnień do przetwarzania danych osobowych w określonym indywidualnie zakresie. Wzór upoważnienia stanowi załącznik nr 1 do Polityki,
4. zapewnienie, że osoby upoważnione przetwarzają dane osobowe wyłącznie na polecenie COREclinic – zakazany jest dostęp do danych osobowych przetwarzanych przez COREclinic przez osoby upoważnione, jeżeli nie wiąże się to z obowiązkiem realizacji poleceń COREclinic dotyczących danych osobowych,
5. nadzorowanie, opracowanie i aktualizacja dokumentacji ochrony danych osobowych, w tym Polityki,
6. nadzorowanie przestrzegania zasad określonych w dokumentacji ochrony danych,
7. zapewnienie zapoznania osób, którym mają być nadane upoważnienia do przetwarzania danych z przepisami o ochronie danych oraz zasadami ochrony danych przyjętymi w COREclinic, w szczególności poprzez udostępnienie dokumentacji wewnętrznej dotyczącej ochrony danych osobowych obowiązującej w COREclinic, w tym Polityki oraz poprzez zorganizowanie stosownych szkoleń pracowników i współpracowników, prowadzonych przez osobę posiadającą odpowiednią wiedzę i kwalifikacje,
8. podejmowanie wszystkich niezbędnych działań w celu należytego zabezpieczenia Danych osobowych przed:

– udostępnieniem osobom nieupoważnionym,

– zabraniem przez osobę nieuprawnioną,

– niekontrolowaną zmianą, utratą,

– uszkodzeniem lub zniszczeniem.

1. zapewnienie legalności przetwarzania danych osobowych w COREclinic, a w szczególności dbanie, by przetwarzanie danych osobowych odbywało się:

– na podstawie jednej z przesłanek legalizujących, o których mowa w art. 6, 9 lub 10 RODO,

– zgodnie z obowiązującymi przepisami prawa oraz dobrymi praktykami,

– zgodnie z zasadą ograniczonego celu, tj. dane osobowe należy zbierać w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,

– zgodnie z zasadą minimalizacji danych – dane osobowe musza być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;

– zgodnie z zasadą merytorycznej poprawności – dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane;

– zgodnie z zasadą ograniczenia przechowywania – dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane;

– zgodnie z zasadą integralności i poufności – dane osobowe należy przetwarzać w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych;

1. wykazanie przestrzegania przepisów RODO zgodnie z zasadą rozliczalności,
2. powołanie Administratora Systemów Informatycznych odpowiedzialnego za bezpieczeństwo systemów informatycznych służących do przetwarzania danych osobowych oraz określenie zakresu jego zadań, jeżeli jest to niezbędne,
3. powołanie Inspektora Ochrony Danych, w przypadkach, kiedy jest to wymagane przez przepisy prawa,
4. prowadzenie ewidencji osób upoważnionych do przetwarzania Danych osobowych w COREclinic. Wzór ewidencji osób upoważnionych stanowi załącznik nr 2 do Polityki,
5. nadzorowanie i dbanie o zgodne z prawem przekazywanie danych osobowych (udostępnianie i powierzanie),
6. zapewnienie pracownikom i współpracownikom odpowiednich stanowisk pracy, w tym sprzętu informatycznego, umożliwiającego bezpieczne i zgodne z prawem przetwarzanie danych osobowych,
7. regularne przeprowadzanie wewnętrznych weryfikacji przestrzegania przepisów dotyczących ochrony danych osobowych,
8. spełnianie obowiązku informacyjnego wobec osób, których dane osobowe przetwarza,
9. respektowanie i wypełnianie praw podmiotów danych osobowych,
10. uwzględnianie ochrony danych osobowych w fazie projektowania rozwiązań,
11. podejmowanie odpowiednich działań w przypadku naruszenia lub podejrzenia naruszenia zasad bezpiecznego przetwarzania danych osobowych, w tym w stosownym przypadku wskazanym w RODO zgłaszanie naruszenia organowi nadzorczemu lub/oraz podmiotowi danych osobowych, którego naruszenie dotyczy,
12. dokonywanie oceny skutków dla ochrony danych osobowych, gdy jest to wymagane przez RODO,
13. prowadzenie rejestru czynności przetwarzania danych osobowych na podstawie art. 30 RODO. Wzór rejestru czynności przetwarzania danych osobowych, stanowi załącznik nr 3 do Polityki.
    • Administrator Danych może w stosownym dokumencie, w formie pisemnej pod rygorem nieważności, powierzyć wykonywanie swych obowiązków, które według przepisów nie są zastrzeżone wyłącznie dla niego, na inne podmioty, w szczególności na Inspektora Ochrony Danych, jeżeli został wyznaczony.

• Inspektor Ochrony Danych (IOD)
  • ADO może powołać Inspektora Ochrony Danych (IOD).
  • IOD może być członkiem personelu Administratora Danych lub wykonywać zadania na podstawie umowy o świadczenie usług.
  • Administrator Danych publikuje dane kontaktowe IOD i zawiadamia o nich organ nadzorczy.
  • Osoby, których dane dotyczą, mogą kontaktować się z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy przepisów RODO.
  • IOD jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.
  • Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w Polityce i w przepisach RODO.
  • Poza podstawowymi zadaniami IOD polegającymi na doradzaniu COREclinic i nadzorze nad prawidłowym przetwarzaniem danych osobowych w COREclinic, IOD zobowiązany jest również do:

1. monitorowania przestrzegania przepisów powszechnie obowiązującego prawa oraz dokumentów wewnętrznych COREclinic w dziedzinie ochrony danych osobowych, w tym podziału obowiązków między poszczególne osoby, podejmowania działań zwiększających świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz przeprowadzania powiązanych z tym audytów,
2. udzielania – na żądanie – zaleceń co do oceny skutków przetwarzania dla ochrony danych (DPIA) oraz monitorowania jej wykonania zgodnie z przepisami RODO,
3. współpracy z organem nadzorczym,
4. pełnienia funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami w zakresie DPIA, oraz w stosownych przypadkach prowadzenia konsultacji we wszelkich innych sprawach.
   • IOD wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
   • IOD zostaje powołany uchwałą wspólników COREclinic.
   • Inspektor Ochrony Danych może wykonywać inne zadania i obowiązki, jeżeli nie będą one powodowały konfliktu interesów, m.in. może:
5. na żądanie Administratora Danych, w zakresie posiadanych możliwości, dokonywać działań zmierzających do zwiększenia świadomości pracowników i współpracowników w zakresie ochrony danych osobowych,
6. na żądanie Administratora Danych udzielać mu zaleceń co do oceny skutków dla ochrony danych oraz monitorować jej wykonanie,
7. współpracować z organem nadzorczym w imieniu i na rzecz Administratora Danych,
8. regularnie przeprowadzać weryfikację przestrzegania w COREclinic przepisów dotyczących ochrony danych osobowych i w razie rozpoznania nieprawidłowości raportowanie ich do wspólników COREclinic,
9. aktualizować obowiązującą w COREclinic dokumentację związaną z ochroną danych osobowych,
10. wspierać Administratora Danych w przygotowaniu odpowiednich klauzul zawierających obowiązek informacyjny Administratora wobec osób, których dane osobowe przetwarza,
11. wspierać Administratora Danych w przygotowaniu klauzul zgód na przetwarzanie danych osobowych, w przypadku, gdy zgoda jest wymagana,
12. wspierać Administratora Danych w wykonywaniu praw osób, których dane osobowe przetwarza,
13. prowadzić w imieniu Administratora Danych rejestr czynności przetwarzania danych osobowych,
14. prowadzić w imieniu Administratora Danych rejestr podmiotów, którym powierzono przetwarzanie danych,
15. sporządzać umowy powierzenia przetwarzania danych,
16. przygotowywać rekomendacje w przedmiocie umów powierzenia przetwarzania danych zawieranych w relacjach z kontrahentami,
17. konsultować z osobami odpowiedzialnymi za wdrożenie w COREclinic nowych usług i produktów, które wymagają uwzględnienia ochrony danych osobowych w fazie projektowania, np. utworzenia strony internetowej, Polityki Prywatności, automatyzacji mailingu,
18. przeprowadzanie postępowania wyjaśniającego i zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu w przypadkach, w których jest to obowiązkowe,
19. zawiadamianie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych w przypadku, gdy występuje taki obowiązek,
20. dokumentowanie wszelkich czynności wykonywanych w zakresie ochrony danych osobowych niezbędnych w wypełnieniu obowiązków ochrony danych osobowych, zgodnie z zasadą rozliczalności.

• Administrator Systemów Informatycznych (ASI)
  • Dla każdego systemu informatycznego, w którym są dokonywane czynności przetwarzania danych osobowych, Administrator Danych wyznacza Administratora Systemu Informatycznego, odpowiedzialnego za sprawność, konserwację oraz wdrażanie i stosowanie informatycznych i technicznych zabezpieczeń tego systemu.
  • Obowiązki ASI wynikające z umowy oraz uregulowań wewnętrznych COREclinic, uprawniają go do wykonywania czynności i realizowania zadań związanych wyłącznie z tym systemem informatycznym, do administrowania, którego został wyznaczony.
  • Dokument wyznaczający Administratora Systemu Informatycznego winien precyzować nazwę systemu informatycznego służącego do jego przetwarzania, kategorie Danych Osobowych Przetwarzanych w systemie, okres pełnienia ww. funkcji, obszar przetwarzania danych oraz w miarę możliwości wskazywać pomieszczenie serwerowni. Wzór dokumentu wyznaczającego ASI (Załącznik nr 4 do Polityki) i stanowi podstawę do nadania upoważnienia do przetwarzania Danych osobowych dla ASI.
  • ASI realizuje zadania w zakresie bezpieczeństwa informacji i ochrony danych osobowych przetwarzanych przy użyciu administrowanego systemu informatycznego. Do obowiązków ASI należy w szczególności:

1. rejestrowanie i wyrejestrowywanie użytkowników systemu informatycznego oraz zmiana ich uprawnień na podstawie nadanych przez Administratora Danych upoważnień,
2. przestrzeganie opracowanych dla systemu procedur bezpieczeństwa,
3. utrzymywanie systemu w sprawności technicznej zapewniającej dostępność informacji,
4. konfiguracja urządzeń wchodzących w skład systemu informatycznego,
5. konfiguracja i aktualizacja oprogramowania (w tym oprogramowania antywirusowego),
6. nadzór nad właściwym użytkowaniem oraz serwisowaniem urządzeń i oprogramowania,
7. wykonywanie kopii bezpieczeństwa (zapasowych) baz danych oraz oprogramowania,
8. przedkładanie Administratorowi Danych raz na 3 miesiące zestawienia użytkowników administrowanego systemu informatycznego,
9. współpraca z Administratorem Danych oraz Inspektorem Ochrony Danych przy opracowywaniu i aktualizowaniu Polityki, a także w sytuacjach (podejrzenia) naruszenia bezpieczeństwa danych osobowych w systemie informatycznym.
   • Nadzór nad wykonywaniem obowiązków ASI w zakresie bezpieczeństwa danych osobowych pełni Administrator Danych.
   • Osoba wyznaczona na Administratora Systemu Informatycznego przestaje pełnić tę funkcję z dniem określonym w dokumencie wyznaczającym, z dniem rozwiązania stosunku umownego lub z dniem odwołania z funkcji ASI przez Administratora Danych.
   • Administrator Danych może odwołać ASI z pełnienia ww. funkcji w każdej chwili oraz bez podania przyczyny.
   • Wzór dokumentu odwołującego ASI zawiera Załącznik nr 5 do niniejszej Polityki. Dokument ten stanowi podstawę do anulowania upoważnienia do przetwarzania danych osobowych dla ASI.
   • Osobę, która przestała pełnić funkcję ASI, obowiązuje zakaz wykonywania jakichkolwiek czynności administracyjnych w systemie informatycznym, z dniem, z którym przestał pełnić tę funkcję.

• Osoby upoważnione/Użytkownicy
  • Osoba umocowana przez Administratora Danych przed przystąpieniem przez pracownika lub współpracownika do świadczenia pracy/świadczenia usług wydaje takiej osobie upoważnienie, które określa zakres dostępu tej osoby do danych osobowych oraz sposób ich przetwarzania, w szczególności kompetencje i uprawnienia tej osoby w systemach informatycznych jak również okres na jaki upoważnienie jest udzielane zgodnie ze wzorem stanowiącym Załącznik nr 1 do Polityki („Upoważnienie”).
  • Upoważnienie nadawane jest w formie pisemnej i jeżeli dotyczy przetwarzania danych osobowych szczególnych kategorii (art. 9 ust. 1 RODO) wymaga określenia kategorii tych danych osobowych.
  • Administrator Danych zobowiązany jest zadbać, aby osoby upoważnione do przetwarzania danych osobowych miały możliwość zaznajomienia się z postanowieniami Polityki oraz przepisami RODO zanim otrzymają stosowne Upoważnienie. Po zapoznaniu się z powyższymi regulacjami osoba ta potwierdza ten fakt w pisemnym oświadczeniu będącym częścią Upoważnienia.
  • Osoba, która otrzymała Upoważnienie do przetwarzania danych osobowych jest zobowiązana do zachowania poufności. Oświadczenie o zobowiązaniu się do zachowania poufności stanowi część Upoważnienia. Obowiązek zachowania danych osobowych w poufności trwa również po zakończeniu współpracy z COREclinic.
  • Utrata uprawnień do przetwarzania danych osobowych wynikających z Upoważnienia następuje w wyniku m.in.:

1. rozwiązania stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z COREclinic,
2. umyślnego naruszenia postanowień Polityki lub przepisów RODO.
   • W przypadku utraty uprawnień do przetwarzania danych osobowych osoba umocowana przez Administratora Danych niezwłocznie anuluje Upoważnienie oraz dokona zmiany w ewidencji osób upoważnionych do przetwarzania danych.
   • Administrator danych prowadzi ewidencję nadanych upoważnień w formie elektronicznej. Ewidencja zawiera dane identyfikujące dokumenty upoważnień co najmniej w zakresie: osoby, której dotyczy upoważnienie, daty nadania upoważnienia, osoby wydającej upoważnienie.
   • Jeśli nadane Upoważnienie implikuje zarejestrowanie pracownika lub współpracownika w Systemie Informatycznym, Administrator Systemu Informatycznego dokonuje procesu rejestracji w systemie, na podstawie ww. Upoważnienia, nadając Użytkownikowi identyfikator, wstępne hasło dostępu oraz uprawnienia zgodne z zakresem wyszczególnionym w Upoważnieniu (na podstawie treści Upoważnienia), aktualizując jednocześnie ewidencję Użytkowników Systemów informatycznych.
   • Systemy informatyczne odnotowują historię zmian w zakresie uprawnień́ do przetwarzania nadawanych poszczególnym Użytkownikom, z uwzględnieniem czasu na jaki uprawnienie zostało nadane i osoby odpowiedzialnej za nadanie uprawnienia. Systemy informatyczne za pomocą których dokonuje się przetwarzania lub narzędzia uzupełniające ten system w zakresie monitorowania czynności przetwarzania danych umożliwiają włączenie informacji o uprawnieniach nadanych użytkownikom do analizy pozwalającej na zweryfikowanie czasu, zakresu i użytkownika systemu przetwarzającego dane. Dodatkowo w celu monitorowania dostępu do przetwarzanych danych w systemach IT, wskazane jest aby operacje przetwarzania wykonywane z użyciem systemu informatycznego były odnotowane automatycznie w dedykowanym rejestrze elektronicznym, a systemy informatyczne za pomocą których dokonuje się przetwarzania lub narzędzia uzupełniające te systemy w zakresie monitorowania czynności przetwarzania danych, umożliwiały wykonanie bieżącej analizy pozwalającej na zweryfikowanie czasu, zakresu i Użytkownika.
   • Każda Osoba upoważniona zobowiązana jest do postępowania z danymi osobowymi w sposób zgodny z niniejszą Polityką, w szczególności zobowiązana jest do zachowania poufności, integralności i dostępności danych osobowych przetwarzanych przez COREclinic, do których ma dostęp a także zobowiązana jest do stosowania się do obowiązujących przepisów w zakresie, w jakim wynika to z jej obowiązków względem COREclinic.
   • Osoba upoważniona zobowiązana jest m.in. do ochrony danych przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub utratą.
   • Osoba upoważniona w trakcie oraz po zakończeniu współpracy z COREclinic ma obowiązek ochrony wszelkich informacji dotyczących funkcjonowania systemów i urządzeń służących do przetwarzania w danych osobowych przez COREclinic oraz sposobów zabezpieczania danych.
   • Do obowiązków Osoby upoważnionej należy również:
3. udział w szkoleniach organizowanych przez lub na zlecenie COREclinic oraz zapoznanie się z regulacjami dotyczącymi zasad ochrony danych osobowych w zakresie niezbędnym do wykonywania swoich obowiązków przed przystąpieniem do przetwarzania danych,
4. przetwarzanie danych wyłącznie na polecenie COREclinic– niedopuszczalny jest dostęp do danych przetwarzanych przez COREclinic bez uzasadnionej przyczyny wynikającej z realizacji obowiązków ciążących na Osobie upoważnionej,
5. informowanie IOD albo osoby zajmującej się w COREclinic ochroną danych osobowych o  wszelkich podejrzeniach naruszenia lub naruszeniach, a także potencjalnych podatnościach i związanych z nimi zagrożeniach w zakresie przetwarzania danych osobowych.
   • Każda Osoba upoważniona – przed dopuszczeniem do przetwarzania danych osobowych – podlega przeszkoleniu w zakresie ochrony danych osobowych, w celu spełnienia wymogów wynikających z niniejszej Polityki, jak i przepisów prawa w zakresie dotyczącym jest obowiązków względem COREclinic.
   • Wszystkie Osoby upoważnione podlegają okresowym szkoleniom w zakresie ochrony danych stosownie do potrzeb wynikających z prowadzonej przez COREclinic działalności gospodarczej, w tym m.in. wynikających ze zmian w systemie informatycznym (wymiana sprzętu na nowszej generacji, zmiana oprogramowania) oraz w związku ze zmianą przepisów o ochronie danych osobowych lub zmian wewnętrznych regulacji.
   • Upoważnienia przechowywane są przez COREclinic przez cały okres współpracy z Osobą upoważnioną albo przez cały okres trwania umowy łączącej ją z ADO, a następnie przez okres 5 pełnych lat kalendarzowych, licząc od daty zakończenia współpracy. W przypadku zmiany zakresu obowiązków COREclinic pobierze od osoby upoważnionej nowe Upoważnienie.
   • Osoby upoważnione uprawnione i jednocześnie zobowiązane są do przedstawiania swoich uwag i propozycji dotyczących wprowadzania zmian w zakresie funkcjonowania urządzeń i systemów wykorzystywanych do przetwarzania danych osobowych oraz metodyki przetwarzania danych osobowych w celu poprawy bezpieczeństwa przetwarzanych tych danych.
   • Wobec faktu, że żadne zabezpieczenie techniczne nie gwarantuje pełnego bezpieczeństwa danych, konieczne jest, aby każda Osoba upoważniona mająca styczność z danymi osobowymi przetwarzanymi przez COREclinic była świadoma swojej odpowiedzialności za nie, a także minimalizowała zagrożenia wynikające z błędów ludzkich.
   • Wobec osób, które nie stosują się do zapisów niniejszej Polityki lub do przepisów RODO bądź innych obowiązujących przepisów prawa w zakresie, w jakim osoby te zostały zapoznane z tymi regulacjami i zobowiązały się do ich stosowania, w tym w szczególności w zakresie, w jakim wymaga tego stanowisko zajmowane przez Osobę upoważnioną, COREclinic może wyciągnąć konsekwencje przewidziane we właściwych przepisach prawa w zależności od rodzaju i skutków naruszeń.

6. Przetwarzanie danych osobowych na podstawie zgody
   • Przetwarzanie danych osobowych w COREclinic na podstawie zgody osoby, będzie występowało stosunkowo rzadko. Może mieć niekiedy miejsce w przypadku braku innych podstaw prawnych przetwarzania w szczególności w następujących sytuacjach:
7. Przetwarzanie danych w celach marketingowych COREclinic, np. wizerunku w celu zamieszczenia na stronie www COREclinic lub adresu e-mail w celu przesyłania informacji o promocjach/rabatach na usługi; przy czym za przetwarzanie danych osobowych w celach marketingowych nie uznaje się przetwarzania danych służącego bezpośrednio realizacji celów zdrowotnych wskazanych w art. 9 ust. 2 lit. h RODO, nawet jeśli skutkiem tego przetwarzania jest zwiększenie popytu na usługi świadczone przez COREclinic;
8. Przetwarzanie danych osobowych odbywa się w związku ze zautomatyzowanym podejmowaniem decyzji w indywidualnych sprawach lub przekazywaniem danych osobowych do państwa trzeciego, o ile COREclinic w inny sposób wskazany w przepisach RODO nie zabezpiecza przekazywania danych osobowych do państwa trzeciego.
   • Administrator Danych prowadzi rejestr udzielonych zgód w formie elektronicznej. Rejestr zawiera dane identyfikujące dokumenty zgód w zakresie: osoby, której dotyczy zgoda, okresu obowiązywania zgody, osoby przyjmującej zgodę, datę przyjęcia zgody. Rejestr stanowi załącznik nr 7 do Polityki.
   • Zgoda osoby powinna zostać udzielona odrębnie w stosunku do każdego z celów, w których jej Dane osobowe zostaną wykorzystane.
   • W celu wykazania, iż osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych, Administrator Danych powinien uzyskać zgodę w pisemnym oświadczeniu lub w inny sposób umożliwiający wykazanie, iż dana osoba wyraziła zgodę.
   • Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na:
9. zaznaczeniu okienka wyboru podczas przeglądania strony internetowej,
10. na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też,
11. na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych,
12. milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie oznaczają zgody.
    • Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Osoba której dane dotyczą powinna uzyskać informacje, jakie są konsekwencje niewyrażenia zgody na przetwarzanie danych na cele dodatkowe, w szczególności, że nie będzie to mieć wpływu na możliwość uzyskania świadczeń zdrowotnych i ich jakość.
    • Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Wycofanie zgody może nastąpić, w szczególności, w formie ustnej lub pisemnej, poprzez zaznaczenie okienka wyboru na formularzu lub w systemie informatycznym, przy którym są wskazane treści zgód lub poprzez wybór określonych ustawień technicznych w systemie informatycznym, w zależności od rozwiązań przyjętych przez Administratora Danych.
    • Wyrażenia przez osobę zgody nie można uzależniać od wykonania umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
    • W związku z obowiązkiem zachowania zasady rozliczalności przez Administratora Danych, za przestrzeganie ww. zasady w odniesieniu do przetwarzania danych osobowych na podstawie zgody osoby, której dane dotyczą, należy uznać, w szczególności: archiwizowanie pisemnych oświadczeń woli, rejestrowanie rozmów telefonicznych, dokonywanie kopii zapasowych (back-up’ów lub zrzutów z ekranu), odznaczenie odpowiednich symboli (tick’ów) w bazach danych, posiadanie stosownych polityk i procedur wewnętrznych oraz notatek z przebiegu spotkań.

7. Osoby, których dane dotyczą
   • COREclinic zapewnia, wymagając tego również od swoich współpracowników i podwykonawców, że prawa i wolności osób, których dane pozostają w dyspozycji COREclinic są w całości respektowane przez COREclinic.
   • Ochrona praw i wolności naszych klientów, współpracowników jak i innych osób, których dane znajdują się w COREclinic pozostaje jednym z głównych założeń, na których COREclinic buduje swoją markę, dążąc do zrównoważonego rozwoju prowadzonej działalności.
   • Każdej osobie, której dotyczą dane osobowe przetwarzane są w COREclinic, przysługuje prawo:
8. dostępu do treści przetwarzanych przez COREclinic. danych osobowych tej osoby jeżeli przetwarza dane jej dotyczące oraz w takim przypadku do uzyskania następujących informacji:

– cele przetwarzania;

– kategorie odnośnych danych osobowych;

– informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych a jeżeli ma miejsce przekazywanie danych do państw trzecich lub organizacji międzynarodowych informacje o odpowiednich zabezpieczeniach związanych z przekazaniem;

– w miarę możliwości – planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe – kryteria ustalania tego okresu;

– informacje o prawie do żądania od COREclinic sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

– informacje o prawie wniesienia skargi do organu nadzorczego;

– jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

– informacje o zautomatyzowanym podejmowaniu decyzji wywołujących skutki prawne wobec tej osoby lub podobnie istotnie na nią wpływających, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą,

1. sprostowania treści przetwarzanych danych osobowych tej osoby,
2. z uwzględnieniem celu przetwarzania, uzupełnienia niekompletnych danych jej dotyczących,
3. usunięcia danych w przypadkach przewidzianych w art. 17 RODO,
4. żądania ograniczenia przetwarzania danych w przypadkach przewidzianych w art. 18 RODO,
5. zapewnienia przenaszalności jej danych poprzez przekazanie w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych jej dotyczących, które dostarczyła COREclinic oraz realizację żądania przesłania przez COREclinic bezpośrednio innemu administratorowi tych danych osobowych (o ile jest to technicznie możliwe), jeżeli przetwarzanie jest dokonywane przez COREclinic w sposób zautomatyzowany i jednocześnie odbywa się na podstawie zgody osoby, której dane dotyczą lub na podstawie umowy z COREclinic,
6. do sprzeciwienia się przetwarzaniu jej danych osobowych z przyczyn związanych z jej szczególną sytuacją, jeżeli przetwarzanie odbywa się z uwagi na niezbędność:

– w zakresie wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej albo

– celów wynikających z prawnie uzasadnionych interesów realizowanych przez COREclinic lub przez stronę trzecią,

1. w przypadku przetwarzania danych osoby, której one dotyczą na potrzeby marketingu bezpośredniego, osoba ta, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania w tych celach bez potrzeby wykazywania jakiejkolwiek szczególnej sytuacji.
   • COREclinic zobowiązany jest do poinformowania każdego swojego odbiorcę danych o dokonanym sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
   • COREclinic zobowiązany jest podać osobie, której dane dotyczą, w przypadku zbierania danych od tej osoby wszystkie informacje wskazane w art. 13 ust. 1 i ust. 2 RODO, chyba że osoba ta dysponuje już tymi informacjami. Obowiązek informacyjny winien być zrealizowany podczas pozyskiwania danych.
   • COREclinic zobowiązany jest podać osobie, której dane dotyczą, w przypadku zbierania danych nie od osoby, której dane dotyczą wszystkie informacje wskazane w art. 14 ust. 1 i ust. 2 RODO, chyba że osoba ta dysponuje już tymi informacjami. Obowiązek informacyjny winien być zrealizowany w rozsądnym terminie po uzyskaniu danych osobowych, najpóźniej w ciągu miesiąca lub jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą , najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą lub gdy planuje się ujawnić dane osobowe innemu odbiory – najpóźniej przy pierwszym ich ujawnieniu.
   • Realizacja przez COREclinic praw osób, których dane dotyczą jest co do zasady wolna od opłat za wyjątkiem sytuacji przewidzianych w obowiązujących przepisach prawa.

8. Prawa Pacjentów
   • Wszelką komunikację z Pacjentem w zakresie realizacji jego praw jako podmiotu danych Administrator Danych prowadzi:
9. w języku polskim;
10. w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem;
11. w formie pisemnej, ustnej lub elektronicznej;
12. w terminach określonych w art. 12 ust. 3 i 12 ust. 4 RODO.
    • W przypadku, w którym Pacjent nie posługuje się językiem polskim, Administrator Danych– w miarę możliwości finansowych i organizacyjnych oraz przy uwzględnieniu dostępności tłumaczy danego języka – może podjąć działania w celu zapewnienia Pacjentowi możliwości otrzymania informacji również w języku znanym Pacjentowi.
    • Wszelką komunikację z Pacjentem w zakresie realizacji jego praw jako podmiotu danych należy podejmować po ustaleniu tożsamości Pacjenta na zasadach określonych Regulaminie Organizacyjnym.
    • Komunikacja z Pacjentem w zakresie realizacji jego praw jako podmiotu danych jest wolna od opłat.
    • W przypadku żądań Pacjenta podejmowanych na podstawie art. 15-22 RODO ewidentnie nieuzasadnionych lub nadmiernych, w szczególności ze względu na swój ustawiczny charakter, Administrator Danych może pobrać opłatę lub odmówić podjęcia działań. Przy ustaleniu wysokości opłaty uwzględnia się administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań. Opłata może mieć charakter zryczałtowany i być ustalona w formie cennika dostępnego dla Pacjentów.
    • Za ewidentnie nieuzasadnione lub nadmierne żądania Pacjenta, które uzasadniają pobranie opłaty bądź odmowę podjęcia działań, uznaje się w szczególności skierowane do Administratora Danych:
13. żądania o informacje częściej niż raz na 3 miesiące, jeżeli zakres danych przetwarzanych przez Administratora Danych bądź inne okoliczności związane z przetwarzaniem nie ulegały zmianie od czasu złożenia poprzedniego żądania;
14. żądania o informacje dzielone sztucznie na kilka lub kilkanaście żądań;
15. żądanie szczególnego, niestandardowego formatu odpowiedzi;
16. żądanie udzielenia odpowiedzi w języku innym niż polski.
    • Za ewidentnie nieuzasadnione lub nadmierne żądania osoby, które uzasadniają odmowę ich zrealizowania, uznaje się w szczególności:
17. żądanie informacji, których przekazanie spowodowałyby nieuprawnione ujawnienie tajemnicy przedsiębiorstwa, tajemnicy zawodowej personelu medycznego lub danych osobowych innego Pacjenta lub innej tajemnicy prawnie chronionej;
18. składanie żądania częściej niż raz na miesiąc, jeżeli zakres danych przetwarzanych przez Administratora Danych bądź inne okoliczności związane z przetwarzaniem istotne dla przedmiotu żądania nie ulegały zmianie od czasu złożenia poprzedniego żądania (ustawiczny charakter żądania);
    • Administrator Danych zobowiązany jest do każdorazowego uzasadnienia i podania do wiadomości osoby zgłaszającej żądanie przyczyny pobrania opłaty lub odmowy podjęcia działań poprzez wskazanie, dlaczego w jego ocenie żądania są ewidentnie nieuzasadnione lub nadmierne.
    • Zasady weryfikacji tożsamości Pacjentów określa Regulamin Organizacyjny.
    • Administrator Danych zobowiązany jest do zweryfikowania tożsamości Pacjenta przed:
19. utrwaleniem danych osobowych zebranych bezpośrednio od Pacjenta, w szczególności w związku z udzielaniem świadczeń zdrowotnych, chyba że ustalenie tożsamości przed uzyskaniem świadczenia nie jest możliwe i mogłoby istotnie utrudnić lub uniemożliwić uzyskanie świadczenia;
20. realizacją żądań Pacjentów wynikających z art. 15-22 RODO;
21. udostępnieniem Pacjentowi informacji zawartych w Dokumentacji medycznej i/lub informacji objętych tajemnicą osób wykonujących zawody medyczne zgodnie z art. 13 Ustawy o prawach pacjenta w związku z realizacją prawa Pacjenta do informacji i prawa do Dokumentacji medycznej.

9. Obowiązek informacyjny względem Pacjentów w przypadku zbierania danych bezpośrednio od nich (art. 13 RODO)
   • Administrator Danych przekazuje Pacjentom informacje, o których mowa w art. 13 RODO w zwięzłej, przejrzystej, zrozumiałej oraz łatwo dostępnej formie, a także jasnym i prostym językiem, w tym w formie graficznej.
   • Obowiązek informacyjny jest zrealizowany poprzez:
10. umieszczenie klauzul informacyjnych w dokumentach przekazywanych Pacjentowi,
11. umieszczenie klauzul informacyjnych na stronie internetowej Administratora Danych,
12. umieszczenie informacji w Regulaminie Organizacyjnym COREclinic, który jest dostępny w recepcji COREclinic.
    • Administrator Danych zobowiązany jest realizować zasadę rozliczalności w zakresie spełnienia obowiązku informacyjnego poprzez archiwizację plików (w tym wzorów i zdjęć) i dokumentów, które dowodzą że obowiązek informacyjny wobec Pacjentów został zrealizowany. Informacje udostępnione Pacjentowi w celu realizacji obowiązku informacyjnego zawierają datę ostatniej aktualizacji.
    • Obowiązku informacyjnego wobec Pacjentów nie trzeba realizować jeśli Pacjent posiada już stosowne informacje.

10. Prawo Pacjenta do dostępu do danych (art. 15 RODO)
    • Prawo Pacjenta do dostępu do danych osobowych, o którym mowa w art. 15 RODO, jest prawem odrębnym od prawa Pacjenta do informacji o swoim stanie zdrowia, o którym mowa w art. 9 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz od prawa dostępu do Dokumentacji medycznej, o którym mowa w art. 23 ust. 1 ustawy o prawach pacjenta.
    • Pacjent ma prawo swobodnego wyboru podstawy oraz zakresu żądania związanego z dostępem do informacji na jego temat przetwarzanych przez Administratora Danych
    • Administrator Danych informuje Pacjenta o możliwości uzyskania nieodpłatnej pierwszej kopii przetwarzanych danych osobowych, w tym danych zawartych w Dokumentacji medycznej zgodnie z art. 15 ust. 3 RODO, w terminie wskazanym w art. 12 ust. 3 RODO ze wskazaniem zakresu tego prawa, w sposób wskazany w pkt. 7.2. lub w inny sposób, nie później niż na etapie ubiegania się o realizację tego prawa.
    • Skierowanie przez Pacjenta żądania udostępnienia informacji o stanie zdrowia bądź Dokumentacji medycznej, bez wskazania, że Pacjent zamierza zrealizować prawo dostępu do danych osobowych, o którym mowa w art. 15 RODO, rodzi obowiązki wskazane odpowiednio w art. 9 lub art. 23 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.
    • W przypadku, w którym Pacjent jednoznacznie powołuje się na prawo dostępu do danych osobowych, o którym mowa w art. 15 RODO, w zależności od zakresu wskazanego w żądaniu, Pacjent jest uprawniony do:
11. uzyskania od Administratora Danych potwierdzenia, czy Administrator Danych przetwarza jego dane osobowe, a jeżeli ma to miejsce,
12. uzyskania dostępu do tych danych oraz informacji wskazanych w art. 15 ust. 1 lit. a – h oraz art. 15 ust. 2 RODO,
13. uzyskania od Administratora Danych kopii danych osobowych podlegających przetwarzaniu, w tym kopii danych zawartych w Dokumentacji medycznej oraz innych danych osobowych Pacjenta (ale nie wyciągu lub odpisu). Udostępnianie danych zawartych w Dokumentacji medycznej zgodnie z art. 15 ust. 3 nie jest równoznaczne z obowiązkiem udostępniania danych w formacie i strukturze właściwej dla Dokumentacji medycznej.
    • Przed udostępnieniem Pacjentowi żądanych informacji, w szczególności zaś przed udzieleniem Pacjentowi dostępu do danych osobowych lub wydaniu Pacjentowi kopii danych osobowych, w tym w formie elektronicznej, Administrator Danych weryfikuje tożsamość Pacjenta na zasadach określonych w Regulaminie Organizacyjnym.
    • Jeżeli wykonywanie prawa dostępu do danych osobowych na podstawie art. 15 RODO wiąże się z udostępnieniem Pacjentowi kopii Dokumentacji medycznej, fakt ten jest odnotowywany w wykazie wskazanym w art. 27 ust. 4 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta wraz ze wskazaniem, że do udostępnienia doszło na podstawie tego artykułu.
    • W przypadku realizacji prawa do informacji zgodnie z art. 15 ust. 3 poprzez udostępnienie kopii Dokumentacji medycznej, przekazanie Pacjentowi zawartych w jego Dokumentacji medycznej danych osobowych innych osób, w szczególności osób wykonujących zawód medyczny, dokonujących wpisu do Dokumentacji medycznej bądź osób upoważnionych do dostępu do Dokumentacji medycznej jest dopuszczalne.
    • Upoważnienie, o którym mowa w art. 26 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta nie stanowi podstawy do realizacji przez osobę upoważnioną prawa Pacjenta do dostępu do danych zgodnie z art. 15 RODO.
    • Zgodnie z art. 15 ust. 3 RODO, nieodpłatnemu udostępnieniu podlega pierwsza kopia przetwarzanych danych. Administrator Danych może pobierać opłatę od kolejnych kopii. Za kolejne kopie uznaje się w szczególności Dokumentację medyczną w zakresie w jakim była uprzednio udostępniona (uprzednio udostępnione i niezmienione dokumenty Dokumentacji medycznej)
    • Za rozsądną wysokość opłaty, o której mowa w art. 15 ust. 3 RODO uznaje się opłatę nie wyższą, niż opłaty wskazane w art. 28 ust. 4 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Administrator Danych może pobrać opłatę wyższą jeżeli uzasadniają to udokumentowane, istotne koszty administracyjne.
    • Kopię danych, w tym kopię Dokumentacji medycznej, zgodnie z art. 15 ust. 3 można przekazać w postaci elektronicznej w szczególności poprzez przesłanie danych na adres e-mail wskazany przez Pacjenta lub inny powszechnie stosowany sposób transmisji danych. W przypadku niewskazania adresu email lub innego sposobu transmisji elektronicznej Administrator Danych zwraca się do Pacjenta o wskazanie adresu e-mail lub innego powszechnie stosowanego sposobu transmisji elektronicznej informując jednocześnie Pacjenta o najczęstszych zagrożeniach związanych z transmisją elektroniczną.
    • Administrator Danych dowolnie zabezpiecza transmisję danych w postaci elektronicznej zgodnie z przeprowadzoną analizą ryzyka, przy czym poziom bezpieczeństwa nie może być niższy od poziomu bezpieczeństwa gwarantowanego przez minimalne zabezpieczenie:
14. Minimalnym zabezpieczeniem przekazania danych w postaci elektronicznej, przesłanych na adres e-mail wskazany przez Pacjenta lub inny powszechnie stosowany sposób transmisji elektronicznej, jest zabezpieczenie składające się z następujących elementów:

– uprzednie poinformowanie Pacjenta o zagrożeniach dotyczących ochrony danych osobowych związanych z proponowanym kanałem komunikacji;

– utworzenie plików zawierających zaszyfrowane informacje za pomocą programu kompresującego 7-Zip;

– podczas tworzenia pliku należy wprowadzić hasła zabezpieczające plik;

– do odszyfrowania przez Pacjenta przekazanej w skompresowanym pliku informacji niezbędne jest wprowadzenie klucza kryptograficznego (hasła), który został użyty podczas jego tworzenia. Klucz taki powinien zostać przesłany do odbiorcy innym, bezpiecznym kanałem komunikacji. Bezpiecznym kanałem komunikacyjnym do przekazania hasła jest np. sms przesłany na telefon Pacjenta, przekazanie hasła pocztą tradycyjną, przekazanie hasła do rąk własnych Pacjenta lub osoby przez niego upoważnionej.

11. Prawo Pacjenta do sprostowania i uzupełnienia danych osobowych (art. 16 RODO)
    • Pacjent ma prawo zażądać w każdym momencie niezwłocznego sprostowania danych osobowych go dotyczących, które przetwarza Administrator Danych. Pacjent ma również prawo żądania uzupełnienia niekompletnych danych osobowych na jego temat przetwarzanych przez Administratora Danych, w tym poprzez przedstawienie dodatkowego oświadczenia.
    • Pacjent ma prawo zażądać niezwłocznego sprostowania lub uzupełnienia danych osobowych zawartych w Dokumentacji medycznej wyłącznie w zakresie w jakim nie będzie prowadzić to do naruszenia autonomii zawodowej osoby wykonującej zawód medyczny, która dokonywała wpisu do Dokumentacji medycznej.
    • Wraz z wykonaniem żądania Pacjenta dotyczącego sprostowania lub uzupełnienia danych osobowych, Administrator Danych dokonuje oceny istotności i charakteru wprowadzonych sprostowań i uzupełnień:
12. jeżeli niepoinformowanie określonych odbiorców danych o zmianach będzie nieść za sobą zagrożenie dla życia lub zdrowia Pacjenta, Administrator Danych niezwłocznie; informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16 RODO, każdego z tych odbiorców, którym ujawnił dane osobowe, chyba że okaże się to niemożliwe. Administrator Danych informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda;
13. jeżeli niepoinformowanie określonych odbiorców danych o zmianach nie będzie niosło za sobą zagrożenia dla życia i zdrowia Pacjenta, Administrator Danych informuje każdego z tych odbiorców, którym ujawnił dane osobowe Pacjenta o zakresie dokonanych zmian, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Dla uniknięcia wątpliwości interpretacyjnych, za działania wymagające niewspółmiernie dużego wysiłku w sytuacji wskazanej w zdaniu poprzednim uważa się w szczególności następujące działania wobec odbiorców:

– poinformowanie o zmianach odbiorców, z którymi nie jest możliwy kontakt drogą e-mailową, lub;

– poinformowanie o zmianach odbiorców, których tożsamości Administrator Danych nie zna w chwili dokonania sprostowania lub usunięcia zgodnie z art. 16 RODO, lub;

– poinformowanie o zmianach odbiorców, którym udostępniono dane osobowe wcześniej, niż na rok od chwili dokonania sprostowania lub usunięcia danych.

12. Prawo Pacjenta do usunięcia danych – „bycia zapomnianym” (art. 17 RODO)
    • Prawo Pacjenta do bycia zapomnianym nie znajduje zastosowania wobec danych osobowych Pacjentów przetwarzanych na podstawie art. 9 ust. 2 lit h RODO, w szczególności wobec danych przetwarzanych w ramach Dokumentacji medycznej prowadzonej i przechowywanej przez okres wskazany w art. 29 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz innych przepisach dotyczących okresu przechowywania Dokumentacji medycznej.
    • Administrator Danych odmawia zrealizowania prawa Pacjenta do bycia zapomnianym w odniesieniu do danych osobowych zawartych w Dokumentacji medycznej przez cały wymagany przepisami prawa okres archiwizacji Dokumentacji medycznej powołując się na przepis art. 29 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta lub inne przepisy dotyczące okresu przechowywania Dokumentacji medycznej w zw. z art. 17 ust. 3 lit. b) RODO.
    • W przypadku gdy przetwarzanie danych osobowych Pacjenta odbywa się na podstawie zgody Pacjent może zrealizować prawo do bycia zapomnianym (usunięcia danych) w zakresie celu, w którym dane osobowe Pacjenta są przetwarzane na podstawie tej zgody, pod warunkiem że zachodzi przynajmniej jedna z przesłanek wskazanych w art. 17 ust. 1 RODO.
    • W przypadku usunięcia przez Administratora Danych danych zawartych w Dokumentacji medycznej w związku z żądaniem Pacjenta złożonym po upływie terminu przechowywania Dokumentacji medycznej wskazanego w przepisie art. 29 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta lub innych przepisach dotyczących okresu przechowywania Dokumentacji medycznej, przyjmuje się, że podmioty, którym dokumentacja ta została uprzednio udostępniona posiadają wiedzę o usunięciu zgodnie z art. 19 RODO.

13. Prawo Pacjenta do żądania ograniczenia przetwarzania danych (art. 18 RODO)
    • Pacjent ma prawo żądać ograniczenia przetwarzania danych zgodnie z przesłanką określoną w art. 18 ust. 1 lit a) RODO w odniesieniu do danych osobowych Pacjentów przetwarzanych na podstawie art. 9 ust. 2 lit h RODO w tym w szczególności wobec danych przetwarzanych w ramach Dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę
    • Ograniczenie przetwarzania ma na celu zabezpieczenie danych przed dalszą możliwością ich przetwarzania za wyjątkiem przechowywania. Ograniczenie przetwarzania może polegać m.in. na czasowym przeniesieniu wybranych danych osobowych do innego systemu przetwarzania lub uniemożliwieniu odbiorcom danych dostępu do wybranych danych.
    • Prawo Pacjenta do żądania ograniczenia przetwarzania danych nie jest jednak bezwzględne. Administrator Danych może przetwarzać dane osobowe Pacjentów m.in. w celu realizacji ważnego interesu publicznego, za który uznaje się w szczególności:
14. wykonywanie zadań, obowiązków oraz realizacja usług wynikających z ustawy o systemie informacji w ochronie zdrowia, jeśli ograniczenie przetwarzania może zakłócić wykonywanie zapisów tej ustawy;
15. wykonywanie obowiązków wynikających z innych przepisów prawa medycznego, w przypadku gdy ograniczenie przetwarzania może stwarzać ryzyko naruszenia zdrowia publicznego;
16. wykonywanie zobowiązań wynikających z realizacji umowy z płatnikiem publicznym, w tym w szczególności prowadzenia sprawozdawczości;
17. udostępniania danych na potrzeby przeprowadzania kontroli przez uprawnione z mocy prawa organy lub podmioty;
18. realizacji celów archiwalnych, badań naukowych, historycznych lub celów statystycznych.

14. Prawo Pacjenta do przenoszenia danych (art. 20 RODO)
    • Prawo Pacjenta do przenoszenia danych nie znajduje zastosowania wobec danych osobowych przetwarzanych przez Administratora Danych na podstawie art. 9 ust. 2 lit. h RODO, w tym w szczególności wobec danych przetwarzanych w ramach Dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę. 57Art. 18 ust. 1 RODO.
    • W przypadku otrzymania żądania Pacjenta związanego z wykonywaniem prawa do przenoszenia danych w odniesieniu do danych osobowych zgromadzonych w Dokumentacji medycznej, Administrator Danych ma obowiązek poinformować Pacjenta o braku podstawy prawnej tego prawa oraz poinformować o trybie w jakim Pacjent może uzyskać dostęp do Dokumentacji medycznej.
    • Prawo Pacjenta do przenoszenia danych znajduje zastosowanie wyłącznie wobec operacji przetwarzania danych osobowych prowadzonych przez Administratora Danych, które mają charakter zautomatyzowany i które prowadzone są w oparciu o zgodę Pacjenta na przetwarzanie danych osobowych lub w oparciu o umowę, której Pacjent jest stroną.
    • Przetwarzanie danych w sposób zautomatyzowany ma miejsce wyłącznie gdy prowadzone jest ono z wykorzystaniem urządzeń i systemów informatycznych i nie obejmuje ono żadnych dokumentów w postaci papierowej.
    • W ramach realizacji prawa Pacjenta do przenoszenia danych Pacjent może:
15. otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe dotyczące Pacjenta, które Pacjent dostarczył Administratorowi Danych (art. 20 ust. 1 RODO);
16. żądać, by dane osobowe dotyczące Pacjenta zostały przesłane bezpośrednio innemu Administratorowi (art. 20 ust. 2 RODO).
    • Przez pojęcie „format nadający się do odczytu maszynowego” należy w szczególności rozumieć powszechnie używane formaty plików (Np. txt, .pdf, .odt .sxw, .doc, .rtf, jpeg, xml, xls)
    • Przez pojęcie danych osobowych dotyczących Pacjenta, które Pacjent dostarczył Administratorowi Danych należy rozumieć dane aktywnie i świadomie podane przez Pacjenta, w szczególności zawarte w ankietach i kwestionariuszach oraz dane wygenerowane przez tą osobę (np. login ze stron internetowych).
    • Żądanie wykonania prawa do przenoszenia danych może być zrealizowane przez Administratora Danych tylko po zweryfikowaniu tożsamości Pacjenta na zasadach określonych w Regulaminie Organizacyjnym.
    • Prawo do przenoszenia danych nie może negatywnie wpływać na prawa i wolności innych. Ma to na celu uniknięcie uzyskiwania i przesyłania danych obejmujących dane osobowe innych osób, których dane dotyczą (tych które nie wyraziły zgody) do nowego Administratora w przypadkach, gdy istnieje prawdopodobieństwo, że dane te będą przetwarzane w sposób, który negatywnie wpłynie na prawa i wolności innych osób, których dane dotyczą.

15. Prawo Pacjenta do sprzeciwu wobec przetwarzania danych osobowych (art. 21 RODO).
    • Prawo Pacjenta do sprzeciwu wobec przetwarzania danych osobowych nie znajduje zastosowania wobec danych osobowych przetwarzanych przez Administratora Danych na podstawie art. 9 ust. 2 lit. h RODO, w szczególności wobec danych przetwarzanych w ramach Dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę.
    • Prawo Pacjenta do sprzeciwu wobec przetwarzania danych osobowych znajduje zastosowanie tylko i wyłącznie wobec danych osobowych przetwarzanych przez Administratora Danych:
16. w celu wykonywania zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi (art. 6 ust. 1 lit. e RODO);
17. w oparciu o przesłankę tzw. prawnie uzasadnionych interesów Administratora Danych (art. 6 ust. 1 lit. f RODO).

16. Profilowanie
    • Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
    • Na gruncie RODO można wyróżnić:
17. profilowanie, które nie skutkuje podejmowaniem decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych wywołujących wobec Pacjentów skutki prawne lub w podobny sposób istotnie na nich wpływających,
18. profilowanie, które skutkuje podejmowaniem decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych wywołujących wobec Pacjentów skutki prawne lub w podobny sposób istotnie na nich wpływa.
    • Profilowanie wskazane w pkt. a. jest dopuszczalne bez zgody Pacjenta i może być prowadzone również w oparciu o dane osobowe o stanie zdrowia i inne szczególne kategorie danych osobowych, które wskazano w art. 9 ust. 1 RODO.
    • Decyzja opierająca się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu wskazanym w pkt. b. to decyzja, która spełnia następujące cechy:
19. jest podejmowana bez udziału personelu medycznego lub administracyjnego, co oznacza że personel na żadnym etapie procesu nie kontroluje ani nie monitoruje prowadzonych operacji, jak również nie podejmuje ostatecznych rozstrzygnięć wobec Pacjenta oraz,
20. wywołuje wobec Pacjenta skutki prawne, np. w postaci odmowy zawarcia umowy o świadczenie usług medycznych, lub
21. wpływa w inny, istotny sposób na sytuację Pacjenta, np. w sposób pozbawiony realnego wpływu człowieka powoduje odmowę objęcia Pacjenta programem profilaktycznym, skutkuje pozbawieniem Pacjenta możliwości dostępu do świadczenia zdrowotnego lub podjęcie innej decyzji terapeutycznej;
    • W celu uniknięcia wątpliwości, m.in. następujące jednostkowe działania Administratora Danych nie będą zakwalifikowane jako podejmowanie decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych w rozumieniu art. 22 RODO:
22. automatyczne ustalanie wyników skal stosowanych w medycynie,
23. ocena wystąpienia mutacji/ ryzyka choroby na podstawie analizy genomu Pacjenta,
24. automatyczne klasyfikowanie wyniku jako „w normie” „ponad normę” i „poniżej normy” na podstawie zdefiniowanych przedziałów wyników (zależnych od czynników wynikających z danych Pacjenta takich jak m.in. płeć czy wiek),
25. wspieranie, za pomocą algorytmów procesu terapeutycznego np. poprzez przedstawienie sugestii badania diagnostycznego, sugestii terapii farmakologicznej i podobnych przez system komputerowy, pod warunkiem, że ostateczną decyzję o sposobie leczenia podejmuje personel medyczny,
26. wspieranie, za pomocą algorytmów komputerowych, procesu selekcji Pacjentów do programów badań profilaktycznych i przesiewowych, pod warunkiem, że ostateczną decyzję o zakwalifikowaniu Pacjentów do udziału w programach podejmuje personel medyczny,
27. wspieranie, za pomocą algorytmów komputerowych, procesu zamawiania przez Pacjentów recept na produkty lecznicze przyjmowane przez dłuższy okres czasu np. poprzez automatyczne informowanie personelu medycznego o konieczności skierowania na wizytę kontrolną Pacjentów, którzy składają zapotrzebowanie na receptę ze względu na upływ określonego czasu od ostatniej wizyty,
28. procesy dotyczące badań profilaktycznych i medycyny pracy, gdzie decyzja o skierowaniu Pacjenta na określone badania opiera się o czynniki charakterystyczne dla danego stanowiska pracy (zdefiniowane przez pracodawcę), a nie czynniki charakterystyczne dla osoby Pacjenta,
29. działanie aplikacji i algorytmów będących wyrobami medycznymi lub częściami wyrobów medycznych, pod warunkiem że wyroby takie zostały dopuszczone do obrotu na terytorium Unii Europejskiej w zgodzie z obowiązującymi przepisami prawa, w zakresie dokonanej certyfikacji.

17. Czynności przetwarzania danych osobowych
    • Celem zgodnego z prawem, świadomego i bezpiecznego przetwarzania danych, COREclinic zobowiązany jest na bieżąco monitorować posiadane przez siebie czynności przetwarzania danych osobowych, ustalać ich istotność dla prowadzonej działalności oraz zapewniać, aby w sytuacji planowanego przetwarzania nowych kategorii danych osobowych, tworzących nowe czynności, stosować zasady prywatności podczas projektowania (privacy by design) oraz prywatności domyślnej (privacy by default).
    • Administrator Danych, w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, jest zobowiązany – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdrożyć odpowiednie środki techniczne i organizacyjne.
    • Administrator Danych wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do:
18. liczby zbieranych Danych osobowych,
19. zakresu ich przetwarzania,
20. okresu ich przechowywania oraz
21. ich dostępności.
    • Środki, o których mowa powyżej zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
    • Administrator Danych uwzględniając ochronę danych osobowych w fazie projektowania produktu lub usługi, może wykorzystać arkusz, który stanowi Załącznik nr 6 do Polityki.
    • W związku z przetwarzaniem danych osobowych w systemach informatycznych, COREclinic stosuje odpowiednie zabezpieczenia do danych osobowych znajdujących się w takich systemach, niezależnie od tego, czy dane te są zgromadzone w zbiorze danych osobowych.
    • COREclinic zobowiązany jest prowadzić rejestr czynności przetwarzania danych dla danego zbioru danych, jeżeli chociażby jeden warunek opisany poniżej zostanie spełniony:
22. przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
23. przetwarzanie nie ma charakteru sporadycznego,
24. przetwarzanie obejmuje dane wrażliwe.
    • Rejestr przetwarzania danych zawiera co najmniej informacje wskazane w art. 30 ust. 1 RODO. Wzór rejestru przetwarzania danych dla potrzeb COREclinic zawiera Załącznik nr 3 do niniejszej Polityki.
    • Jeżeli administrator danych powierzy COREclinic przetwarzanie danych osobowych na podstawie odrębnej umowy, COREclinic zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, chyba że żaden z warunków wymienionych w pkt 18.8 powyżej nie znajdzie zastosowania.

18. Ryzyka związane z przetwarzaniem
    • Wprowadzenie
      • W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z RODO COREclinic zarządza ryzkiem związanym z przetwarzaniem.
      • Ryzyko związane z przetwarzaniem danych powiązane jest z następującymi obszarami funkcjonowania COREclinic:

1. ludźmi,
2. procedurami,
3. sprzętem,
4. oprogramowaniem,
5. środowiskiem.
   • Zarządzanie ryzykiem związanym z przetwarzaniem danych osobowych stanowi proces ciągły, na który składają zasadniczo następujące czynności:
6. identyfikacja zagrożeń dla poufności, integralności i dostępności danych osobowych a także dla praw i wolności osób, których dane dotyczą, w tym identyfikacja podatności (słabości dotyczących procesów przetwarzania),
7. szacowanie ryzyka dla przetwarzania danych osobowych,
8. eliminacja podatności i stosowanie odpowiednich zabezpieczeń celem właściwego postępowania z ryzykiem,
9. monitorowanie wdrażania i funkcjonowania zabezpieczeń dotyczących przetwarzania danych osobowych,
10. wykrywanie i reagowanie na incydenty dotyczące danych osobowych.
    • Polityka zawiera w niniejszym ustępie katalog zagrożeń i podatności, które COREclinic sp. bierze pod uwagę zarządzając ryzykiem związanym z przetwarzaniem danych.

• Identyfikacja ryzyk związanych z przetwarzaniem
  • COREclinic, zgodnie z zasadą privacy by design (prywatność podczas projektowania), dąży do identyfikacji ryzyk jeszcze na etapie planowania:

1. wdrożenia nowych rozwiązań dotyczących przetwarzania,
2. rozpoczęcia przetwarzania nowych kategorii danych osobowych, w tym m.in. z uwagi na wprowadzenie nowych funkcjonalności bądź rozwiązań dotyczących prowadzonej przez COREclinic działalności.
   • Ryzyka (zagrożenia) związane z przetwarzaniem danych osobowych mogą być tożsame dla przetwarzania wszystkich lub większości czynności przetwarzania COREclinic albo mogą dotyczyć przetwarzania danych tylko w jednym zbiorze danych m.in. z uwagi na wykonywanie określonej operacji przetwarzania lub zastosowanie określonego sprzętu technicznego.
   • Mając na uwadze powtarzalność zagrożeń dla bezpiecznego przetwarzania danych (wpływających na poufność, integralność i dostępność danych) COREclinic zidentyfikował następujące ryzyka właściwe dla przetwarzania danych osobowych w swojej organizacji:
3. związane z czynnikami wewnętrznymi:

– niestosowanie się przez Osoby upoważnione do postanowień niniejszej Polityki oraz do przepisów o ochronie danych osobowych w zakresie, w jakim naruszenia wiążą się z danymi przetwarzanymi przez COREclinic, w tym pozyskiwanie danych zbędnych z punktu widzenia celu, nieusuwanie danych,

– nieprawidłowe nadanie uprawnień Osobie upoważnionej uniemożliwiające dostęp do danych lub przyznające zbyt szeroki dostęp do danych,

– odtajnienie nazwy użytkownika i hasła przez Osobę upoważnioną (umyślne lub nieumyślne),

– nieautoryzowana zmiana położenia sprzętu komputerowego lub dokumentów zawierających dane osobowe,

– nieskuteczne lub nieprawidłowe zniszczenie nośników zawierających dane osobowe,

– niewylogowanie się Użytkownika z aplikacji przetwarzającej dane osobowe po zakończeniu pracy i niezamknięcie systemu umożliwiającego osobom nieupoważnionym dostęp do danych,

– dopuszczenie osoby nieupoważnionej do przetwarzania, w tym również wglądu w dane osobowe,

– dopuszczenie osoby nieupoważnionej do pracy na stanowisku pracy należącym do osoby posiadającej upoważnienie do przetwarzania danych osobowych,

– przetwarzanie danych przez Osobę upoważnioną niemające jakiegokolwiek uzasadnienia w celach, dla których COREclinic przetwarza te dane, w tym przetwarzanie nie na polecenie COREclinic,

– nieuzasadniona lub nieautoryzowana duplikacja danych osobowych przez Użytkownika i eksport skopiowanych danych poza system, w którym znajdują się dane osobowe, w tym umieszczenie danych osobowych w tzw. Chmurze bez przeprowadzenia odpowiedniej oceny ryzyka dla bezpieczeństwa danych i zgodności przetwarzania danych w takiej chmurze z przepisami o ochronie danych osobowych,

– zagubienie, utrata nośników danych osobowych w sytuacji wynoszenia sprzętu informatycznego, w tym zawierającego dyski pamięci (m.in. pendrive) lub dysków pamięci jako takich poza obszary, w których COREclinic prowadzi działalność i przetwarza dane;

1. związane z czynnikami zewnętrznymi:

– zidentyfikowanie w systemie wirusa lub innego programu, mogącego modyfikować dane (np. uszkodzić, skopiować lub usunąć dane),

– naruszenie zabezpieczenia systemu informatycznego (np. przez program szpiegowski),

– podejrzenie lub stwierdzenie próby nieuprawnionego przetwarzania danych osobowych, modyfikacji danych, ich uszkodzenia lub zniszczenia,

– naruszenie stanu technicznego urządzeń;

1. związane z zapewnieniem ciągłości funkcjonowania aplikacji, systemów służących do przetwarzania danych:

– brak możliwości uruchomienia aplikacji przetwarzającej dane osobowe,

– znaczne spowolnienie działania systemu informatycznego,

– obniżenie jakości transmisji danych w sieci telekomunikacyjnej, w tym dostępu do serwerów,

– zmiany w funkcjonalności aplikacji, w tym czasochłonna aktualizacja lub migracja danych,

– powtarzające się zaniki zasilania,

– niewykonanie kopii zapasowej,

– brak możliwości odczytania danych z kopii zapasowej;

1. związane z innymi czynnikami ryzyka:

– brak możliwości fizycznego dostępu do danych (np. kradzież komputera, zgubienie kluczy do pomieszczenia stanowiącego obszar przetwarzania danych osobowych),

– kradzież sprzętu komputerowego lub dokumentów zawierających dane osobowe,

– zdarzenia losowe (np. pożar pomieszczeń lub sprzętu komputerowego, zalanie).

• Szacowanie ryzyka dla przetwarzania danych
  • COREclinic dokonuje analizy i oceny (szacowania) zidentyfikowanych ryzyk dla poufności, integralności i dostępności przetwarzanych danych osobowych, uwzględniając również ryzyko da naruszenia praw i wolności osób, których dane są przetwarzane.
  • Szacowanie ryzyka odbywa się na podstawie uwzględnienia skutków, które mogą powstać z uwagi na ziszczenie się danego ryzyka oraz prawdopodobieństwa jego powstania.
  • COREclinic przyjmuje następującą klasyfikację ryzyk z punktu widzenia skutków, jakie mogą one spowodować zgodnie z poniższą tabelą:

• W razie wątpliwości, co do wartości danej czynności przetwarzania COREclinic przyjmuje wyższą wartość czynności zgodnie z ustaloną klasyfikacją.
• W ramach szacowania ryzyka COREclinic bierze pod uwagę prawdopodobieństwo jego wystąpienia zgodnie z poniższą klasyfikacją:

• Przyjęta przez COREclinic metoda szacowania ryzyka uwzględnia również wartość czynności przetwarzania danych.
• Wartość ryzyka (Wr) ustala się według następującego wzoru:

Wr = wC * wS * wP

wR – wartość ryzyka

wC – wartość czynności

wS – wartość skutku (punkt 19.3.3)

wP – prawdopodobieństwo (punkt 19.3.5)

• Postępowanie z ryzykiem
  • Postępowanie z ryzykiem winno skutkować:

1. ograniczeniem ryzyka – polegającym na zmniejszeniu poziomu ryzyka poprzez wdrożenie takich zabezpieczeń, aby wyeliminować podatności i w konsekwencji ograniczyć zagrożenia,
2. akceptacją ryzyka – podjęciem świadomej decyzji o akceptacji zidentyfikowanego i oszacowanego ryzyka dla przetwarzania danych,
3. podziałem a nawet przeniesieniem ryzyka na podmiot trzeci, czyli skorzystaniem z pomocy lub współpracy z podmiotem trzecim, który dzięki odpowiednim zasobom przyjmie na siebie ryzyko związane z przetwarzaniem,
4. unikaniem ryzyka – podjęciem decyzji o przetwarzaniu danych osobowych w założonych celach lub z wykorzystaniem założonych sposobów.
   • W przyjętej przez COREclinic skali maksymalna wartość zidentyfikowanego ryzyka wynosi 64; minimalna wartość wynosi natomiast 1. Wartość ryzyka akceptowalnego przez COREclinic wynosi co do zasady 24.
   • Jeżeli ryzyko związane z przetwarzaniem danych przekracza ustaloną granicę, COREclinic wprowadza dodatkowe środki techniczne i organizacyjne, które zmodyfikują oszacowane ryzyko do poziomu, który może zostać zaakceptowany przez
   • Wyniki procedury szacowania ryzyka winny być zamieszczone w rejestrze dotyczącym właściwego zbioru danych, w przypadku obowiązku jego utworzenia, chyba że zaistnieją przesłanki, o których mowa w pkt. 5. Polityki – w takim wypadku COREclinic zapewnia wykazanie przeprowadzenia oceny skutków dla przetwarzania danych. COREclinic zamieszcza informację o największej wartości oszacowanego ryzyka, która to wartość została ostatecznie zaakceptowana przez COREclinic.

• Ocena skutków dla przetwarzania danych (DPIA)
  • Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, COREclinic przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (DPIA).
  • COREclinic przeprowadza DPIA zgodnie z wymogami art. 35 RODO.
  • COREclinic może powierzyć przeprowadzenie DPIA innemu podmiotowi, jednak ostateczna odpowiedzialność za wykonanie tego zadania ponosi COREclinic.
  • COREclinic uwzględnia wykazy kategorii przetwarzania polskiego organu nadzorczego, w stosunku do których należy przeprowadzić DPIA oraz bierze pod uwagę wytyczne europejskiego organu ochrony danych lub innych krajowych organów nadzorczych w tym zakresie.
  • W razie potrzeby, a przynajmniej, gdy zmienia się ryzyko wynikające z operacji przetwarzania danych, COREclinic dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.
  • Jeżeli ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a w ocenie COREclinic ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia, wtedy przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym zgodnie z procedurą przewidzianą w art. 36 RODO.
  • Co do zasady ocenę skutków dla ochrony danych należy przeprowadzić „przed rozpoczęciem przetwarzania”, tj. w fazie projektowania danej usługi, rozwiązania. Wymóg przeprowadzenia DPIA dotyczy jednak również istniejących operacji przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych oraz w przypadku których nastąpiła zmiana rodzaju ryzyka, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania danych.
  • W stosownych przypadkach Administrator Danych zasięga opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania. Opinie te Administrator Danych zbiera za pomocą różnych środków, w zależności od kontekstu (np. badanie ogólne dotyczące celu i środków operacji przetwarzania, pytanie do przedstawicieli pracowników lub zwykła ankieta wysłana do przyszłych klientów Administratora Danych), zapewniając, aby istniała podstawa prawna do przetwarzania wszelkich danych osobowych wykorzystywanych podczas zbierania takich opinii. Zgoda na przetwarzanie nie jest sposobem na uzyskanie opinii osób, których dane dotyczą.
  • Jeżeli ostateczna decyzja Administratora Danych różni się od opinii osób, których dane dotyczą, Administrator Danych udokumentowuje powody podjęcia, bądź niepodjęcia decyzji jak również Administrator Danych przedstawia uzasadnienie niezasięgnięcia opinii osób, których dane dotyczą, jeżeli uzna to za niewłaściwe, np. w przypadku, gdy stanowiłoby ono zagrożenie dla poufności biznesplanów przedsiębiorstw lub byłoby nieproporcjonalne lub niewykonalne.
  • Administrator Danych regularnie przeprowadza przegląd DPIA, aktualizuje w razie konieczności, nie rzadziej jednak niż raz w roku.
  • Jeżeli ocena skutków dla ochrony danych, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby Administrator Danych nie zastosował środków w celu zminimalizowania tego ryzyka, to jest on zobowiązany przed rozpoczęciem przetwarzania skonsultować się z organem nadzorczym.
  • Wzór formularza do przeprowadzenia oceny skutków dla ochrony danych (DPIA) stanowi Załącznik nr 8 do Polityki.
  • Do przeprowadzenia oceny ryzyka jak również DPIA COREclinic może również korzystać z procedur określonych w Kodeksie postępowaia dla sektora ochrony zdrowia.
• Monitorowanie ryzyka
  • Nie rzadziej niż raz do roku COREclinic weryfikuje ryzyka dla przetwarzania danych osobowych, a w przypadku identyfikacji nowych ryzyk dokonuje ich oszacowania zgodnie z niniejszym punktem Polityki.
  • Niezależnie od postanowień pkt. 19.6.1 Polityki COREclinic uwzględnia wszelkie informacje i okoliczności dotyczące istnienia nowych, jak i prawidłowości oszacowanych już ryzyk, jak i ryzyk jako takich dla przetwarzania danych, w szczególności COREclinic bierze pod uwagę incydenty ochrony danych, które miały miejsce wewnątrz COREclinic, jak i incydenty ochrony danych dotyczące podmiotów trzecich.

19. Podstawowe zasady ochrony danych
    • Wprowadzenie
      • Uwzględniając posiadane przez COREclinic zbiory danych osobowych oraz zidentyfikowane i oszacowane ryzyka dla przetwarzania danych osobowych (poufność, integralność dostępność danych), w tym ryzyko naruszenia praw i wolności osób fizycznych, COREclinic wdraża i utrzymuje odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych było zgodne z prawem.
      • Działania podejmowane przez COREclinic w celu realizacji ust. 1 powyżej są spisane zarówno w ramach niniejszej Polityki, jak i innych dokumentów, aby wykazać legalność postępowania COREclinic zgodnie z zasadą rozliczalności.
      • W ramach zabezpieczenia danych osobowych ochronie podlegają m.in.:

1. sprzęt informatyczny – komputery osobiste, tablety, smartfony i inne urządzenia przenośne, dyski zewnętrzne lub inne elektroniczne nośniki informacji drukarki i inne urządzenia zewnętrzne,
2. oprogramowanie – kody źródłowe, programy użytkowe, systemy operacyjne, narzędzia wspomagające i programy komunikacyjne;
3. dane zapisane na dyskach oraz dane podlegające przetwarzaniu w ramach infrastruktury informatycznej;
4. hasła Użytkowników;
5. kopie zapasowe i archiwa;
6. dokumentacja – zawierająca dane systemu, opisująca jego zastosowanie, przetwarzane informacje, itp.;
7. wydruki;
8. dokumentacja papierowa związana z przetwarzaniem danych osobowych, z której dane są wprowadzane do systemu informatycznego lub też funkcjonują niezależnie od niego.
   • Kontrola dostępu do danych
     • Dostęp do danych osobowych dla Osób upoważnionych jest przyznawany na podstawie upoważnienia (którego wzór stanowi załącznik nr 1 do niniejszej Polityki), wyłącznie w zakresie, w jakim jest to konieczne do realizacji przez Osoby upoważnione ich zadań oraz przypisanych im ról w procesie przetwarzania danych osobowych, a więc wyłącznie na ogólne lub szczegółowe polecenie COREclinic.
     • Dane osobowe znajdujące się w systemach informatycznych, winny być przetwarzane przez Osoby upoważnione dysponujące indywidualnie przypisanymi loginami i własnymi hasłami dostępowymi oraz wyłącznie z wykorzystaniem sprzętu COREclinic.
     • O wszelkich planowanych operacjach na danych osobowych z wykorzystaniem sprzętu nienależącego do COREclinic, osoba upoważniona zobowiązana jest poinformować właściwą osobę odpowiedzialną za procesy przetwarzania danych w COREclinic i uzyskać uprzednią zgodę na takie działania.
   • Ochrona pomieszczeń, sprzętu i dokumentów
     • Stały dostęp do pomieszczeń i infrastruktury COREclinic, w których przetwarzane są dane osobowe, mają tylko osoby upoważnione.
     • Przebywanie Osoby upoważnionej po godzinach pracy w pomieszczeniach, w których przetwarzane są dane osobowe jest dopuszczalne jedynie po uprzednim poinformowaniu przełożonego oraz osoby odpowiedzialnej w COREclinic za bezpieczeństwo danych.
     • Przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe może mieć miejsce wyłącznie w obecności Osoby upoważnionej, która zapewnia bezpieczeństwo (poufność, integralność, dostępność) przetwarzanych danych osobowych, w szczególności poprzez uniemożliwienie dostępu do danych osobie trzeciej.
     • W przypadku gdyby dane pomieszczenie nie było przystosowane do przyjmowania osób trzecich, osoba trzecia może znajdować się w tym pomieszczeniu z Osobą upoważnioną wyłącznie po uprzednim poinformowaniu o tym fakcie właściwą Osobę odpowiedzialną za procesy przetwarzania danych w COREclinic, która może sprzeciwić się temu.
     • Właściwa Osoba odpowiedzialna za procesy przetwarzania danych w COREclinic sp. z o.o. może wyrazić zgodę na obecność danej osoby trzeciej lub osób trzecich w pomieszczeniach, gdzie dane są przetwarzane bez obecności Osoby upoważnionej, po uprzednim uwzględnieniu ryzyk związanych z udzieleniem takiej zgody i okoliczności dotyczących potrzeby jej udzielenia.
     • Dostęp do przestrzeni, w której prowadzona jest działalność przez COREclinic, w tym w których przetwarzane są dane osobowe jest zabezpieczony:

1. a) drzwiami, dotyczy lokalizacji: Droga Dębińska oraz Karpia,
2. b) systemem monitoringu, dotyczy lokalizacji: Droga Dębińska oraz Karpia,
3. c) całodobową ochroną, dotyczy lokalizacji Karpia (firma ochroniarska Sezam) .

• W celu zabezpieczenia dostępu do przestrzeni, w której przetwarzane są dane osobowe, COREclinic oddziela taką przestrzeń od ogólnodostępnej powierzchni, w której prowadzona jest działalność gospodarcza COREclinic poprzez wyodrębnienie zamykanych na klucz pomieszczeń w lokalizacji Droga Dębińska, a w przypadku gdyby takie rozwiązanie było niemożliwe lub nieracjonalne z uwagi na sposób funkcjonowania COREclinic– w lokalizacji Karpia – COREclinic odgradza tę przestrzeń i zapewnia, aby Osoba upoważniona pozostawała obecna w tej przestrzeni w godzinach prowadzenia działalności przez
• Przestrzeń, w której przetwarzane są dane osobowe jest zabezpieczona przed skutkami pożaru za pomocą wolnostojących gaśnic.
• W trakcie jakichkolwiek prac technicznych wykonywanych przez osoby trzecie w pomieszczeniach przetwarzanie danych jest zabronione.
• Administrator Danych wprowadza podział na strefy w zależności od ich dostępności dla osób współpracujących jak i Pacjentów/klientów.
• Obszar, w którym przetwarzane są dane osobowe w tym dane medyczne zabezpieczony jest przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych. Przebywanie osób nieuprawnionych w obszarze, w którym przetwarza się dane osobowe, możliwe jest jedynie w obecności osoby upoważnionej do przetwarzania danych.
• Dane osobowe przetwarzane w postaci papierowej są przechowywane w szafie wyposażonej w zabezpieczenie w postaci zamka.
• Kopie zapasowe/archiwalne czynności danych przechowywane są w zamkniętej szafie, zlokalizowanej w innym miejscu niż obszar przetwarzania, w przypadku danych w formie elektronicznej ten wymóg spełniony jest również w przypadku przechowywania kopii zapasowej dokumentacji na bezpiecznym serwerze zlokalizowanym poza obszarem przetwarzania (np. w bezpiecznej chmurze obliczeniowej dostarczanej przez zewnętrznego dostawcę).
• Przy pierwszym wejściu do obszaru przetwarzania w danym dniu należy upewnić, się czy nie są widoczne ślady ingerencji osób trzecich, pożaru, zalania lub innego uszkodzenia.
• Nie wolno dopuszczać do korzystania z urządzeń fotograficznych, wideo, audio lub innych urządzeń nagrywających, np. kamer w urządzeniach przenośnych, w obszarach przetwarzania danych chyba że osoba ma odpowiednie upoważnienie.
• Niniejszy ustęp stosuje się do danych przetwarzanych w systemach informatycznych jak i w tradycyjnych zbiorach danych – poza systemami informatycznymi.

• Polityka wydawania kluczy
  • Klucze do pomieszczeń znajdujących się w lokalizacji Droga Dębińska znajdują się na ochronie obiektów recepcji pływalni CITYZEN. Dostęp do kluczy posiadają fizjoterapeuci, osoby pracujące na recepcji, kierownictwo, osoby sprzątające. Klucze wydawane są na podstawie imiennych upoważnień Administratora Danych. Osoba upoważniona po otrzymaniu klucza powinna dokonać wpisu w książkę pobierania kluczy na Ochronie z godziną pobrania oraz z godziną oddania recepcji pływalni CITYZEN. Lista osób upoważnionych znajduję się w rejestrze uprawnień wydawanych  pobierania kluczy.
  • Dostęp do kluczy do pomieszczeń znajdujących się w lokalizacji Karpia posiadają osoby pracujące na recepcji, kierownictwo, osoby upoważnione które wcześniej otrzymały dokument potwierdzający otrzymanie kluczy. Dostęp do lokalizacji Karpia następuje w drodze odblokowania alarmu. Kod do odblokowania alarmu podsiadają Osoby upoważnione.
  • Klucze do szaf, w których przetwarzane są dane osobowe znajdują się w posiadaniu właściwych Osób upoważnionych.
  • Osoby upoważnione do posiadania kluczy do pomieszczeń i szaf COREclinic nie mogą ich udostępniać innym osobom. Osoby upoważnione odpowiedzialne są za pomieszczenia oraz szafy, w których przechowywane są dane osobowe.
  • Klucze zapasowe do pomieszczeń posiadają właściciele COREclinic oraz: w przypadku lokalizacji Droga Dębińska ochrona obiektu w CITYZENIE. a w przypadku lokalizacji przy ul. Karpia firma ochroniarska Sezam.
  • Wszystkie szafy w pomieszczeniach, w których przechowywane są dane osobowe, zamykane są na koniec dnia a klucze chowane do sejfu co określa polityka przechowywania kluczy w danym miejscu.
• Korzystanie ze sprzętu informatycznego, w tym z nośników danych
  • Przetwarzanie danych osobowych z użyciem sprzętu informatycznego odbywa się co do zasady w miejscach, gdzie prowadzona jest działalność gospodarcza przez COREclinic (obszar przetwarzania).
  • Osoby upoważnione mogą wynosić należące do COREclinic urządzenia przenośne (laptopy) zawierające dane osobowe poza obszar przetwarzania danych (poza siedzibę COREclinic) oraz nośniki danych zawierające dane osobowe wyłącznie za uprzednim poinformowaniem Osoby odpowiedzialnej za procesy przetwarzania danych w COREclinic ze wskazaniem przyczyny, dla której sprzęt jest wynoszony.
  • Osoba odpowiedzialna za procesy przetwarzania może odmówić wyniesienia sprzętu poza obszar przetwarzania, jeżeli ryzyka dla przetwarzania okażą się zbyt istotne w stosunku do stosowanych zabezpieczeń i wskazanej przez Osobę upoważnioną przyczyny planowanego wyniesienia sprzętu.
  • W przypadku wynoszenia sprzętu poza obszar, w którym przetwarzane są dane osobowe, sprzęt ten winien być odpowiednio zaszyfrowany, aby dostęp do niego miała wyłącznie Osoba upoważniona. Dotyczy to również smartfonów.
  • Przetwarzanie danych osobowych za pomocą urządzeń przenośnych może odbywać się poza obszarem przetwarzania danych, jeżeli dostęp do danych:

1. a) jest odpowiednio zabezpieczony m.in. poprzez szyfrowanie przesyłanych danych,
2. b) następuje przy użyciu sieci Osoby upoważnionej, do której przynależy wyłącznie Osoba upoważniona lub osoby, które można zidentyfikować i w miejscu zapewniającym bezpieczeństwo przetwarzanych danych – w przypadku dostępu do przetwarzanych danych w ramach dostępu publicznego do sieci Internet, gdzie z dostępu do sieci Internet korzysta niezidentyfikowana liczba użytkowników (m.in. free WiFi point), Osoba upoważniona zapewnia, że urządzenie przenośne nie będzie widoczne dla innych użytkowników sieci.

• Zabrania się Użytkownikom używania na sprzęcie komputerowym należącym do COREclinic oprogramowania bądź plików nieznanego pochodzenia, w tym plików prywatnych. Wszelkie planowane instalacje oprogramowania winny być zaakceptowane przez COREclinic, w szczególności Administratora Systemów Informatycznych.
• Urządzenia przenośne, po zakończonym dniu pracy, powinny zostać umieszczone w pomieszczeniu lub szafie zamykanej na klucz w celu minimalizacji ryzyka związanego z nieupoważnionym dostępem do danych.
• Należy umieścić i chronić sprzęt w taki sposób, aby zminimalizować ryzyka wynikające z zagrożeń i niebezpieczeństw środowiskowych oraz przypadków nieuprawnionego dostępu. W celu ochrony sprzętu COREclinic:

1. umieszcza sprzęt w taki sposób, aby zminimalizować ryzyko niepotrzebnego dostępu do sprzętu przez osoby nieuprawnione,
2. tak ulokowuje ekrany komputerowe, aby podczas ich użycia minimalizować ryzyko podglądu przez nieuprawnione osoby,
3. wprowadza zabezpieczenia minimalizujące ryzyko związane z potencjalnymi zagrożeniami fizycznymi i środowiskowymi, np. kradzieżą, pożarem, dymem, zalaniem i wandalizmem,
4. wprowadza zakaz spożywania napojów i płynnych posiłków oraz palenia przy urządzeniach i nośnikach danych,
5. zapewnia konserwację sprzętu zgodnie z zaleceniami dostawcy, w zakresie częstotliwości i zakresu, naprawianie lub serwisowanie sprzętu tylko przez autoryzowany personel,
6. wprowadza odpowiednie zabezpieczenia na czas czynności konserwacyjnych, z uwzględnieniem działań przeprowadzanych przez personel na miejscu lub poza siedzibą organizacji; jeśli zachodzi taka potrzeba i jest to możliwe i zasadne, przed przekazanie do serwisu urządzeń należy wymontować nośniki informacji (dyski twarde),
7. kontroluje urządzenia przed jego ponownym uruchomieniem, po przeprowadzeniu jego konserwacji, w celu zapewnienia, że sprzęt nie został zmanipulowany i nie realizuje szkodliwych funkcji,
8. przed podjęciem pracy należy sprawdzić czy sprzęt jest kompletny, nieuszkodzony, czy nie znajdują się na nim ślady zewnętrznej ingerencji,
9. sprzęt nie może być pozostawiany w miejscach publicznych bez nadzoru.
   • Pozostawiając sprzęt bez opieki należy:
10. zamykać aktywne sesje po zakończeniu pracy, chyba że są one zabezpieczane przez odpowiedni mechanizm blokujący, np. wygaszacz ekranu chroniony hasłem,
11. wyrejestrowywać się z aplikacji lub usług sieciowych, kiedy nie są już więcej potrzebne;
12. zabezpieczać nieużywane w danym momencie komputery osobiste lub urządzenia mobilne przed nieupoważnionym dostępem poprzez blokadę klawiatury lub w inny równoważny sposób, np. dostęp do komputera po podaniu hasła.

20. Postępowanie z danymi zapisanymi w formie tradycyjnej
    • Uwzględniając inne postanowienia Polityki, Osoby upoważnione zapewniają odpowiednie środki bezpieczeństwa w zakresie należytego obchodzenia się z danymi przetwarzanymi w formie tradycyjnej, w tym zobowiązane są do ich zabezpieczenia przed dostępem osób postronnych oraz przed ich utratą, uszkodzeniem lub zniszczeniem (przez właściwe przechowywanie i niszczenie w przypadku braku potrzeby dalszego przechowywania).
    • Zabronione jest wynoszenie danych przetwarzanych w formie tradycyjnej (dokumentów w formie pisemnej) poza obszar przetwarzania COREclinic.
    • W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej pracownicy oraz współpracownicy oraz inne podmioty odpowiedzialne wg Polityki zobowiązane są do stosowania zasady tzw. „czystego biurka”. Zasada ta oznacza niepozostawianie materiałów/nośników zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym/nieposiadającym Upoważnienia do ich przetwarzania.
    • Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy pracownik i współpracownik Administratora Danych.
    • Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek.
    • Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia.
    • Należy niezwłocznie usuwać z drukarek wydruki zawierające dane osobowe i dane istotne dla ochrony danych osobowych.

21. Przetwarzanie danych za pomocą systemu informatycznego
    • Postanowienia ogólne
      • Niniejszy ustęp ma zastosowanie do wszystkich systemów informatycznych, służących do przetwarzania danych osobowych COREclinic. Zawiera ogólne zasady obowiązujące przy pracy z każdym takim systemem.
      • Użytkownik danego systemu informatycznego przeznaczonego do przetwarzania danych osobowych powinien postępować zgodnie z poniższymi ogólnymi zasadami:

1. używanie poczty elektronicznej w domenie COREclinic możliwe jest wyłącznie do celów służbowych,
2. korzystanie z Internetu na sprzęcie udostępnionym przez COREclinic możliwe jest tylko do celów służbowych,
3. korzystanie z systemów informatycznych COREclinic odbywa się wyłącznie w celach służbowych, w zakresie wynikającym z wykonywanych przez Użytkownika obowiązków,
4. szyfrowanie przesyłanych drogą mailową dokumentów, w szczególności zawierających szczególne kategorie danych osobowych (np. dane o stanie zdrowia) i przesyłanie hasła do pliku innych kanałem komunikacji np. sms-em lub podawanie hasła telefonicznie,
   • Zabrania się Użytkownikom:
5. wysyłania z poczty elektronicznej w domenie COREclinic masowej poczty kierowanej do losowych odbiorców (spam),
6. udostępniania w ramach systemów informatycznych COREclinic. treści chronionych prawem autorskim,
7. udostępniania za pośrednictwem systemów informatycznych COREclinic treści zakazanych prawnie,
8. wykorzystywania do przetwarzania danych osobowych usług chmurowych dedykowanych celom prywatnym.
   • Procedury nadawania oraz zmiany uprawnień do przetwarzania danych
     • Użytkownicy uzyskują dostęp do systemów informatycznych COREclinic w zależności od zakresu obowiązków i powierzonych zadań do wykonania na danym stanowisku oraz na podstawie wydanego upoważnienia do przetwarzania danych.
     • COREclinic stosuje dla każdego Użytkownika unikalny identyfikator celem zapewnia bezpieczeństwa i realizacji zasady rozliczalności oraz niezaprzeczalności w systemach informatycznych COREclinic.
     • Osobą odpowiedzialną za przydział unikalnych identyfikatorów i pierwszych haseł oraz za prawidłowość przebiegu wszystkich operacji związanych z nadawaniem Użytkownikom uprawnień do pracy w systemie informatycznym, począwszy od utworzenia Użytkownikowi konta, poprzez przydzielanie i modyfikację jego uprawnień, aż do momentu usunięcia konta z systemu informatycznego dla użytkowników jest Administrator Systemu Informatycznego.
     • Indywidualny niepowtarzalny identyfikator i pierwsze hasło dostępu do systemu informatycznego są przydzielane ustnie.
     • Użytkownik winien zmienić przyznane mu pierwsze hasło na nowe bezzwłocznie po jego otrzymaniu.
     • Użytkownik jest zobowiązany zachowania swojego hasła w tajemnicy. Niedopuszczalne jest przechowywanie loginu i hasła w miejscach, które pozwalają osobom postronnym łatwe zapoznanie się z tymi danymi.
     • Do haseł stosuje się następujące zasady:

1. hasło powinno składać się z unikalnego zestawu co najmniej ośmiu znaków oraz zawierać małe i wielkie litery oraz cyfry lub znaki specjalne;
2. w haśle nie stosuje się polskich znaków diakrytycznych;
3. hasło nie może powszechnie używanymi słowami, nie należy jako haseł wykorzystywać: rozpoznawalnych dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów bądź innych bezpośrednio kojarzących się z użytkownikiem;
4. zmiana hasła musi następować w każdej sytuacji, w której zaistniało choćby potencjalne ryzyko dla bezpieczeństwa danych – hasło winno być również okresowo zmieniane;
5. hasło nie może być ujawnione innej osobie nawet po utracie ważności hasła;
6. Użytkownik zobowiązany jest postępować z hasłem w taki sposób, aby uniknąć ujawnienia go osobie nieuprawnionej.
   • Na wypadek sytuacji awaryjnych (np. nieobecności osoby odpowiedzialnej) hasło do systemu informatycznego znajduje się w posiadaniu Administratora Systemu Informatycznego.

• Procedury zawieszenia i zakończenia pracy przez Użytkowników
  • Przy każdorazowym opuszczeniu stanowiska komputerowego, należy dopilnować, aby na ekranie nie były wyświetlane informacje lub dane, poprzez zablokowanie komputera ręcznie (opcja „Zablokuj” z menu „Start” lub kombinacja klawiszy ”klawisz z logo Windows i klawisz L”) lub wylogowanie się z systemu informatycznego.
  • Wznowienie pracy wymaga wprowadzenia odpowiedniego hasła Użytkownika i tym samym odblokowania ekranu monitora lub ponownego uruchomienia systemu.
  • Należy uniemożliwiać podgląd danych osobowych przez osoby nieuprawnione na ekranach komputerów, w szczególności przez stosowanie wygaszaczy ekranów i odpowiednie ustawienie ekranów, jak również na wydrukach i nośnikach informacji, leżących na biurkach oraz w pobliżu stanowiska pracy w zasięgu osób nieuprawnionych.
  • Przed opuszczeniem miejsca pracy należy:

1. zakończyć pracę systemu informatycznego;
2. zakończyć pracę na stacji roboczej;
3. schować do szaf wszelkie akta, dokumenty i wydruki zawierające dane osobowe, a niepotrzebne zniszczyć w sposób uniemożliwiający ich odtworzenie (np. w niszczarce);
4. schować w pomieszczeniach/szafach zamkniętych na klucz urządzenia przenośne służące do przetwarzania danych (laptopy);
5. zamknąć otwarte wcześniej okna i zasunąć rolety antywłamaniowe, jeśli takie znajdują się w pomieszczeniu;
6. opuszczając pomieszczenie, należy zamknąć za sobą drzwi na klucz włączyć alarm/lokalizacja Karpia, chyba że jest to niemożliwe z uwagi na specyfikę miejsca przetwarzania danych.
   • Sprzęt i oprogramowanie udostępnione Użytkownikom
     • Użytkownicy winni wykorzystywać sprzęt komputerowy i oprogramowanie funkcjonujące w COREclinic tylko w celach służbowych, zgodnie z ich przeznaczeniem i obowiązującymi przepisami prawa.
     • W przypadku dłuższej nieaktywności Użytkownika dostęp do systemu informatycznego, służącego do przetwarzania danych osobowych zostaje zablokowany.
     • W przypadku wystąpienia awarii sprzętu komputerowego, należy niezwłocznie zgłosić ten fakt Administratorowi Systemu Informatycznego.
     • Zabrania się usuwania awarii sprzętu komputerowego bez porozumienia z osobą, o której mowa powyżej i przez osoby nieuprawnione.
     • Użytkownik odpowiada za powierzony mu sprzęt komputerowy i wykonywane czynności w zakresie wskazanym w przepisach prawa.
   • Metody oraz procedura tworzenia kopii zapasowych i ich przechowywania
     • Informacje (w tym dane osobowe) przetwarzane przy pomocy uruchamianych na poszczególnych stanowiskach aplikacjach są zapisywane na sprzęcie użytkownika bądź bezpośrednio na serwerach.
     • W celu zapewnienia bezpieczeństwa systemu i możliwości odtworzenia danych po wystąpieniu awarii wykonywane są kopie bezpieczeństwa zarówno na serwerach, jak i na komputerach (urządzeniach) pracujących w systemie informatycznym.
     • COREclinic przechowuje dane pacjentów w aplikacji Medfile, która zapewnia bezpieczeństwo i ochronę danych osobowych
     • Za tworzenie kopii zapasowych odpowiada Administrator Systemów Informatycznych.
     • COREclinic przechowuje kopie zapasowe w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem.
     • Kopie zapasowe są szyfrowane.
     • Po zakończeniu eksploatacji lub uszkodzeniu zewnętrznych nośników danych służących do sporządzania kopii zapasowych dokonuje się fizycznego ich zniszczenia w sposób uniemożliwiających ich odczytanie. Całkowity czas użytkowania nośników jest zgodny z zaleceniami ich producenta.
   • Procedura używania, przechowywania i niszczenia elektronicznych nośników informacji zawierających dane osobowe
     • Elektroniczne zewnętrzne nośniki informacji mogą być używane w wyjątkowych sytuacjach związanych z realizacją określonych zadań służbowych Użytkowników, a w innych przypadkach wyłącznie za zgodą Osoby odpowiedzialnej za procesy przetwarzania danych w
     • Elektroniczne nośniki informacji zawierające dane osobowe są przechowywane w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem.
     • Elektroniczne nośniki informacji, o których mowa powyżej, powinny być oznaczone w sposób umożliwiający ich identyfikację.
     • Nośniki informacji umożliwiające jednokrotną rejestrację danych, takie jak płyty CD-R, DVD-R, zawierające nieaktualne lub zbędne kopie danych likwiduje się niezwłocznie po ustaniu ich przydatności poprzez fizyczne zniszczenie w taki sposób, by nie można było odczytać ich zawartości.
     • Nośniki informacji wielorazowego użytku, takie jak dyski twarde, pendrive, płyty CD-RW, DVD-RW, dyskietki, itp., zawierające nieaktualne lub zbędne kopie danych, można wykorzystać ponownie po uprzednim usunięciu ich zawartości w sposób uniemożliwiający ich odzyskanie.
     • Nośniki informacji wielorazowego użytku nienadające się do ponownego użycia, a mogące zawierać dane osobowe, niszczy się fizycznie w taki sposób, by nie można było odczytać ich zawartości.
     • Zaginięcie, w tym kradzież sprzętu informatycznego stanowi incydent ochrony danych, który winien być procedowany zgodnie z niniejszą Polityką.
   • Zabezpieczenie systemów informatycznych przed szkodliwym oprogramowaniem oraz atakami z zewnątrz
     • Z uwagi na wysokie ryzyko ingerencji wirusów komputerowych oraz innego szkodliwego oprogramowania pochodzącego z sieci publicznej (którego celem jest uzyskanie dostępu do systemu informatycznego), COREclinic stosuje oprogramowanie antywirusowe na swoich komputerach i urządzeniach przenośnych.
     • Nadzór nad instalacją oprogramowania antywirusowego oraz jego aktualizacją sprawuje osoba odpowiedzialna za procesy przetwarzania danych w COREclinic. COREclinic wyznaczył Administratora Systemów Informatycznych. Aktualizacja oprogramowania antywirusowego odbywa się co do zasady automatycznie:

1. w zakresie definicji wirusów oraz sygnatur antywirusowych okresowo, przynajmniej raz w tygodniu,
2. W zakresie oprogramowania – niezwłocznie po opublikowaniu przez producenta aktualizacji bezpieczeństwa.
   • Użytkownik obowiązany niezwłocznie zawiadomić osobę Odpowiedzialną za proces przetwarzania danych w COREclinic o pojawiających się komunikatach, wskazujących na wystąpienie zagrożenia wywołanego szkodliwym oprogramowaniem, atakiem zewnętrznym lub niemożnością aktualizacji.

• Ochrona przed awarią zasilania
  • Sieć komputerowa, w którym przetwarzane są dane osobowe powinna posiadać mechanizmy pozwalające zabezpieczyć te dane przed utratą lub nieautoryzowaną zmianą spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.
  • Dane osobowe przetwarzane w systemie informatycznym chroni się stosując filtry zabezpieczające przed skutkami spadku napięcia oraz urządzenia podtrzymujące zasilanie do momentu poprawnego zapisania danych i wylogowania się użytkownika z systemu informatycznego.
• Rozliczalność przetwarzanych danych
  • Stosowane do przetwarzania danych osobowych systemy informatyczne zapewniają odnotowanie informacji, o dacie pierwszego wprowadzenia danych do systemu oraz danych użytkownika (identyfikatora) osoby wprowadzającej, źródle danych, jeżeli nie pochodzą one od osoby, której dane dotyczą oraz informacji o odbiorcach danych osobowych.
  • Wykorzystywane oprogramowanie pozwala na rejestrację zmian wykonywanych na przetwarzanych danych osobowych.
  • Każdej osobie, której dane dotyczą należy za pośrednictwem systemu informatycznego zapewnić dostęp do tych danych zgodnie z właściwymi rozwiązaniami.
• Przeglądy sprzętu komputerowego i systemów informatycznych, w tym ich aktualizacje
  • Aktualizacje oprogramowania odbywają się co do zasady automatycznie bez ingerencji Użytkowników. Wszelkie aktualizacje, które wymagają ingerencji ludzkiej przeprowadzane są przez ASI.
  • Dla zachowania ciągłości pracy i bezpieczeństwa danych przeprowadza się przeglądy i konserwację sprzętu oraz systemów informatycznych.
  • Przeglądy planowane następują nie rzadziej niż raz na rok. Przeglądy doraźne są wykonywane w razie potrzeby.
  • W przypadku konieczności naprawy sprzętu komputerowego zawierającego dane osobowe, należy uprzednio usunąć te dane. W przypadku braku możliwości ich usunięcia – naprawa winna się odbywać się w obecności wyznaczonej Osoby upoważnionej.
  • Jeśli jest to konieczne, naprawy mogą być dokonywane przez serwisanta danego sprzętu lub systemu poza siedzibą Administratora Danych (wyłącznie na podstawie odpowiednich umów zawierających zapisy o powierzeniu przetwarzania danych osobowych lub po uprzednim usunięciu danych w nich przetwarzanych w sposób uniemożliwiający ich odczytanie). Nad prawidłowością przebiegu eksploatacji sprzętu komputerowego i oprogramowania czuwa ASI.
• Bezpieczeństwo serwera
  • Serwer znajduje się w pomieszczeniu zlokalizowany przy ul. Karpia, Pomieszczenie nie zawiera okien, posiada drzwi wejściowe do pomieszczenia zamykane na klucz.
  • Serwer jest zabezpieczony przed spadkami napięcia prądu przy pomocy urządzenia UPS.
  • Dostęp do pomieszczenia gdzie znajduje się urządzenie serwerowe przez osoby trzecie może odbywać się wyłącznie w obecności Osoby upoważnionej.

22. Postępowanie w przypadku naruszenia ochrony danych (incydenty ochrony danych) w COREclinic
    • Postanowienia ogólne
      • Pomimo realizacji celów Polityki, wdrożenia zabezpieczeń odpowiednich do zidentyfikowanych i oszacowanych ryzyk dla przetwarzania danych osobowych, stosowania przepisów o ochronie danych oraz wytycznych właściwych organów nie jest możliwe całkowite wyeliminowanie istniejących zagrożeń dla bezpieczeństwa danych osobowych.
      • Akceptacja ryzyka dla przetwarzania danych wymaga od COREclinic przyjęcia mechanizmów eliminujących lub ograniczających konsekwencje wynikające z incydentów ochrony danych.
    • Przykładowe incydenty ochrony danych
      • Naruszenie ochrony danych osobowych związane jest z oszacowanymi dla przetwarzania danych ryzykami.
      • W celu umożliwienia Osobom upoważnionym reagowanie na incydenty ochrony danych osobowych, COREclinic wskazuje, że za naruszenie ochrony danych osobowych uważa się w szczególności:

1. nieupoważniony dostęp, modyfikację, kopiowanie lub zniszczenie/usunięcie danych osobowych,
2. udostępnianie danych osobowych nieuprawnionym osobom i podmiotom,
3. nieautoryzowany dostęp do danych osobowych przez połączenie sieciowe,
4. niedopełnienie obowiązku ochrony danych osobowych przez umożliwienie dostępu do danych, w tym w szczególności:

– niezamknięcie na klucz pomieszczenia, gdzie przetwarza się dane osobowe na czas nieobecności w nim Osób upoważnionych,

– niezablokowanie dostępu do systemu informatycznego, urządzenia lub serwera,

1. wykrycie niezabezpieczonego kanału dystrybucji danych osobowych,
2. nielegalne bądź nieświadome ujawnienie danych osobowych,
3. pozyskiwanie danych osobowych z nielegalnych źródeł,
4. przetwarzanie danych osobowych niezgodnie z uprawnionym celem i zakresem,
5. przetwarzanie danych w systemie nieodpowiadającym warunkom niniejszej Polityki, w tym niezapewniającym odpowiedniego bezpieczeństwa dla przetwarzanych danych,
6. stwierdzenie obecności wirusów komputerowych, programów szpiegujących (tzw. trojanów) lub innych programów godzących w bezpieczeństwo danych osobowych,
7. ujawnienie indywidualnych haseł dostępu do danych osobowych w systemie,
8. przesyłanie danych osobowych przez Internet bez zabezpieczenia,
9. naruszenie bezpieczeństwa kopii danych osobowych,
10. zagubienie lub kradzież sprzętu służącego do przetwarzania danych osobowych,
11. utrata lub uszkodzenie danych osobowych w systemie informatycznym,
12. dopuszczenie do przetwarzania danych osobowych osób do tego nieuprawnionych,
13. dopuszczenie Osoby upoważnionej do przetwarzania danych osobowych bez zapoznania jej z zasadami dotyczącymi przetwarzania danych w COREclinic i bez odebrania od tej osoby niezbędnych oświadczeń.
    • Postępowanie w przypadku incydentów ochrony danych
      • Każda Osoba upoważniona, która stwierdzi lub podejrzewa naruszenie ochrony danych osobowych zobowiązana jest:

1. niezwłocznie (bezpośrednio lub telefonicznie) poinformować o tym fakcie IOD oraz Osobę odpowiedzialną za procesy przetwarzania danych w COREclinic,
2. zabezpieczyć dowody dotyczące zaistniałego naruszenia,
3. opisać symptomy świadczące o możliwości naruszenia ochrony danych oraz określić czas i sytuację w jakich je zauważyła,
4. podać wszelkie informacje mogące pomóc w ustaleniu przyczyn zaistnienia incydentu ochrony danych osobowych,
5. nie podejmować dalszej pracy w systemie informatycznym oraz w obszarze „zagrożonym” bez odpowiedniej decyzji IOD-a.
   • Osoba odpowiedzialna za procesy przetwarzania danych w COREclinic po otrzymaniu informacji o incydencie ochrony danych, możliwości jego zaistnienia lub wykryciu incydentu ochrony danych zobowiązana jest podjąć następujące działania:
6. natychmiast wyeliminować lub w jak najszerszym stopniu ograniczyć naruszenie ochrony danych osobowych, jeżeli ono nadal trwa, m.in. poprzez:

– zablokowanie dostępu do danych osobowych, np. poprzez fizyczne odłączenie urządzenia i segmentów sieci, które mogły umożliwić dostęp do danych osobie nieuprawnionej,

– usunięcie złośliwego oprogramowania,

– naprawę, wymianę zniszczonego zamka,

1. zapisać informacje i okoliczności związane z danym zdarzeniem, a w szczególności:

– czas tj. datę i godzinę możliwego naruszenia ochrony danych osobowych lub samodzielnego wykrycia tego faktu,

– nazwisko i imię osoby zgłaszającej zdarzenie,

– symptomy naruszenia zabezpieczenia,

1. wygenerować, wydrukować lub zebrać wszystkie dowody, dokumenty i raporty, które mogą pomóc w ustaleniu okoliczności zdarzenia,
2. opisać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości:

– wskazać kategorie (np. pracownicy, Klienci, uczestnicy zajęć sportowych, osoby niepełnoletnie) i przybliżoną liczbę osób, których dane dotyczą oraz

– kategorie (tożsamość osób fizycznych, ich stan zdrowia, terminowość wpłat za karnet) i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,

1. opisać możliwe konsekwencje incydentu ochrony danych osobowych,
2. podjąć odpowiednie kroki w celu przywrócenia sprawnego i normalnego funkcjonowania danego obszaru, w którym nastąpiło naruszenie,
3. opisać środki zastosowane lub planowane przez COREclinic w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków,
4. w przypadku uszkodzenia bazy danych, odtworzyć ją z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostrożności mających na celu uniknięcie ponownego uzyskania dostępu przez osobę nieupoważnioną, tą samą drogą,
5. zweryfikować oszacowane ryzyko dla przetwarzania danych osobowych w obszarze, który został objęty naruszeniem.
   • COREclinic prowadzi w formie elektronicznej rejestr wszystkich zdarzeń dotyczących naruszenia ochrony danych w ramach własnych zasobów (wzór rejestru stanowi Załącznik nr 9 do niniejszej Polityki).
   • Informacje i dowody dotyczące danego naruszenia należy usunąć i zniszczyć po upływie 5 lat od ich zabrania i utrwalenia, chyba że ich dalsze posiadanie przez COREclinic okaże się uzasadnione z uwagi na uzasadniony interes COREclinic np. z uwagi na toczące się postępowanie sądowe, administracyjne, karne.
   • Okoliczności, przyczyny i skutki naruszenia bezpieczeństwa danych osobowych ustala komisja składająca się – w zależności od okoliczności – z osoby upoważnionej przez Administratora Danych oraz Administratora Systemów Informatycznych.
   • Do zadań komisji należy m.in.:
6. analiza dowodów mająca na celu ustalenie okoliczności naruszenia bezpieczeństwa,
7. przesłuchiwanie świadków zdarzenia lub innych osób mogących być w posiadaniu istotnych informacji, ułatwiających ustalenie przebiegu zdarzeń,
8. określenie przyczyn wystąpienia zdarzenia,
9. analiza zdarzenia pod kątem skutków i konsekwencji naruszenia bezpieczeństwa danych osobowych,
10. określenie niezbędnych rozwiązań zmniejszających ryzyko wystąpienia podobnych zdarzeń w przyszłości oraz zwiększających stopień bezpieczeństwa danych osobowych.
    • Na podstawie ustaleń komisji, Administrator Danych podejmuje niezbędne działania w celu zapobieżenia naruszeniom bezpieczeństwa danych osobowych w przyszłości.
    • W zależności od przyczyny zdarzenia, zaleca się podjęcie wybranych z niżej wymienionych czynności:
11. jeżeli przyczyną zdarzenia był błąd osoby przetwarzającej dane osobowe, należy przeprowadzić szkolenie osób upoważnionych do przetwarzania danych osobowych;
12. jeżeli przyczyną zdarzenia była infekcja wirusem lub innym niebezpiecznym oprogramowaniem, należy ustalić źródło jego pochodzenia i wykonać zabezpieczenia antywirusowe i organizacyjne, wykluczające powtórzenie się podobnego zdarzenia
    w przyszłości;
13. jeżeli przyczyną zdarzenia było zaniedbanie ze strony osoby upoważnionej do przetwarzania danych osobowych, nie wyklucza się zastosowania działań dyscyplinarnych;
14. jeżeli incydent był spowodowany celowym działaniem (np. włamaniem w celu pozyskania danych osobowych lub ich zniszczenia), należy dokonać szczegółowej analizy wdrożonych środków zabezpieczających w celu zapewnienia skuteczniejszej ochrony w przyszłości;
    w tym przypadku Administrator Danych może poinformować organy uprawnione do ścigania przestępstw o fakcie celowego naruszenia bezpieczeństwa danych osobowych przetwarzanych w COREclinic;
15. jeżeli przyczyną zdarzenia była awaria urządzenia, sieci komputerowej lub nieprawidłowy sposób działania systemu/aplikacji, należy niezwłocznie przeprowadzić kontrolne czynności serwisowe.
    • Administrator Danych we współpracy z komisją przygotowuje szczegółowy raport o przyczynach, przebiegu i wnioskach z naruszenia bezpieczeństwa danych osobowych. Wzór raportu stanowi Załącznik nr 10 do Polityki.
    • Administrator Danych przynajmniej raz w roku analizuje zaistniałe incydenty w celu:
16. określenia skuteczności podejmowanych działań wyjaśniających i naprawczych,
17. określenia wymaganych działań zwiększających bezpieczeństwo danych osobowych oraz systemu informatycznego, a także minimalizujących ryzyko zaistnienia incydentów,
18. określenia potrzeb w zakresie szkoleń dla osób przetwarzających dane osobowe oraz Administratora systemów informatycznych.

• Zgłaszanie incydentów organowi nadzorczemu
  • COREclinic ma co do zasady nie więcej niż 72 godziny po stwierdzeniu naruszenia na zgłoszenie organowi nadzorczemu incydentu ochrony danych, jeżeli prawdopodobne jest, że incydent ochrony danych naruszy prawa lub wolności osób, których dane dotyczą.
  • Jeżeli okaże się, że incydent nie wymaga zgłoszenia organowi nadzorczemu z uwagi na to, że jest mało prawdopodobne, by naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, COREclinic odpowiednio dokumentuje tę okoliczność w rejestrze naruszeń ochrony danych.
  • Zgłoszenie winno zawierać co najmniej informacje przewidziane w art. 33 ust. 3. RODO. Jeżeli wszystkich informacji nie można przekazać w terminie opisanym w ust. 1 powyżej, COREclinic przekazuje niezwłocznie te informacje, które posiada, a pozostałe udziela organowi nadzorczemu sukcesywnie.
  • Jeżeli zgłoszenie zostanie dokonane później niż w terminie, o którym mowa w ust. 1 powyżej, COREclinic zobowiązany jest do zgłoszenia dołączyć wyjaśnienie przyczyn opóźnienia.
• Zawiadamianie osoby, której dane dotyczą o incydentach
  • Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, COREclinic bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Wzór zawiadomienia stanowi załącznik nr 11 do Polityki
  • Zawiadomienie winno być dokonane w sposób umożliwiający COREclinic wykazanie realizacji ciążącego na nim obowiązku.
  • Zawiadomienie jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera informacje, o których mowa w art. 33 ust. 3 lit. b), c) i d) RODO.
  • Zawiadomienie osoby, której dane dotyczą nie jest wymagane w następujących przypadkach:

1. COREclinic wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
2. COREclinic zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
3. wymagałoby ono niewspółmiernie dużego wysiłku – w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
   • Oceny, czy występuje ryzyko naruszenia praw i wolności człowieka dokonuje Administrator Danych, biorąc pod uwagę wszelkie możliwe szkody jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych. Mogą one w szczególności polegać na:
4. utracie kontroli nad własnymi danymi osobowymi,
5. negatywnych konsekwencjach wizerunkowych,
6. możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej,
7. stratach finansowych czy
8. negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych.
   • Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych.
   • Przykładem sytuacji, w której będzie występowało małe prawdopodobieństwo, by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, będzie przypadkowe skasowanie danych osobowych będące efektem błędu systemu teleinformatycznego lub działania człowieka, jeżeli dane te mogą być odzyskane z kopii zapasowej. Podobnie może być oceniona utrata nośnika z danymi, jeżeli był on zaszyfrowany z wykorzystaniem odpowiedniego algorytmu szyfrującego.

23. Bezpieczeństwo usług zewnętrznych
    • Powierzenia przetwarzania danych przez COREclinic
      • Jeżeli przetwarzanie ma być dokonywane w imieniu COREclinic, korzysta ona wyłącznie z usług takich Podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
      • Przetwarzanie przez Podmiot przetwarzający odbywa się na podstawie umowy, która powinna określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa Administratora Danych.
      • COREclinic dba o to, aby umowa powierzenia przetwarzania zawierała wszystkie elementy wymagane przez przepisy art. 28 RODO dla umów tego rodzaju.
      • Przed zawarciem umowy powierzenia przetwarzania danych osobowych Podmiotowi przetwarzającemu, należy uprzednio ustalić, czy spełnia on wymogi w zakresie zabezpieczeń organizacyjno – technicznych oraz dokumentacji procesu przetwarzania danych osobowych, gwarantując właściwy poziom ochrony interesów osób, których dane dotyczą. W wywiązaniu się z powyższego obowiązku może COREclinic pomóc kwestionariusz, który uzupełnia potencjalny Podmiot przetwarzający. Kwestionariusz stanowi załącznik nr 12 do Polityki.
      • Wzór umowy powierzenia przetwarzania Danych osobowych stanowi załącznik nr 13 do Polityki.
      • Rejestr podmiotów, którym powierzono przetwarzanie danych stanowi załącznik nr 14 do Polityki.
    • Przetwarzanie danych powierzonych COREclinic
      • Jeżeli COREclinic przyjmie na siebie przetwarzanie danych osobowych w imieniu innego administratora, COREclinic zapewnia odpowiedni stopień bezpieczeństwa tych danych uwzględniając rozwiązania przewidziane w niniejszej Polityce w taki sam sposób, w jaki COREclinic przetwarza dane osobowe, których sam jest administratorem danych.
      • COREclinic zawiera z administratorem danych umowę powierzenia przetwarzania danych w celu prawidłowego określenia praw, obowiązków i zakresu odpowiedzialności spoczywającego na COREclinic .
      • W przypadku, gdy chociażby jeden z warunków przewidzianych w pkt. 18.8 Polityki zostanie spełniony COREclinic zobowiązany jest prowadzić rejestr wszystkich kategorii przetwarzania, zawierający co najmniej informacje, o których mowa w art. 30 ust. 2 RODO.

24. Przekazanie danych odbiorcom danych
    • Postanowienia ogólne
      • Zgromadzone w zbiorach dane osobowe mogą być przekazywane odbiorcom na mocy obowiązujących przepisów prawnych (udostępnienie danych).
      • COREclinic sprawuje nadzór nad tym, jakie dane i w jakim zakresie, a także komu zostały udostępnione.
      • Decyzję o udostępnieniu danych osobowych podejmuje COREclinic
      • Dane do udostępnienia przygotowuje osoba upoważniona do przetwarzania danych osobowych, merytorycznie odpowiedzialna za ich przetwarzanie.
      • Osoba upoważniona w porozumieniu z osobą odpowiedzialną za czynności przetwarzania danych zobowiązana jest do odnotowania informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie tego udostępnienia.
      • Informacje zawierające dane osobowe powinny być przekazywane uprawnionym podmiotom bezpośrednio do ich rąk własnych lub innym sposobem zapewniającym bezpieczeństwo danych.
      • Udostępniając dane osobowe COREclinic zaznacza, że odbiorca danych może je wykorzystać wyłącznie zgodnie z celem, dla którego zostały udostępnione.
      • Procedura przekazywania, przesyłania, udostępniania danych osobowych poza obszar EOG stanowi Załącznik nr 15 do Polityki.
    • Udostępnianie danych osobowych Pacjenta zawartych w dokumentacji medycznej
      • Dane osobowe Pacjenta zawarte w Dokumentacji medycznej są udostępniane zazwyczaj na zasadach i w sposób określony w przepisach art. 26 i 27 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz w przepisach rozporządzeń wykonawczych wydanych na podstawie tej ustawy
      • Podmiot, któremu udostępniane są dane osobowe Pacjenta w sposób wskazany w pkt. 1 jest bądź staje się ich Administratorem .
      • COREclinic może w celu udostępniania danych osobowych Pacjenta, zawartych w Dokumentacji medycznej prowadzonej w formie elektronicznej zgodnie z art. 26 ust 3 pkt 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta przenosić kopię tej Dokumentacji na odrębne serwery (własne lub należące do podmiotów trzecich) służące udostępnianiu danych (dla zapewnienia bezpieczeństwa i integralności danych oryginalnych) pod warunkiem zapewnienia odpowiednich środków bezpieczeństwa, w tym również zawarcia, jeśli charakter świadczonych usług tego wymaga, umowy powierzenia przetwarzania danych osobowych z podmiotami pośredniczącymi w wymianie danych . Serwery te mogą w szczególności stanowić element platform wymiany danych obsługiwanych przez podmioty świadczące usługę prowadzenia repozytorium. Działania takie w przypadku przetwarzania danych na obszarze Europejskiego Obszaru Gospodarczego nie wymaga uzyskania od tych Pacjentów zgody na przetwarzanie danych osobowych.
      • Upoważnienie, o którym mowa w art. 26 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta:

1. może być udzielone w dowolnej formie;
2. upoważnienie złożone w jednym podmiocie wykonującym działalność leczniczą zachowuje moc w innym podmiocie wykonującym działalność leczniczą, chyba że coś innego wynika z treści upoważnienia.
   • Upoważnienie zawiera co najmniej następujące elementy:
3. Jednoznaczna identyfikacja Pacjenta;
4. Jednoznaczna identyfikacja osoby udzielającej upoważnienia;
5. Jednoznaczna identyfikacja osoby, której udzielane jest upoważnienie, poprzez wskazanie co najmniej imienia i nazwiska tej osoby w przypadku osoby fizycznej bądź nazwy lub firmy i adresu jej siedziby (w przypadku osoby prawnej).
   • COREclinic zobowiązany jest do ustalenia tożsamości Pacjenta, osoby udzielającej upoważnienia oraz osoby uzyskującej dostęp do Dokumentacji medycznej na podstawie upoważnienia. Do ustalenia tożsamości osób wskazanych w punkcie poprzednim stosuje się zasady określone w Regulaminie Organizacyjnym.

25. Odpowiedzialność prawna COREclinic i odpowiedzialność osób upoważnionych
    • Postanowienia ogólne
      • COREclinic ponosi odpowiedzialność cywilną oraz odpowiedzialność karno-administracyjną (nakładanie przez organ nadzorczy kary pieniężnych) za nieprawidłowe przetwarzanie danych.
      • Osoby upoważnione, których działania skutkują naruszeniem ochrony danych przez ponoszą względem COREclinic odpowiedzialność, w tym odpowiedzialność odszkodowawczą w granicach określonych właściwymi przepisami prawa.
      • Naruszenie zasad ochrony danych osobowych może zostać uznane przez COREclinic za ciężkie naruszenie podstawowych obowiązków pracowniczych lub za ważną przyczynę w zakresie rozwiązania umowy powierzenia przetwarzania danych osobowych.
      • Osoby upoważnione mogą również ponosić bezpośrednią odpowiedzialność karną za naruszenie przepisów o ochronie danych, jeżeli ich zachowanie będzie wypełniało znamiona przestępstwa.

26. Przeglądy Polityki i audyty systemu
    • Postanowienia ogólne
      • Polityka powinna być poddawana przeglądowi/sprawdzeniu (audytowi) przynajmniej raz na rok. W razie istotnych zmian dotyczących przetwarzania danych osobowych Administrator Danych może zarządzić przegląd Polityki stosownie do potrzeb.
      • Do kontroli stanu ochrony danych osobowych w COREclinic upoważnieni są:

1. Administrator Danych,
2. Administrator Sytemu Informatycznego w zakresie uzgodnionym z Administratorem Danych,
3. Inspektor Ochrony Danych.
   • Administrator Danych analizuje, czy Polityka i pozostała dokumentacja z zakresu ochrony danych osobowych jest adekwatna do:
4. zmian w budowie systemu informatycznego,
5. zmian organizacyjnych Administratora Danych, w tym również zmian statusu osób upoważnionych do przetwarzania danych osobowych,
6. zmian w obowiązującym prawie.
   • Nie rzadziej niż raz w roku kontroli podlegają wszystkie systemy informatyczne przetwarzające dane osobowe oraz zabezpieczenia fizyczne i bezpieczeństwo osobowe.
   • Kontroli podlega sprzęt, system teleinformatyczny, realizacja zabezpieczeń oraz przestrzeganie Polityki.
   • Administrator Danych może, stosownie do potrzeb, przeprowadzić wewnętrzny audyt zgodności przetwarzania danych z przepisami o ochronie danych osobowych.
   • Zakres, przebieg i rezultaty audytu dokumentowane są na piśmie w protokole.
   • Administrator Danych może zlecić przeprowadzenie audytu zewnętrznego przez wyspecjalizowany podmiot.

27. Szkolenia pracowników i współpracowników
    • Postanowienia ogólne
      • Każdy pracownik i współpracownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub Zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
      • Za przeprowadzenie szkolenia odpowiada Administrator Danych.
      • Zakres szkolenia powinien obejmować zaznajomienie pracowników i współpracowników z przepisami ochrony danych osobowych oraz dokumentami obowiązującymi u Administratora Danych, a także o zobowiązaniu się do ich przestrzegania.
      • Szkolenie zostaje zakończone podpisaniem przez pracownika i współpracownika oświadczenia o zapoznaniu się z przepisami z zakresu ochrony danych osobowych oraz dokumentami obowiązującymi u Administratora Danych i jego zrozumieniu oraz zobowiązaniu się do przestrzegania zasad ochrony danych osobowych.
      • Dokument ten jest przechowywany w aktach osobowych pracownika oraz współpracownika i stanowi podstawę do podejmowania działań w celu nadania im uprawnień do korzystania z systemu informatycznego przetwarzającego dane osobowe.

28. Polityka Cookies

28.1.1. Nasza strona internetowa www.coreclinic.pl  korzysta z plików cookies, które są niewielkimi plikami tekstowymi wysyłanymi przez serwer i przechowywanymi przez przeglądarkę internetową. Dzięki nim, przy ponownym połączeniu z witryną, serwis rozpoznaje urządzenie użytkownika, co ułatwia korzystanie z wcześniej odwiedzanych stron.

28.1.2. Pliki cookies stosowane na naszej stronie są bezpieczne dla urządzeń użytkowników. Nie ma możliwości, aby wirusy lub inne niechciane oprogramowanie przedostały się do urządzeń użytkowników za pośrednictwem cookies.

28.1.3. Podmiotem zamieszczającym pliki cookies oraz uzyskującym do nich dostęp jest operator strony internetowej.

28.1.4. Pliki cookies wykorzystywane są w następujących celach:

a)Utrzymanie sesji użytkownika, co pozwala na uniknięcie konieczności ponownego wprowadzania danych na każdej podstronie.

1. b) Określenie profilu użytkownika w celu wyświetlania dopasowanych materiałów w sieciach reklamowych, w szczególności w sieci Google.

c)Tworzenie anonimowych statystyk, które pomagają zrozumieć, jak użytkownicy korzystają ze strony, co umożliwia jej ulepszanie.

28.1.5 Standardowo oprogramowanie do przeglądania stron internetowych domyślnie akceptuje pliki cookies. Użytkownicy mogą zmienić te ustawienia, aby blokować automatyczną obsługę cookies lub być informowani o ich przesyłaniu.

28.1.6 Użytkownicy mają możliwość w każdej chwili zmiany ustawień dotyczących plików cookies. Szczegółowe informacje na ten temat można znaleźć w ustawieniach przeglądarki internetowej.

Przykładowe opcje edytowania w popularnych przeglądarkach:

1. a) Google Chrome: wsparcie Google
2. b) Mozilla Firefox: wsparcie Mozilla
3. c) Microsoft Edge: wsparcie Microsoft
4. d) Safari: wsparcie Safari

28.1.7 Użytkownik może w każdej chwili usunąć pliki cookies, korzystając z odpowiednich funkcji przeglądarki.

28.1.8 Informujemy, że zmiany ustawień w przeglądarce mogą uniemożliwić poprawne działanie strony internetowej. Spółka nie ponosi odpowiedzialności za zmiany dokonywane przez użytkownika w jego przeglądarce.

28.2 Podmioty współpracujące

28.2.1. .Pliki cookies są również wykorzystywane przez podmioty współpracujące z naszą spółką, takie jak Google LLC oraz Facebook Inc. Obie firmy przystąpiły do programu EU-US Data Privacy Framework, co zapewnia odpowiedni stopień ochrony danych osobowych zgodnie z art. 45 RODO. W celu usprawnienia działania serwisu oraz zarządzania reklamą korzystamy z usług Google Analytics oraz Facebook Pixel, które mają własne polityki prywatności:

1. a) Polityka ochrony prywatności Google Analytics: Google Privacy Policy
2. b) Polityka prywatności Facebook: Facebook Cookies Policy.

28.3 Logi serwera

28.3.1. Informacje o niektórych zachowaniach użytkowników serwisu są logowane na poziomie serwera. Dane te są wykorzystywane wyłącznie do administrowania serwisem oraz zapewnienia sprawnej obsługi usług hostingowych. Przechowywane są przez 30 dni.

28.3.2. Zapisane dane mogą obejmować:

1. a) Czas nadejścia zapytania,
2. b) Czas wysłania odpowiedzi,
3. c) Nazwę stacji klienta (identyfikacja przez protokół HTTP),
4. d) Informacje o błędach występujących podczas realizacji transakcji HTTP,
5. e) Adres URL strony poprzednio odwiedzanej przez użytkownika (referer link),
6. f) Informacje o przeglądarce użytkownika,
7. g) Adres IP.

28.3.3. Dane te nie są kojarzone z konkretnymi osobami przeglądającymi strony i nie są wykorzystywane do profilowania w rozumieniu przepisów RODO.

28.3.4. Powyższe dane są wykorzystywane jedynie do celów administrowania serwerem.

28.3.5. Udostępnienie danych o logach serwera:

1. a) Dane mogą być udostępniane podmiotom zewnętrznym wyłącznie w granicach prawnie dozwolonych.
2. b) Dane umożliwiające identyfikację osoby fizycznej są udostępniane wyłącznie za jej zgodą.
3. c) Spółka może być zobowiązana do udzielania informacji zebranych przez stronę internetową upoważnionym organom na podstawie zgodnych z prawem żądań.
4. d) Użytkownik ma prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania. Aby skorzystać z tych praw, prosimy o kontakt z nami.

29.Postanowienia końcowe

• W sprawach nieuregulowanych niniejsza Polityką mają zastosowanie przepisy prawa o ochronie danych osobowych, w szczególności przepisy RODO.
• Każda Osoba upoważniona jest zobowiązana zapoznać się z niniejszą Polityką przed dopuszczeniem do przetwarzania danych osobowych oraz złożyć stosowne oświadczenie.
• Jakiekolwiek zmiany wprowadzane w załącznikach do niniejszego dokumentu nie wymagają zmiany decyzji wspólników, która wprowadziła niniejszą Politykę w życie.
• Polityka wchodzi w życie z dniem podjęcia przez wspólników uchwały w przedmiocie jej wprowadzenia.

30. Załączniki:

1. Załącznik Nr 1: Wzór upoważnienia do przetwarzania danych osobowych,
2. Załącznik Nr 2: Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych,
3. Załącznik nr 3: Wzór rejestru czynności przetwarzania,
4. Załącznik nr 4: Wzór dokumentu wyznaczającego ASI,
5. Załącznik nr 5: Wzór dokumentu odwołującego ASI,
6. Załącznik nr 6: Wzór arkusza do uwzględnienia ochrony danych w fazie projektowania,
7. Załącznik nr 7: Rejestr zgód,
8. Załącznik nr 8: Wzór formularza do przeprowadzenia analizy ryzyka,
9. Załącznik nr 9: Wzór rejestru incydentów ochrony danych,
10. Załącznik nr 10: Wzór raportu o przyczynach, przebiegu i wnioskach z naruszenia bezpieczeństwa ochrony danych,
11. Załącznik nr 11: Wzór zawiadomienia osoby, której dane dotyczą o naruszeniu jej danych osobowych,
12. Załącznik nr 12: Wzór kwestionariusza weryfikacji środków technicznych i organizacyjnych Podmiotu przetwarzającego,
13. Załącznik nr 13: Wzór umowy powierzenia przetwarzania danych,
14. Załącznik nr 14: Wzór rejestru podmiotów przetwarzających,
15. Załącznik nr 15: Procedura przekazywania danych poza EOG.

COREclinic sp. z o.o. sp. k.:

                           _________________________________
Przemysław Lutomski, Tomasz Stankowski