POLITYKA PRYWATNOŚCI GABINETU FIZJOMER
I. Administrator danych osobowych
INFORMACJA DLA PACJENTA
W związku z rezerwacją internetową/telefoniczną wizyty informujemy, że podane przez Państwa dane osobowe będą przetwarzane przez FIZJOMER Sp.zo.o., Aleja Armii Krajowej 46, 05-800 Pruszków, NIP: 5342669789 dalej jako ,,Administrator”.
Państwa dane osobowe będą przetwarzane na podstawie prawnej w postaci zgody, tj. art. 6 ust. 1 lit. a) oraz art. 9 ust. 2 lit. a) RODO (rozporządzenia PE i Rady UE 2016/679). Państwa dane osobowe będą przetwarzane wyłącznie przez czas niezbędny dla realizacji celu przetwarzania.
II. Informujemy, że przysługuje Państwu prawo do:
- dostępu do swoich danych osobowych;
- sprostowania swoich danych osobowych lub ich uzupełnienia;
- żądania usunięcia swoich danych osobowych;
- żądania ograniczenia przetwarzania swoich danych osobowych;
- przenoszenia swoich danych osobowych;
- wniesienia skargi do polskiego organu nadzoru;
- cofnięcia w dowolnym momencie zgody na przetwarzanie swoich danych osobowych.
Dane osobowe będą przekazywane pracownikom oraz osobom świadczącym pracę na podstawie stosunku cywilnoprawnego ze strony Administratora oraz w przypadku potrzeby – uprawnionym organom.
Dane osobowe nie będą przekazywane do państw trzecich i organizacji międzynarodowych ani nie będą podlegać zautomatyzowanym decyzjom, w tym profilowaniu. Wszelkie żądania związane z przetwarzaniem danych osobowych należy zgłaszać do Administratora listem poleconym lub drogą elektroniczną na adres kontakt@fizjomer.pl
Mając powyższe na uwadze, aby realizować ww. cele, w tym rejestrację wizyty w gabinecie FIZJOMER konieczne udzielenie zgody na przetwarzanie danych osobowych. Zgoda jest dobrowolna.
III. Przekazanie danych osobowych
- Podanie danych osobowych przez Użytkownika strony fizjomer.pl jest dobrowolne, jednak niezbędne do korzystania z usług oferowanych przez gabinet FIZJOMER Sp.zo.o. Bez podania wymaganych przez Administratora danych osobowych świadczenie tych usług nie będzie możliwe.
- Wszelkie dane osobowe, które Użytkownik wprowadzi do formularza rejestracyjnego, korespondencji oraz inne dane osobowe zebrane w trakcie korzystania przez Użytkownika z usług oferowanych przez gabinet FIZJOMER Sp.zo.o. są przetwarzane w sposób zgodny z wymogami określonymi w prawie polskim, a przede wszystkim ustawie z dnia 29.08.1997r. o ochronie danych osobowych (tekst jednolity: Dz.U. z 2014 r. poz. 1182 z późn.zm.), ustawie z dnia 18.07.2002 roku o świadczeniu usług drogą elektroniczną (Dz.U. z 2013 r. poz. 1422) oraz zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej „RODO”.
IV. Odbiorcy danych osobowych
- Administrator informuje, że odbiorcami danych osobowych będzie: podmiot zapewniający rejestracje telefoniczną i internetową (nie dotyczy danych “wrażliwych” o stanie zdrowia pacjenta), osoby fizyczne zatrudnione przez FIZJOMER Sp.zo.o., zajmujące się usługami zgodnie z profilem działalności firmy, upoważnione do tego na podstawie odrębnych przepisów organy państwowe, biura rachunkowe dla celów rozliczeń finansowych, operatorzy płatności.
- Administrator danych osobowych może powierzyć przetwarzanie zebranych danych osobowych Użytkowników innemu podmiotowi na podstawie zawartej z nim umowy powierzenia przetwarzania danych osobowych.
V. Prawo dostępu do informacji
- Użytkownik ma prawo dostępu do swoich danych osobowych i może dokonać ich weryfikacji lub poprawienia, a także usunięcia, poprzez skierowanie odpowiedniego żądania do Administratora.
- Użytkownik ma prawo ograniczenia przetwarzania i prawo przenoszenia danych osobowych. Jeżeli dane osobowe będą przetwarzane niezgodnie z wymogami prawnymi, wówczas Użytkownik ma prawo wniesienia skargi do organu nadzorczego.
- Użytkownikowi przysługuje prawo wniesienia sprzeciwu co do przetwarzania danych osobowych, w tym sprzeciwu dotyczącego przetwarzania na potrzeby marketingu bezpośredniego.
VI. Zakres przetwarzania danych
- Administrator przetwarza dane osobowe Użytkowników w zakresie niezbędnym do zawarcia, wykonania oraz rozwiązania stosunku prawnego, którego przedmiotem jest realizacja usług oferowanych przez gabinet FIZJOMER Sp.zo.o.
- Podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. b oraz art. 6 ust. 1 lit. f RODO. Prawnie uzasadnionym interesem administratora jest prowadzenie marketingu własnych usług.
- Administrator na podstawie udzielonej przez Użytkownika dodatkowej i opcjonalnej zgody ma prawo do wysyłania do niego na podane adresy e-mail lub numery telefonu informacji marketingowych. Zgoda, o której mowa w zdaniu poprzedzającym może zostać w każdej chwili odwołana przez Użytkownika. W przypadku wyrażenia takiej zgody, podstawą prawną przetwarzania danych osobowych jest także art. 10 ustawy z dnia 18.07.2002 r. o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy z dnia 16.07.2004 r. Prawo telekomunikacyjne.
- Dane osobowe będą przetwarzane przez czas potrzebny na realizację usług na rzecz Użytkownika przez Administratora, a po zakończeniu ich świadczenia przez czas potrzebny na wykazanie prawidłowości wykonania obowiązków Administratora na rzecz Użytkownika. Okres ten odpowiada długości okresu przedawnienia roszczeń. Dane osobowe przetwarzane w zakresie prowadzenia działań marketingowych będą przetwarzane przez czas ich prowadzenia przez Administratora lub wyrażenia przez Użytkownika sprzeciwu wobec dalszego przetwarzania danych osobowych w celach marketingowych, lub odwołania zgody na wysyłanie informacji marketingowych na adres e-mail lub numer telefonu.
VII. Dane wrażliwe
- Dane “wrażliwe” tzn. karty pacjentów wykorzystywane są wyłącznie przez zatrudnionych pracowników gabinetu FIZJOMER Sp.zo.o. Dane nie są udostępniane osobom trzecim i wykorzystywane wyłącznie w celach świadczenia usług fizjoterapeutycznych i medycznych. Dane “wrażliwe” gromadzone są w bezpiecznym miejscu i przechowywane przez okres niezbędny do prowadzenia usługi.
Polityka ochrony danych osobowych
§ 1.
- Niniejsza polityka ochrony danych określa zasady przetwarzania danych osobowych w podmiocie leczniczym FIZJOMER Sp.zo.o., Aleja Armii Krajowej 46, 05-800 Pruszków, NIP: 5342669789.
- Użyte w niniejszej polityce ochrony danych określenia oznaczają:
- Administrator – FIZJOMER Sp.z o.o., Aleja Armii Krajowej 46, 05-800 Pruszków, NIP: 5342669789, („Administrator”);
- Dane Osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w tym w szczególności imię, nazwisko, adres zamieszkania lub innego miejsca pobytu, PESEL, adres poczty elektronicznej, Dane Dotyczące Zdrowia oraz inne dane określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
- Dane Dotyczące Zdrowia – Dane Osobowe obejmujące dane o stanie zdrowia osoby, której dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dotyczą, w tym w szczególności informacje zbierane podczas rejestracji do usług opieki zdrowotnej lub podczas udzielania świadczeń zdrowotnych, numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych, informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych, a także wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła;
- Odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią, z wyłączeniem organów publicznych, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii Europejskiej lub prawem polskim;
- Pacjent – osoba zwracająca się o udzielenie świadczeń zdrowotnych lub korzystająca ze świadczeń zdrowotnych udzielanych przez Administratora;
- Personel –osoby świadczące pracę na rzecz Administratora w ramach stosunku pracy lub umów cywilnoprawnych;
- Polityka – niniejsza Polityka ochrony danych osobowych;
- Procesor – podmiot, któremu Administrator powierzył przetwarzanie Danych Osobowych;
- Prezes UODO – Prezes Urzędu Ochrony Danych Osobowych będący organem publicznym właściwym w sprawach danych osobowych;
- Przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taki jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
§ 2.
- Administrator przetwarza Dane Osobowe z zachowaniem zasad zgodności z prawem, rzetelności i przejrzystości.
- Dane Osobowe są zbierane i przetwarzane wyłącznie w wyraźnych i prawnie uzasadnionych celach zgodnie z zasadami ograniczenia celu oraz minimalizacji danych.
- Administrator przechowuje Politykę w wersji elektronicznej oraz w wersji papierowej w swojej siedzibie i udostępnia ją do wglądu osobom uprawnionym do przetwarzania Danych Osobowych oraz osobom, którym takie uprawnienie ma zostać nadane przez Administratora.
§ 3.
Administrator jest podmiotem leczniczym wykonującym działalność leczniczą na podstawie ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2022 r., poz. 633 z późn. zm.) i przetwarza Dane Osobowe:
- Pacjentów:
- w celach zdrowotnych, związanych z udzielaniem świadczeń zdrowotnych, w tym prowadzeniem i udostępnianiem dokumentacji medycznej – na podstawie art. 9 ust. 2 lit h RODO oraz art. 6 ust. 1 lit. c RODO ;
- w celu ochrony przed roszczeniami oraz w celu dochodzenia roszczeń oraz zapewnienia bezpieczeństwa osób i mienia – na podstawie prawnie uzasadnionego interesu Administratora, zgodnie z art. 6 ust. 1 lit. f RODO;
- w celach marketingowych oraz innych niewymienionych w lit. a i b – na podstawie zgody Pacjenta, zgodnie z art. 6 ust 1 lit. a RODO;
- Personelu:
- w celu profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności do pracy – art. 9 ust. 2 lit. h RODO;
- w celu zawarcia oraz realizacji umowy cywilnoprawnej – na podstawie art. 6 ust. 1 lit. b oraz art. 6 ust. 1 lit. c RODO;
- w celu ochrony przed roszczeniami oraz w celu dochodzenia roszczeń, jak również w celu zapewnienia procesu zarządzania przedsiębiorstwem Administratora i zapewnienia bezpieczeństwa osób i mienia – na podstawie prawnie uzasadnionego interesu Administratora, zgodnie z art. 6 ust. 1 lit. f RODO;
- w celach niewymienionych w lit. a – c – na podstawie zgody osoby, której dane dotyczą, zgodnie z art. 6 ust 1 lit. a RODO;
- innych osób:
- w zakresie zawartych umów, w celu zapewnienia ich realizacji – na podstawie art. 6 ust. 1 lit. b RODO;
- w celu zapewnienia procesu zarządzania przedsiębiorstwem Administratora oraz zapewnienia bezpieczeństwa osób i mienia – na podstawie prawnie uzasadnionego interesu Administratora, zgodnie z art. 6 ust. 1 lit. f RODO;
- w pozostałych celach – na podstawie zgody osoby, której dane dotyczą, zgodnie z art. 6 ust 1 lit. a RODO, o ile nie zachodzą inne podstawy przetwarzania Danych Osobowych, o których mowa w art. 6 oraz art. 9 RODO.
§ 4.
- Administrator zapewnia bezpieczeństwo Danych Osobowych w tym ochronę przed ich niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
- Realizację celów, o których mowa w ust. 1, Administrator zapewnia poprzez:
- stosowanie dokumentacji przetwarzania Danych Osobowych, określonej w załącznikach nr 5 i 6 do Polityki;
- dopuszczenie do Przetwarzania Danych Osobowych wyłącznie osób upoważnionych przez Administratora na piśmie oraz osób zobowiązanych do zachowania tajemnicy zawodowej w związku z wykonywanym zawodem medycznym (lekarze, pielęgniarki), chyba, że upoważnienie do przetwarzania danych osobowych wynika wprost z przepisów prawa powszechnie obowiązującego;
- powierzanie Przetwarzania Danych Osobowych wyłącznie na podstawie odrębnych umów o powierzenie Przetwarzania Danych Osobowych;
- prowadzenie i udostępnianie dokumentacji medycznej zgodnie z przepisami prawa powszechnie obowiązującego w tym m.in. ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn. Dz. U. z 2020 r., poz. 849 ze zm.) oraz rozporządzenia Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. 2020, poz. 666);
- szkolenia Personelu z zakresu zasad Przetwarzania Danych Osobowych;
- prowadzenie rejestru czynności Przetwarzania, zgodnie z wzorem stanowiącym załącznik nr 1 do Polityki;
- monitorowanie naruszeń ochrony Danych Osobowych i prowadzenie rejestru naruszeń, zgodnie z wzorem stanowiącym załącznik nr 2 do Polityki;
- stosowanie środków technicznych ochrony Danych Osobowych, w szczególności:
- ochrony budynku i systemu alarmowego;
- stosowanie monitoringu wizyjnego;
- zabezpieczeń antywłamaniowych w stolarce drzwiowej i okiennej;
- stosowanie szaf i pojemników zapewniających należyty poziom bezpieczeństwa Danych Osobowych;
- zabezpieczeń teleinformatycznych (m.in. ograniczony dostęp do systemów, oprogramowanie antywirusowe, firewall, certyfikaty SSL na stronie internetowej).
- Administrator nie jest zobowiązany do przeprowadzenia oceny skutków dla ochrony Danych Osobowych, o której mowa w art. 35 ust. 1 RODO.
- Administrator nie jest zobowiązany do wyznaczenia inspektora ochrony danych, o którym mowa w art. 37 ust. 1 RODO.
§ 5.
- Dostęp Personelu do Danych Osobowych uzasadniony jest zakresem ich zadań i obowiązków.
- Personel zobowiązany jest do:
- zapoznania się z treścią Polityki, a także – w zakresie uzasadnionym zakresem zadań i obowiązków – z przepisami prawa z zakresu ochrony danych osobowych, oraz do bezwarunkowego ich przestrzegania;
- dbałości o bezpieczeństwo przetwarzanych Danych Osobowych, w tym w szczególności do ich ochrony przed dostępem osób nieuprawnionych, utratą, bezprawną modyfikacją lub zniszczeniem;
- prowadzenia i udostępniania dokumentacji medycznej Pacjentów zgodnie z obowiązującymi w tym zakresie przepisami prawa oraz jej zabezpieczenia przed utratą lub zniszczeniem;
- w przypadku udostępniania dokumentacji medycznej – do rzetelnej weryfikacji tożsamości osoby, której dane są udostępniane;
- w przypadku udostępniania dokumentacji medycznej w formie elektronicznej – do jej uprzedniego zaszyfrowania lub innego zabezpieczenia przed dostępem osób nieuprawnionych;
- niewynoszenia nośników zawierających Dane Osobowe poza teren zakładu leczniczego Administratora;
- korzystania z urządzeń oraz systemów teleinformatycznych Administratora w sposób zapewniający ochronę Danych Osobowych przed dostępem osób nieuprawnionych m.in. poprzez:
- stosowanie indywidualnych, niepowtarzalnych haseł dostępu,
- niepozostawianie urządzeń bez nadzoru,
- zamykanie pomieszczeń, w których pracują urządzenia, na których przetwarzane są Dane Osobowe,
- wyłączanie urządzeń po zakończeniu użytkowania,
- nieudostępniania danych dostępowych (loginów i haseł) osobom nieuprawnionym,
- stosowanie oprogramowania antywirusowego oraz oprogramowania typu firewall.
- zamykania na klucz pomieszczeń, w których przechowywane są Dane Osobowe;
- przechowywania w miejscu pracy (pokoje, gabinety, recepcja itp.) dokumentów i innych nośników zawierających Dane Osobowe wyłącznie w przeznaczonych do tego pojemnikach/szafach/biurkach;
- niepozostawiania dokumentów i innych nośników zawierających Dane Osobowe w miejscu pracy w sposób niezabezpieczony przed dostępem osób nieuprawnionych, również po zakończonej pracy („zasada czystego biurka”);
- nieudostępniania Danych Osobowych osobom, których tożsamości nie można zweryfikować, lub co do której istnieją uzasadnione wątpliwości;
- nieujawniania Danych Osobowych Pacjentów w ogólnodostępnych pomieszczeniach zakładu leczniczego Administratora;
- niezwłocznego informowania Administratora o każdym przypadku niezgodnego z prawem lub niniejszą Polityką przypadku przetwarzania Danych Osobowych;
- zachowania poufności Danych Osobowych również po ustaniu stosunku pracy lub innego stosunku prawnego łączącego członka Personelu z Administratorem;
- Naruszenie postanowień Polityki przez członka Personelu stanowi ciężkie naruszenie obowiązków pracowniczych, a w przypadku osób świadczących na rzecz Administratora pracę na innej podstawie niż stosunek pracy, stanowi rażące naruszenie obowiązków umownych.
§ 6.
- Administrator może powierzyć Przetwarzanie Danych Osobowych podmiotom trzecim, z których usług korzysta, jeżeli realizacja tych usług wymaga przetwarzania Danych Osobowych, w szczególności:
- dostawcom usług hostingowych;
- podmiotom serwisującym urządzenia i systemy teleinformatyczne, o ile świadczenie tych usług wiąże się z dostępem do Danych Osobowych;
- dostawcom oprogramowania do obsługi informatycznej Administratora, w tym w szczególności oprogramowania do prowadzenia dokumentacji medycznej oraz systemu rezerwacji wizyt.
- Szczegółowe warunki powierzenia Procesorowi przetwarzania Danych Osobowych określa umowa.
- Administrator może udostępnić Dane Osobowe innym podmiotom wykonującym działalność leczniczą jeżeli jest to uzasadnione procesem leczenia, w szczególności dla zapewnienia ciągłości świadczeń zdrowotnych, oraz innym podmiotom uprawnionym do otrzymania Danych Osobowych na podstawie odrębnych przepisów.
§ 7.
- Administrator przetwarza Dane Osobowe z poszanowaniem praw osób, których dane dotyczą:
- prawa do informacji o Przetwarzaniu Danych Osobowych (art. 13 – 14 RODO);
- prawa dostępu do Danych Osobowych oraz uzyskania kopii Danych Osobowych (art. 15 RODO);
- prawa żądania sprostowania Danych Osobowych (art. 16 RODO);
- prawa żądania usunięcia Danych Osobowych (art. 17 RODO);
- prawa żądania ograniczenia Przetwarzania Danych Osobowych (art. 18 RODO);
- prawo przenoszenia Danych Osobowych (art. 20 RODO);
- prawo sprzeciwu wobec Przetwarzania Danych Osobowych (art. 21 RODO);
- praw wynikających z przepisów odrębnych.
- Prawo do informacji jest realizowane przez Administratora poprzez przekazanie osobie, której dane dotyczą, informacji w formie klauzuli informacyjnej.
- Na żądanie osoby, której dane dotyczą, Administrator udostępnia jej kopię Danych Osobowych. Pierwsze udostępnienie następuje nieodpłatnie. Za każde kolejne udostępnienie Administrator może pobrać opłatę w wysokości wynikającej z kosztów administracyjnych. O wysokości opłaty Administrator informuje osobę, której dane dotyczą przed udostępnieniem kopii Danych Osobowych.
- W przypadku, gdy udostępnienie, o którym mowa w ust. 3, dotyczy danych zawartych w dokumentacji medycznej Pacjenta, Administrator udostępnia dokumentację na zasadach określonych w ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn. Dz. U. 2020 r., poz. 849 ze zm.) oraz w regulaminie organizacyjnym Administratora.
- W przypadku otrzymania żądania sprostowania Danych Osobowych Administrator niezwłocznie dokonuje weryfikacji zasadności żądania, a w przypadku, gdy żądanie jest uzasadnione – dokonuje sprostowania Danych Osobowych i informuje o tym osobę, której dane dotyczą oraz każdego odbiorcę Danych Osobowych, chyba, że będzie to niemożliwe lub będzie wymagać nadmiernego wysiłku.
- W przypadku otrzymania żądania usunięcia Danych Osobowych Administrator niezwłocznie dokonuje ich usunięcia, z wyłączeniem przypadków określonych w art. 17 ust. 3 RODO. W odniesieniu do Danych Osobowych zawartych w dokumentacji medycznej Pacjenta usunięcie Danych Osobowych nie może nastąpić przed upływem okresu przechowywania dokumentacji medycznej wynikającego z przepisów prawa powszechnie obowiązującego.
- Prawo przenoszenia Danych Osobowych oraz prawo sprzeciwu wobec przetwarzania Danych Osobowych nie dotyczą Danych Osobowych przetwarzanych na podstawie art. 9 ust. 2 lit. h RODO.
- W przypadku otrzymania od osoby, której dane dotyczą, żądania związanego z realizacją praw, o których mowa w ust. 1 lit. b-g, Administrator zobowiązany jest bez zbędnej zwłoki udzielić osobie, której dane dotyczą, informacji o podjętych działaniach. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.
- Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
- W przypadku odmowy podjęcia działań w związku z żądaniem Administrator informuje osobę, której dane dotyczą o powodach niepodjęcia działań oraz o możliwości złożenia skargi na do Prezesa UODO oraz skorzystania ze środków ochrony prawnej przed sądem.
§ 8.
- Administrator prowadzi rejestr czynności Przetwarzana Danych Osobowych.
- Rejestr czynności Przetwarzania prowadzony jest w formie pisemnej lub elektronicznej i jest udostępniany na każde żądanie Prezesa UODO.
§ 9.
- Administrator prowadzi rejestr naruszeń ochrony Danych Osobowych.
- Naruszeniem ochrony Danych Osobowych jest każde naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych, w szczególności:
- naruszenie bezpieczeństwa systemów teleinformatycznych wykorzystywanych w działalności Administratora;
- udostępnienie Danych Osobom nieuprawnionym lub powstanie bezpośredniego niebezpieczeństwa takiego udostępnienia;
- Przetwarzanie Danych Osobowych w sposób sprzeczny z przepisami prawa lub niniejszą Polityką;
- bezprawne uszkodzenie, utrata, zmiana lub ujawnienie Danych Osobowych;
- naruszenie praw, o których mowa w § 7 ust. 1.
- W przypadku podejrzenia naruszenia ochrony Danych Osobowych Administrator niezwłocznie weryfikuje, czy doszło do naruszenia i czy naruszenie mogło spowodować ryzyko naruszenia praw i wolności osób, których dane dotyczą.
- W przypadku stwierdzenia naruszenia, Administrator niezwłocznie, nie później jednak niż w terminie 72 godzin o stwierdzeniu naruszenia zawiadamia Prezesa UODO. Wzór zawiadomienia określa załącznik nr 3 do Polityki.
- Jeżeli naruszenie ochrony Danych Osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu, chyba, że zachodzą okoliczności wskazane w art. 34 ust. 3 RODO.
§ 10.
- Wszystkie załączniki do Polityki stanowią jej integralną część.
- Administrator zapoznaje Personel z treścią Polityki i poucza o obowiązku bezwzględnego jej stosowania.