POLITYKA PRYWATNOŚCI
Niniejsza Polityka prywatności realizuje zasady wynikające z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO.
I. POJĘCIA
1. Administrator danych osobowych – lek. med. Hubert Popiak prowadzący działalność gospodarczą w formie indywidualnej praktyki lekarskiej z siedzibą przy ul. Jeleniogórskiej 1/3F m. 50, 60-179 Poznań, NIP: 7811699210, REGON: 301645043.
2. Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), w szczególności poprzez identyfikator taki jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, adres mail lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, zdrowotną, genetyczną lub psychiczną tożsamość osoby fizycznej.
3. Zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
4. Przetwarzanie danych osobowych – to operacja lub zestaw operacji wykonywanych na danych osobowych lub zbiorze danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
5. Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
6. Upoważniony – osoba fizyczna lub prawna, organ publiczny, inna jednostka organizacyjna z wyłączeniem osoby, której dane dotyczą, administratora, podmiotu przetwarzającego, która z upoważnienia administratora lub podmiotu przetwarzającego może przetwarzać dane osobowe.
II. WSTĘP
1. Niniejsza Polityka Prywatności dotyczy wszelkich danych osobowych przetwarzanych przez administratora danych osobowych, niezależnie od formy ich przetwarzania (papierowa, elektroniczna, teleinformatyczna) oraz tego czy dane te tworzą zbiory danych osobowych.
2. Polityka Prywatności udostępniana jest każdemu, którego dane osobowe są przetwarzane przez administratora, a Podmiot Przetwarzający i Upoważniony zobowiązany jest do zapoznania się i stosowania niniejszej Polityki Prywatności.
3. Polityka Prywatności jest udostępniona w wersji elektronicznej na stronie internetowej: https://konopya.pl oraz w wersji papierowej w siedzibie administratora danych osobowych.
4. Przetwarzane dane osobowe są objęte tajemnicą zawodową, również po śmierci osoby, której dane te dotyczą. Nadto Upoważnieni, Podmioty przetwarzające, w tym wykonujące czynności związane z utrzymaniem i zapewnieniem bezpieczeństwa systemu teleinformatycznego, w którym m.in. przetwarzane są dane osobowe są związane tajemnicą, także po śmierci osoby, której dane dotyczą.
5. Dla realizacji Polityki Prywatności administrator danych osobowych zapewnia:
a) odpowiednie do zagrożeń środki techniczne i rozwiązania organizacyjne, służące ochronie tych danych w trakcie ich przetwarzania, w szczególności poprzez uwierzytelnianie dostępu Upoważnionych do tych danych,
b) kontrolę i nadzór nad przetwarzaniem danych osobowych,
c) monitorowanie stosowanych środków ochrony.
6. Monitorowanie przez administratora danych osobowych zastosowanych środków ochrony obejmuje m.in. kontrolę dostępu do danych osobowych, zapewnienie integralności plików oraz zabezpieczenie przed atakami zewnętrznymi oraz wewnętrznymi.
7. Czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą Polityką Prywatności oraz obowiązującymi przepisami prawa.
III. ZARZĄDZANIE BEZPIECZEŃSTWEM
1. Podmioty przetwarzające i Upoważnieni zobowiązani są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa i zgodnie z niniejszą Polityką Prywatności, a także w zgodzie z innymi dokumentami wewnętrznymi, procedurami i zasadami związanymi z przetwarzaniem danych osobowych, obowiązującymi u administratora danych osobowych.
2. Dane osobowe są przetwarzane z poszanowaniem reguł staranności przy przetwarzaniu, przewidzianych przez przepisy prawa, w szczególności:
a) za pisemną (lub wyrażoną w formie elektronicznej) zgodą osoby, których dane dotyczą (wg oświadczenia w załączniku nr 5 do niniejszej Polityki Prywatności), chyba że przetwarzanie to jest wymagane lub dopuszczalne na podstawie bezpośrednio wiążącego administratora przepisu prawa,
b) rzetelnie i w sposób przejrzysty,
c) zbieranie ich odbywa się w konkretnych, wyraźnych i prawnie uzasadnionych celach, przy czym zakazane jest przetwarzanie w sposób niezgodny z tymi celami,
d) w takim zakresie, jaki jest niezbędny dla osiągnięcia celów ich przetwarzania,
e) poprzez ich uaktualnianie tak by były one prawidłowe,
f) przez czas ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane,
g) wobec osób, które dane dotyczą realizowany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO,
h) są one zabezpieczone przed nieuprawnionym dostępem do nich zgodnie z regułami ich ochrony.
3. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:
a) naruszenie bezpieczeństwa systemów teleinformatycznych administratora danych osobowych, w których przetwarzane są te dane, w razie ich przetwarzania w takich systemach;
b) udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym;
c) zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;
d) niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczania;
e) przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich przetwarzania;
f) spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych;
g) naruszenie praw osób, których dane są przetwarzane.
4. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych każdy kto o tym posiada wiedzę, w tym Użytkownik i Podmiot przetwarzający, zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia o tym administratora danych osobowych.
5. Do obowiązków administratora danych osobowych gdy zatrudnia, kończy zatrudnianie lub zmienia warunki zatrudnienia osób, także zatrudnianych w formie umów cywilnoprawnych lub samozatrudnienia, należy dbałość o to by:
a) osoby te były odpowiednio przygotowane do wykonywania swoich obowiązków w zakresie przetwarzania danych osobowych,
b) każdy z przetwarzających dane osobowe był pisemnie upoważniony do przetwarzania (upoważnienie do przetwarzania danych osobowych) – załącznik nr 2 do niniejszej Polityki Prywatności,
c) każda z tych osób zobowiązała się na piśmie pod groźbą odpowiedzialności karnej do zachowania danych osobowych udostępnionych jej przez administratora danych osobowych w tajemnicy – załącznik nr 3 do niniejszej Polityki Prywatności.
6. Osoby zatrudnione zobowiązane są do:
a) ścisłego przestrzegania zakresu nadanego upoważnienia,
b) zachowania reguł bezpieczeństwa i staranności przy przetwarzaniu danych osobowych, w tym do należytego prowadzenia i przechowywania dokumentacji,
c) przetwarzania i ochrony danych osobowych zgodnie z przepisami prawa i niniejszą Polityką Prywatności,
d) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia,
e) niezwłocznego zgłaszania przypadków naruszenia bezpieczeństwa danych, niewłaściwego funkcjonowaniem systemu teleinformatycznego oraz nieuprawnionego uzyskania dostępu do tych danych.
7. Serwis internetowy administratora danych osobowych korzysta z plików „cookies”, które gromadzą informację o aktywności użytkownika na konkretnych podstronach i pozwalają w następstwie tego na wyświetlanie przez serwis zindywidualizowanej dla użytkownika informacji. Skorzystanie z tej funkcjonalności wymaga jednak akceptacji odrębnej polityki „cookies” i nieusuwanie tych plików z pamięci komputera. Serwis zastrzega jednak brak odpowiedzialności za działanie plików „cookies” oraz za politykę „cookies”.
IV. MIEJSCE PRZETWARZANIA DANYCH OSOBOWYCH
1. Miejsce, w którym przetwarzane są dane osobowe przez administratora danych osobowych obejmuje jego siedzibę.
2. Miejscem, w którym przetwarzane są ponadto dane osobowe przez administratora danych osobowych to wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym w pkt 1, a należące do administratora danych osobowych.
V. ŚRODKI TECHNICZNE I ORGANIZACYJNE, ZABEZPIECZAJĄCE DANE OSOBOWE
1. Administrator danych osobowych stosuje wszelkie niezbędne środki techniczne i organizacyjne dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzania danych osobowych.
2. Zastosowane środki ochrony (techniczne i organizacyjne) są adekwatne do poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. Środki obejmują:
a) ograniczenie do Upoważnionych i Podmiotów przetwarzających dostępu do pomieszczeń, w których przetwarzane i przechowywane są dane osobowe i kontrola tego dostępu, inne osoby mogą przebywać w tych pomieszczeniach tylko w towarzystwie Upoważnionego lub Podmiotu przetwarzającego;
b) zamykanie miejsc przetwarzania danych osobowych określonych w pkt IV powyżej na czas nieobecności Upoważnionych lub Podmiotu przetwarzającego, w sposób uniemożliwiający dostęp do nich osób trzecich;
c) wykorzystywanie do zabezpieczania dokumentów zamykanych szafek, szuflad i sejfów;
d) umieszczanie danych wrażliwych tzw. sensytywnych, dotyczących m.in. stanu zdrowia danej osoby w osobnej, zaklejanej kopercie, która dopiero umieszczana jest w aktach tej osoby;
e) wykorzystywanie niszczarki do definitywnego usuwania dokumentów zawierających dane osobowe;
f) ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu zapory sieciowej (firewall) i systemów antywirusowych;
g) wykonywanie kopii awaryjnych danych zgromadzonych w systemie informatycznym;
h) zabezpieczenie dostępu do urządzeń przy pomocy identyfikatora użytkownika lub hasła (uwierzytelnienie dostępu);
i) wykorzystanie szyfrowania danych przy ich transmisji.
VI. NARUSZENIE ZASAD OCHRONY DANYCH OSOBOWYCH.
1. W przypadku stwierdzenia naruszenia ochrony danych osobowych administrator dokonuje oceny czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób trzecich lub osób, które dane dotyczą.
2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, administrator zawiadamia o incydencie także osobę, której dane dotyczą.
VII. POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
1. Administrator danych osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO i tylko jeżeli są to dane, które może ujawnić bez naruszenia tajemnicy.
2. Przed powierzeniem przetwarzania danych osobowych administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach Podmiotu przetwarzającego, dotyczących zabezpieczenia danych osobowych.
VIII. PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTWA TRZECIEGO
Administrator danych osobowych nie przekazuje danych osobowych do państwa trzeciego albo organizacji międzynarodowej, poza przypadkiem, w którym następuje to na pisemny wniosek osoby, której dane dotyczą, chyba że państwo trzecie albo organizacja międzynarodowa nie zapewnia odpowiedniego poziomu ochrony danych osobowych.
IX. POSTANOWIENIA KOŃCOWE.
1. Za niedopełnienie obowiązków wynikających z niniejszej Polityki Prywatności, osoba zatrudniona (pracownik lub zleceniobiorca) ponosi odpowiedzialność zgodnie z Kodeksem pracy, przy czym niedopełnienie to stanowi zawsze powód rozwiązania umowy bez wypowiedzenia, a także ponosi odpowiedzialność cywilną, w tym odszkodowawczą na podstawie Kodeksu cywilnego oraz odpowiedzialność karną na podstawie Kodeksu karnego za ujawnienie tajemnicy służbowej i zawodowej.
2. Integralną częścią niniejszej Polityki Prywatności są również wzory następujących dokumentów:
a) rejestr czynności przetwarzania danych osobowych;
b) upoważnienie do przetwarzania danych osobowych;
c) oświadczenie i zobowiązanie osoby przetwarzającej dane osobowe;
d) zgłoszenie naruszenia zasad ochrony danych do organu nadzorczego;
e) oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych.
3. Niniejsza Polityka Prywatności może być w każdym czasie zmieniona ze względu na zmiany w przepisach powszechnie obowiązującego prawa, rozwój technologii i samego serwisu internetowego administratora danych osobowych. O każdej zmianie w Polityce Prywatności informacje zostaną umieszczone w siedzibie administratora oraz na stronie internetowej: https://konopya.pl.
—WZÓR—
……………………………………………….. ………………………………………………..
imię i nazwiskomiejsce, data
………………………………………………..
adres zamieszkania
………………………………………………..
numer telefonu kontaktowego
OŚWIADCZENIE
o wyrażeniu zgody na przetwarzanie danych osobowych
Oświadczam, że wyrażam zgodę na przetwarzanie moich danych osobowych, w tym danych o których mowa w art. 9 ust. 1 w zw. z ust. 2 lit. a) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), a w szczególności danych o stanie zdrowia, przebytych chorobach, nałogach, uczuleniach, hospitalizacjach, zażywanych przeze mnie lekach, chorobowych predyspozycjach rodzinnych przez lek. med. Huberta Popiaka udzielającego świadczeń zdrowotnych z udziałem medycznych konopi oraz przez osoby działające na jego rzecz, w celu wykonania na moją rzecz świadczeń zdrowotnych poprzez udzielanie zaleceń medycznych w zakresie stosowania i dawkowania określonego rodzaju medycznej konopi oraz poprzez identyfikację celem kontynuowania udzielania świadczeń zdrowotnych w tym zakresie.
…………………………………………………..
podpis