POLITYKA PRYWATNOŚCI
Zachowanie poufności Pan/Pani danych jest dla nas niezwykle ważne i chcemy, aby każdy pacjent wiedział, w jaki sposób je przetwarzamy. W tym celu przygotowaliśmy Politykę prywatności, która opisuje sposób ochrony i przetwarzania danych osobowych pacjentów, a także osób przez nich upoważnionych lub działających w ich imieniu. Przedmiotowa informacja została opracowana na podstawie obowiązującego od dnia 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej również jako „RODO”)
I. ADMINISTRATOR DANYCH OSOBOWYCH
Administratorem danych osobowych jest NIEPUBLICZNY ZAKŁAD USŁUG PIELEGNIARSKICH i REHABILITACYJNYCH "El-med" Elżbieta Lipka Ul. Koniecpolska 90 42-230 Radoszewnica identyfikujący się numerami NIP 949-012-63-21 (dalej również jako „EL-med” lub „Administrator”).
II. CELE PRZETWARZANIA DANYCH OSOBOWYCH
1. EL-med przetwarza dane osobowe pacjenta w celu:
a. podjęcia na żądanie pacjenta lub osoby działającej w jego imieniu działań zmierzających do udzielenia mu świadczeń zdrowotnych oraz udzielania pacjentowi świadczeń zdrowotnych. Administrator przetwarza te dane na podstawie art. 6 ust. 1 lit. b) RODO[1] oraz art. 9 ust. 2 lit. h) RODO[2].
b. prowadzenia i przechowywania dokumentacji medycznej. Administrator przetwarza te dane na podstawie art. 6 ust. 1 lit. c) RODO[3] oraz art. 9 ust. 2 lit. h) RODO.
c. realizacji praw pacjentów. Administrator przetwarza te dane na podstawie art. 6 ust. 1 lit. c) RODO oraz art. 9 ust. 2 lit. h) RODO.
d. przeprowadzanie obowiązkowych szczepień ochronnych oraz raportowanie stanu zaszczepień odpowiednim organom. Administrator przetwarza te dane na podstawie art. 6 ust. 1 lit. c) RODO oraz art. 9 ust. 2 lit. h) RODO.
e. wypełnienia innych niż wskazanych wyżej obowiązków prawnych ciążących na Administratorze, które związane są z działalnością leczniczą (w szczególności obowiązków przewidzianych przepisami prawa podatkowego). Administrator przetwarza te dane na podstawie art. 6 ust. 1 lit. c) RODO oraz art. 9 ust. 2 lit. h) RODO.
f. ochrony żywotnych interesów pacjentów. Administrator przetwarza te dane na podstawie art. 6 ust. 1 lit d) RODO[4] oraz art. 9 ust. 2 lit. c) RODO[5].
g. ustalenia, dochodzenia lub obrony roszczeń. Administrator przetwarza te dane na podstawie art. 6 ust. 1 lit. f) RODO[6].
h. prowadzenia komunikacji za pośrednictwem elektronicznych form komunikowania się na odległość. Administrator przetwarza te dane na podstawie art. 6 ust. 1 lit a) RODO.
2. EL-med przetwarza dane osobowe osób upoważnionych przez pacjenta lub działających w jego imieniu w celu:
a. ustalenia uprawnienia takiej osoby, w tym do działania w imieniu pacjenta. Administrator przetwarza te dane na podstawie art. 6 ust. 1 lit. c) RODO.
b. prowadzenia i przechowywania dokumentacji medycznej. Administrator przetwarza te dane na podstawie art. 6 ust. 1 lit. c) RODO.
c. wypełnienia innych niż wskazanych wyżej obowiązków prawnych ciążących na Administratorze, które związane są z działalnością leczniczą (w szczególności obowiązków przewidzianych przepisami prawa podatkowego). Administrator przetwarza te dane na podstawie art. 6 ust. 1 lit. c) RODO.
d. ustalenia, dochodzenia lub obrony roszczeń. Administrator przetwarza te dane na podstawie art. 6 ust. 1 lit. f) RODO[9].
e. prowadzenia komunikacji za pośrednictwem elektronicznych form komunikowania się na odległość. Administrator przetwarza te dane na podstawie art. 6 ust. 1 lit a) RODO.
3. Ponadto EL-med przetwarza dane osobowe pacjentów, osób upoważnionych przez pacjenta lub działających w jego imieniu w innych, prawem dopuszczalnych, celach bezpośrednio lub pośrednio związanych z celami, o których mowa powyżej w szczególności w statystycznych, w celach związanych z audytami, kontrolą zarządczą, lub w celach związanych z doradztwem. Administrator przetwarza te dane osobowe na podstawie art. 6 ust. 1 lit. f) RODO, to jest w celu realizacji prawnie usprawiedliwionych celów Administratora.
III. KATEGORIE PRZETWARZANYCH DANYCH OSOBOWYCH
1. Zakres przetwarzanych danych osobowych pacjentów obejmuje w szczególności dane osobowe Pacjenta, o których mowa w Ustawie z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia:
- imię (imiona) i nazwisko,
- nazwisko rodowe,
- płeć,
- obywatelstwo,
- wykształcenie,
- numer PESEL,
- datę urodzenia,
- w przypadku osób, które nie mają nadanego numeru PESEL – numer paszportu albo innego dokumentu stwierdzającego tożsamość,
- adres miejsca zamieszkania i adres do korespondencji,
- adres miejsca pobytu na terytorium Rzeczypospolitej Polskiej, jeżeli dana osoba nie ma na terytorium Rzeczypospolitej Polskiej miejsca zamieszkania,
- adres poczty elektronicznej,
- numer i rodzaj dokumentu potwierdzającego prawo do świadczeń opieki zdrowotnej finansowanych ze środków publicznych,
- stopień niepełnosprawności,
- rodzaj uprawnień oraz numer i termin ważności dokumentów potwierdzających uprawnienia do świadczeń opieki zdrowotnej określonego rodzaju oraz datę utraty tych uprawnień,
- numery identyfikacyjne i numery ewidencyjne nadawane usługobiorcom przez płatników lub usługodawców,
- datę zgonu,
- dane dotyczące zaświadczenia lekarskiego, o których mowa w art. 55 ust. 3 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (Dz. U. z 2017 r. poz. 1368),
- przyczynę zgonu,
- informację o prawie do świadczeń opieki zdrowotnej finansowanych ze środków publicznych,
- numer identyfikacyjny płatnika,
- numer telefonu kontaktowego,
- informację o sprzeciwie zawartym w centralnym rejestrze sprzeciwów na pobranie komórek, tkanek i narządów ze zwłok ludzkich, o którym mowa w art. 7 ust. 1 ustawy z dnia 1 lipca 2005 r. o pobieraniu, przechowywaniu i przeszczepianiu komórek, tkanek i narządów (Dz. U. z 2017 r. poz. 1000);
- jednostkowe dane medyczne.
2. Zakres przetwarzanych danych osobowych osób upoważnionych przez pacjenta lub działających w jego imieniu (np. przedstawiciele ustawowi) obejmuje dane identyfikacyjne, a w szczególności
- imię (imiona) i nazwisko, adres do korespondencji,
- numer PESEL,
- płeć,
- obywatelstwo,
- adres miejsca zamieszkania i adres do korespondencji,
- numer telefonu kontaktowego,
- adres poczty elektronicznej,
- rodzaj uprawnień oraz numer i termin ważności dokumentów potwierdzających uprawnienia do świadczeń opieki zdrowotnej określonego rodzaju oraz datę utraty tych uprawnień,
- numer i rodzaj dokumentu potwierdzającego prawo do świadczeń opieki zdrowotnej finansowanych ze środków publicznych.
IV. KATEGORIE ODBIORCÓW DANYCH OSOBOWYCH
Przed odbiorcę danych rozumiem się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu Administrator ujawnia dane osobowe, niezależnie od tego, czy jest stroną trzecią. Przy czym organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców. Dane osobowe pacjenta oraz osób upoważnionych przez pacjenta lub działających w jego imieniu mogą być udostępniane przez Administratora następującym odbiorcom lub grupom odbiorców:
1. Podmiotom leczniczym, współpracującym ze Administratorem przy udzieleniu świadczeń zdrowotnych,
2. Podmiotom świadczącym usługi prawne związane z działalnością Administratora
3. Podmiotom świadczącym usługi informatyczne związane z działalnością Administratora, w tym usługi hostingowe;
4. Podmiotom upoważnionym do odbioru danych osobowych na podstawie odpowiednich przepisów prawa;
5. Ubezpieczycielom;
6. Podmiotom świadczącym usługi audytorskie i inne związane z kontrolowaniem działalności Administratora;
7. Innym niż wskazane powyżej podmiotom, które na podstawie przepisów prawa uprawnione są do uzyskiwania od Administratora informacji związanych z działalnością Administratora, które to informacje mogą obejmować dane osobowe pacjenta oraz osób upoważnionych przez pacjenta lub działających w jego imieniu.
V. OKRES PRZETWARZANIA DANYCH OSOBOWYCH
1. Dane osobowe pacjentów przetwarzane są przez okres niezbędny dla realizacji celów ich przetwarzania.
a. W przypadku udzielenia świadczeń zdrowotnych, dane osobowe przetwarzane są do czasu zakończenia realizacji tych świadczeń, a po tym czasie – przez okres wymagany przepisami prawa.
b. W przypadku prowadzenia dokumentacji medycznej, dane osobowe przetwarzane są przez okres wymagany przepisami prawa.
c. W przypadku ochrony żywotnych interesów pacjentów, dane osobowe przetwarzane są przez okres niezbędny do realizacji tej ochrony.
2. Dane osobowe pacjentów oraz osób upoważnionych przez pacjenta lub działających w jego imieniu przechowywane są przez Administratora zez okres niezbędny dla realizacji celów ich przetwarzania.
a. W przypadku prowadzenia dokumentacji medycznej, dane osobowe przetwarzane są co do zasady przez okres 20 lat licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu; przepisy prawa w szczególnych przypadkach przewidują jednakże krótszy bądź dłuższy okres prowadzenia dokumentacji medycznej.
b. W przypadku realizacji obowiązków podatkowych, dane osobowe przetwarzane są przez okres 5 lat licząc od końca roku kalendarzowego, w którym powstał obowiązek podatkowy;
c. W przypadku innych ciążących na Administratorze obowiązków prawnych związanych z prowadzoną działalnością leczniczą, dane osobowe przetwarzane są przez okres przewidziany przepisami prawa;
d. W przypadku ustalenia, dochodzenia lub obrony roszczeń, dane osobowe przetwarzane są przez okres, w którym możliwe jest dochodzenie roszczeń na drodze sądowej, to jest do czasu upływu terminu przedawnienia roszczeń.
e. W przypadku marketingu usług, dane osobowe przetwarzane są:
- i. przez okres wskazany w zgodzie, nie dłużej jednak niż do czasu cofnięcia zgody,
- ii. lub do czasu wniesienia uzasadnionego sprzeciwu (w przypadku gdy dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. f) RODO);
f. W przypadku komunikacji elektronicznej, dane osobowe przetwarzane są przez okres wskazany w zgodzie, nie dłużej jednak niż do czasu cofnięcia zgody;
g. W przypadku realizacji prawnie uzasadnionych interesów Administratora, , dane osobowe przetwarzane są do czasu wniesienia uzasadnionego sprzeciwu (chyba, że istnieje po stronie Administratora nadrzędna prawnie uzasadniona podstawa przetwarzania);
3. W przypadku gdy przetwarzanie danych następuje tylko i wyłącznie na podstawie zgody osoby, której dane dotyczą, dane osobowe przetwarzane są przez okres wskazany w zgodzie, nie dłużej jednak niż do czasu cofnięcia zgody.
VI UPRAWNIENIA
1. Przysługuje Pani/Panu prawo do żądania od Administratora dostępu do swoich danych osobowych, w tym do uzyskania kopii danych osobowych podlegających przetwarzaniu. Pierwsza kopia jest nieodpłatna. Za wszelkie kolejne kopie, o które się zwrócisz Administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.
2. Przysługuje Pani/Panu prawo do żądania od Administratora sprostowania swoich danych osobowych, które są nieprawidłowe, w szczególności dlatego że zostały zebrane z błędami lub dlatego, że po zebraniu uległy zmianie. Powyższe prawo obejmuje również uzupełnienie brakujących danych.
3. Przysługuje Pani/Panu prawo do żądania od Administratora usunięcia swoich danych osobowych, z tym zastrzeżeniem, że z prawa tego można korzystać w przypadkach określonych w RODO, tj. gdy zachodzi jedna z następujących okoliczności:
- Pani/Pana dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane, w szczególności jeśli upłynął już okres w którym Administrator planował lub był obowiązany przetwarzać Pani/Pana dane;
- Nastąpiło cofnięcie zgody, na której opiera się przetwarzanie danych, o ile Administrator nie ma innej podstawy prawnej przetwarzania;
- Został wniesiony sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
- Został wniesiony sprzeciw wobec przetwarzania, o którym mowa w punkcie 6
- Jeśli dane osobowe były przetwarzane niezgodnie z prawem;
- Jeśli dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega Administrator.
4. Administrator może odmówić uwzględnienia uzasadnionego wniosku o usunięcie danych, o którym mowa powyżej, w przypadkach przewidzianych prawem, w szczególności gdy dalsze przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, do ustalenia, dochodzenia lub obrony roszczeń.
5. Przysługuje Pani/Panu prawo do żądania od Administratora ograniczenia przetwarzania swoich danych osobowych, na warunkach określonych w RODO, tj. gdy:
- Pani/Pan kwestionuje prawidłowość danych osobowych – na okres pozwalający Administratorowi sprawdzić prawidłowość tych danych;
- przetwarzanie jest niezgodne z prawem, a sprzeciwiasz się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
- Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne Pani/Panu, do ustalenia, dochodzenia lub obrony roszczeń;
- ostał wniesiony sprzeciw wobec przetwarzania o którym mowa w punkcie 6 – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw Pani/Pana sprzeciwu.
6. rzysługuje Pani/Panu prawo do wniesienia sprzeciwu wobec przetwarzania przez Administratora swoich danych osobowych zgodnie z art. 21 ust. 1 RODO, to jest sprzeciwić się – z przyczyn związanych z Pani/Pana szczególną sytuacją – przetwarzaniu swoich danych opartemu na art. 6 ust. 1 lit. e) lub f) RODO w tym profilowania na podstawie tych przepisów. W przypadku wniesienia tego sprzeciwu, Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
7. Przysługuje Pani/Panu prawo do wniesienia sprzeciwu wobec przetwarzania przez Administratora swoich danych zgodnie z art. 21 ust. 2 RODO, to jest sprzeciwić się wobec przetwarzania Pani/Pana danych na potrzeby takiego marketingu bezpośredniego, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
8. Przysługuje Pani/Panu prawo do przenoszenia danych. W związku z tym ma Pani/Pan prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego swoje dane osobowe, które zostały przez Panią/Pana dostarczone Administratorowi, oraz ma Pani/Pan prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony Administratora. Prawo to przysługuje jednak tylko w zakresie danych osobowych, które przetwarzane są na podstawie zgody lub na podstawie umowy, oraz w zakresie danych, których przetwarzanie odbywa się w sposób zautomatyzowany. Wykonując to prawo może Pani/Pan również żądać, by Pani/Pana dane osobowe zostały przesłane przez Administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
9. Przysługuje Pani/Panu prawo do cofnięcia zgody na przetwarzanie danych osobowych. Cofnięcie zgody pozostaje jednak bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. W przypadku cofnięcia zgody Administrator przestaje przetwarzać Pani/Pana dane osobowe, które przetwarza wyłącznie na podstawie zgody. Jeśli Pani/Pana dane osobowe przetwarzane są również na innej podstawie niż ta zgoda, Administrator może je nadal przetwarzać na tej innej podstawie – dopóki ona zachodzi.
10. Przysługuje Pani/Panu prawo do wniesienia skargi do organu nadzorczego, a więc do jednego z organów ustanowionych przez poszczególne państwa członkowskie Unii, których zadaniem jest monitorowanie stosowania RODO. Organem nadzorczym właściwym dla terytorium Rzeczypospolitej Polskiej jest Prezes Urzędu Ochrony Danych Osobowych.
VII. ŹRÓDŁO POCHODZENIA DANYCH
1. Źródłem danych osobowych pacjenta jest pacjent lub osoba działająca w jego imieniu.
2. Źródłem danych osobowych osób upoważnionych przez pacjenta lub działających w jego imieniu jest pacjent lub osoba, której dane dotyczą.
VIII. SKUTKI NIEPODANIA DANYCH
1. Podanie przez pacjenta danych, w tym dotyczących zdrowia, ma charakter dobrowolny. Jednakże w przypadku ich niepodania Administrator może odmówić pacjentowi udzielenia jakichkolwiek lub określonych świadczeń zdrowotnych.
2. Podanie danych przez osoby upoważnione przez pacjenta lub działające w jego imieniu, ma charakter dobrowolny, jednakże jest warunkiem realizacji upoważnienia lub działania w imieniu pacjenta.
3. Podanie danych osobowych, rozumiane jako pojawienie się w obszarze objętym monitoringiem jest dobrowolne. W związku z powyższym, jeżeli nie akceptujesz faktu, iż Budynek oraz teren do niego przylegający jest objęty jest monitoringiem, nie powinieneś pojawić się w obszarze monitoringu.
IX. POZOSTAŁE INFORMACJE
1. Administrator nie planuje dalej przetwarzać Pani/Pana danych osobowym w celu innym niż cel, w którym dane osobowe zostały zebrane.
2. Administrator nie zamierza przekazywać Pani/Pana danych osobowych do państwa trzeciego (to jest Państwa spoza Europejskiego Obszaru Gospodarczego), ani do organizacji międzynarodowej.