PROCEDURA PRZETWARZANIA WRAŻLIWYCH DANYCH OSOBOWYCH - Artur Topolski

PROCEDURA PRZETWARZANIA WRAŻLIWYCH DANYCH OSOBOWYCH

PROCEDURA PRZETWARZANIA WRAŻLIWYCH DANYCH OSOBOWYCH

1. Niniejsza Procedura w https://arturtopolski.p1/ jest ARTUR TOPOLSKI przedsiębiorca, wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej Rzeczypospolitej Polskiej prowadzonej przez ministra właściwego do spraw gospodarki, działający pod firmą: ARTUR TOPOLSKI z siedzibą przy ul. Sadowa 9A, 32-020 Wieliczka, NIP: 6772411226, REGON: 366016262, adres poczty elektronicznej: kontakt@arturtopolski.pl, numer telefonu: 783075310, („Serwis”) ma na celu opisanie zasad i procedur stosowanych przez Serwis, skierowana do Klientów i kontrahentów Serwisu, w celu spełnienia wymagań Rozporządzenia PE i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem wrażliwych danych osobowych zwanego w dalszej części polityki RODO.

2. Serwis deklaruje, że proces przetwarzania danych osobowych uwzględnia zasady, o których mowa w Motywie 39 RODO oraz artykule 5 ust. 1 ppkt a) – e) RODO.

3. Serwis zaznacza, że niniejsza procedura to jeden ze środków o charakterze organizacyjnym, za pomocą którego wykazuje się zgodność przetwarzania danych osobowych z RODO.

4. Serwis deklaruje pełną świadomość charakteru, rodzaju i kontekstu przetwarzanych wrażliwych danych osobowych w Serwis, w tym ich sensytywności

Podstawy prawne:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),

2. Ustawa z dnia 21 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. 2017 tj. poz.1845),

3. Ustawa o Ochronie Danych Osobowych z dnia 10 maja 2018 r.

4. Pozostałe przepisy regulujące system ochrony danych osobowych, w tym przepisy wydane na podstawie art. 40 RODO.

I. Weryfikacja posiadanych danych osobowych i zasady ich przetwarzania

1.1 Poprzez dane osobowe w Serwisie, zgodnie z art. 4 pkt 1) RODO należy rozumieć wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, którą można w sposób pośredni lub bezpośredni zidentyfikować. Dane te mogą dotyczyć Klientów Serwisu lub osoby współpracujące z Serwisem.

1.2 Dane osobowe w Serwisie są zorganizowane w struktury za pomocą których Serwis może ocenić ryzyko ich przetwarzania.

1.3 Dane osobowe opisane są z uwzględnieniem, co najmniej poniższych informacji:

a) Nazwa przetwarzanych danych osobowych,

b) Cele przetwarzania,

c) Zakres przetwarzania,

d) Odbiorcy danych,

e) Zakres czynności przetwarzania,

f) Zasoby służące do przetwarzania danych osobowych,

g) Informacja o konieczności wpisu do rejestru czynności przetwarzania,

h) Informacja o konieczności przeprowadzenia oceny skutków dla ochrony danych na zbiorze,

i) Okres przechowywania.

II. Legalność procesu przetwarzania danych osobowych

2.1 Serwis swoimi działaniami i organizacją zapewnia, że:

a) dane osobowe w Serwisie przetwarzane są w sposób legalny,

b) zakres pozyskiwanych danych wynika z przepisów prawa i jest adekwatny do zdefiniowanych celów przetwarzania,

c) określono konkretny czas przez jaki dane są przetwarzane,

d) wobec osób, których dane są przetwarzane wykonano obowiązek informacyjny, zgodnie z art. 12-14 RODO,

e) obowiązek informacyjny wobec Klientów Serwis jest wykonywany poprzez umieszczenie na stronie internetowej stosownych informacji.

f) z wszystkimi współpracującymi podmiotami gospodarczymi podpisano, na mocy art. 28 RODO, umowy powierzenia przetwarzania danych osobowych lub w umowach podstawowych wprowadzono uregulowania odnoszące się do obowiązków zapewnienia przestrzegania przepisów RODO przez te podmioty,

2.2 Dane osobowe w Serwisie są pozyskiwane bezpośrednio od Klientów.

III. Upoważnienia do przetwarzania danych osobowych

3.1 Serwis do przetwarzania danych osobowych w Serwisie dopuszcza jedynie osoby posiadające stosowane upowaznienia.

3.2 Serwis jest odpowiedzialny za proces nadawania i wycofywania upoważnień do przetwarzania danych osobowych w Serwisie.

IV. Poufność procesu przetwarzania danych osobowych

4.1 Każda z osób dopuszczona do przetwarzania danych osobowych lub współpracująca z Serwisem jest zobowiązana do:

a) przetwarzania danych osobowych jedynie w zakresie i jedynie w celu w jakim zostało im wydane upoważnienie lub podpisano umowe powierzenia przetwarzania danych osobowych,

b) zachowania w tajemnicy informacji i danych osobowych, do których posiada dostęp,

c) niewykorzystywania dostępnych danych osobowych do celów sprzecznych z zakresem upoważnienia lub umowy powierzenia przetwarzania danych osobowych.

d) zachowania poufności procesów i metod zabezpieczeń danych osobowych w Serwisie.

e) ochrony informacji i danych osobowych przed przypadkowym, niepożądanym ujawnieniem, modyfikacją, utratą, zniszczeniem danych osobowych czy też nieuprawnionym dostepem osób niepożądanych,

4.2 W Serwisie zabronione jest udzielanie wszelkich informacji zawierających dane osobowe osobom, których tożsamosci nie można zweryfikować. Weryfikacja tożsamości może odbywać się poprzez żądanie okazania dokumentu tożsamości lub innego dokumentu zawierajacego zdjecie wnioskodawcy lub poprzez wykorzystanie informacji zawartej w dokumentacji medycznej, która jest znana jedynie wnioskodawcy. Do tego celu należy wykorzystać metodę pytań bezposrednich, w których wnioskodawca udzieli poprawnych informacji w co najmniej dwóch zapytaniach.

4.3 W Serwisie niedopuszczalne jest przekazywanie jakichkolwiek informacji zawierających dane osobowe podmiotom, instytucjom czy też organom, które nie mogą się wykazać prawidłową podstawa prawna dostępu do danych osobowych.

V. Współpraca z podmiotami zewnętrznymi

5.1 W działalności Serwisu jest dopuszczalna współpraca z podmiotami zewnętrznymi, którym udostępnia się dane osobowe, których Administratorem jest Serwis.

5.2 Powierzenie przetwarzania danych osobowych moze odbywać sie jedynie na podstawie umowy lub innego instrumentu prawnego, zgodnie z zasadami określonymi w art. 28 RODO.

5.3 W Serwisie prowadzona jest ewidencja podmiotów, z którymi podpisano umowy powierzenia.

5.4 Ewidencja ta zawiera, co najmniej:

a) nazwę, adres siedziby i dane kontaktowe podmiotu,

b) date podpisania umowy,

c) przedmiot umowy,

d) informacje o rodzajach zbiorów, które obejmuje umowa przetwarzania.

VI. Udostępnianie danych

6.1 Serwis udostępnia dane osobowe jedynie na podstawie obowiazujacych przepisów prawa i w granicach prawa.

6.2 Serwis przekazując dane drogą pocztową przekazuje je listem poleconym za potwierdzeniem odbioru, w dwóch niezależnie zamknietych kopertach.

6.3 W przypadku udostępniania dokumentów za pomocą korespondencji mailowej Serwis ma obowiązek szyfrować przekazywane pliku.

VII. Uprawnienia osób, których dane osobowe są przetwarzane w Serwisie

7.1 Serwis zapewnia osobom, których dane osobowe przetwarza do realizacji wszystkich przysługujących im praw na mocy art. 15 i 16 RODO.

7.2 Serwis wprowadza na podstawie art. 9 ust. 1 pkt h) RODO ograniczenia w realizacji praw osób, których dane przetwarza, a wynikających z art. 17, 18, 20 i 21 RODO.

7.3 W przypadku zastosowania trybu, o którym mowa w punkcie 7.2 należy taką sytuację pisemnie wyjaśnic osobie, która wniosła sprawę w zakresie realizacji jej praw.

VIII. Rejestr czynności przetwarzania

8.1 Dla zbiorów, w których przetwarzane są dane, o których mowa w art. 9 ust. 1 RODO prowadzony jest rejestr czynności przetwarzania.

8.2 Rejestr, o którym mowa w punkcie 1 niniejszego rozdziału może być również prowadzony dla innych zbiorów.

8.3 Rejestr czynności przetwarzania winien zawierać co najmniej informacje, o których mowa w art. 30 RODO tj.:

8.3.1 Imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,

8.3.2 cele przetwarzania;

8.3.3 opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

8.3.4 kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,

8.3.5 jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

8.3.6 jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

IX. Zasady postępowania w przypadku naruszenia systemu ochrony danych

9.1 Każda osoba, której Serwis wydał upoważnienie do przetwarzania danych osobowych, ma obowiązek natychmiastowego powiadamiania o występującym zagrożeniu lub wystąpieniu incydentu związanego z systemem ochrony danych osobowych w Serwisie.

9.2 Powiadomienie to może mieć charakter ustny lub pisemny.

9.3 Adresatem takiego powiadomienia jest Serwis.

9.4 Po otrzymaniu takiego powiadomienia Serwis podejmuje niezwłocznie czynności w celu ustalenia stanu faktycznego.

9.5 Po dokonaniu czynności zabezpieczających, Serwis ma za zadanie przeprowadzię postepowanie wyjaśniające, które:

9.5.1 ustali ostateczny zakres, przyczyny wystąpienia oraz skutki, zarówno dla Serwisu, jak i osób, których dane dotyczyły,

9.5.2 podejmuje niezbędne czynności mające na celu przywrócenie prawidłowości działania systemu ochrony danych osobowych w Serwisie,

9.5.3 opracowuje działania naprawcze i zapobiegawcze, których zadaniem jest wyeliminowanie niepożądanych zdarzeń w przyszłości,

9.5.4 wskazuje osoby odpowiedzialne za wystąpienie sytuacji.

X. Postępowanie dyscyplinarne

10.1 Podmioty współpracujące maje bezwzgledny obowiązek stosowania przepisów prawa i przepisów wewnętrznych obowiązujących w Serwisie w zakresie ochrony danych osobowych.

10.2 W przypadku wystąpienia incydentu, naruszenia procedur czy też zaniechania czynności wynikających z obowiązków w zakresie ochrony danych osobowych, wszystkie takie czynnosci będą traktowane jako ciężkie naruszenie zasad i stosunków formalnych panujących w Serwisie.