Ogólna Klauzula Informacyjna o Przetwarzaniu Danych Osobowych
w Podmiocie Wykonującym Działalność Leczniczą
„KRAWDENT” LIDIA KRAWCZYŃSKA, PAWEŁ KRAWCZYŃSKI
Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 roku (tzw. rozporządzenie RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych PODMIOT wykonujący działalność leczniczą, jako administrator danych, przedstawia poniższe informacje o przetwarzaniu danych Pacjentów. Niniejsza klauzula jest częścią polityki informacyjnej tego Administratora, będącego Podmiotem wykonującym działalność leczniczą.
1. Administrator
Administratorem danych jest Podmiot wykonujący działalność leczniczą: PRYWATNY GABINET STOMATOLOGICZNY
„KRAWDENT” LIDIA KRAWCZYŃSKA, PAWEŁ KRAWCZYŃSKI
NIP 8133525071 REGON 180271624
Nr Rejestru Podmiotów Wykonujących Działalność Leczniczą 000000093059
Adres 35-036 RZESZÓW, UL. JAROSŁAWA DĄBROWSKIEGO 60B;
2. Dane kontaktowe Administratora danych:
Telefony 17 854 41 71
Adres e-mail: krawdent@krawdent.pl
Adres www: https://krawdent.pl/
3. Cel przetwarzania
Dane osobowe Pacjentów przetwarzane są przez Administratora / Podmiot wykonujący działalność leczniczą w następujących celach:
- Rejestracji Pacjentów;
- Konsultacji medycznych związanych z diagnostyką i z planowaniem leczenia;
- Udzielania świadczeń zdrowotnych,
- Prowadzenia i archiwizowania dokumentacji medycznej, a także w celu wypełnienia obowiązków prawnych ciążących na osobach wykonujących czynności medyczne i podmiocie wykonującym działalność leczniczą;
- Badania zapewnienia jakości udzielania świadczeń m.in. poprzez badanie satysfakcji Pacjentów;
- Organizacji zapewnienia opieki zdrowotnej oraz zarządzaniem systemami i usługami opieki zdrowotnej;
- Zapewnienia ciągłości opieki zdrowotnej w tym w procesie koordynacji udzielania świadczeń, co może obejmować m.in. przypomnienie o terminie realizacji świadczenia zdrowotnego, potwierdzenie wizyty, odwołanie wizyty, poinformowanie o zmianach organizacyjnych u Administratora, które mają wpływ na udzielenie oczekiwanego świadczenia;
- Zapewnienia zabezpieczenia społecznego oraz zarządzania systemami i usługami zabezpieczenia społecznego, w tym m.in.
- wystawiania zaświadczeń lekarskich,
- wykonywania zadań przez lekarzy orzeczników określonych w innych ustawach,
- badania uprawnień i dokumentowania świadczeń finansowanych ze środków publicznych,
- realizacji praw do świadczeń pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa lub innych właściwych przepisów z zakresu prawa ubezpieczeń społecznych;
- Komunikacją po udzieleniu świadczenia w celu oceny samopoczucia/stanu zdrowia pacjenta itp.;
- Odbieraniem i archiwizacją oświadczeń woli Pacjentów i ich pisemnych zgód na udzielenie świadczenia,
- Pozyskiwaniem informacji wspierających zarządzanie Podmiotem wykonującym działalność leczniczą;
- Weryfikacją uprawnień do uzyskania świadczeń opieki zdrowotnej i rozliczaniem zrealizowanych świadczeń;
- Wykonywaniem innych czynności pomocniczych przy udzielaniu świadczeń zdrowotnych, a także czynności związanych z utrzymaniem systemu teleinformatycznego;
- Wymianą informacji o stanie zdrowia pacjenta pomiędzy innymi podmiotami wykonującymi działalność leczniczą w celu zapewnia ciągłości opieki zdrowotnej;
- Udzielaniu świadczeń w zakresie medycyny estetycznej;
- Profilaktyki zdrowotnej, medycyny pracy;
- Ochrony żywotnych interesów pacjenta, w tym do umożliwienia kontynuowania leczenia i informacji o zastosowanych procedurach medycznych i środkach medycznych, które mogą mieć wpływ na jego stan zdrowia w korelacji z innymi procedurami medycznymi lub innymi schorzeniami, lub w przypadku wystąpienia powikłań po leczeniu i ich leczeniu lub ograniczaniu ich skutków;
- Przekazywania danych i informacji o stanie zdrowia, a także dokumentacji medycznej osobom wskazanym przez Pacjenta lub uprawnionym na podstawie zgody Pacjenta lub ogólnie obowiązujących przepisów prawa;
- Marketingu służącemu bezpośrednio realizacji celów zdrowotnych pacjenta;
- Badania ekonomiczności stosowanych procedur;
- Zabezpieczenia interesu prawnego administratora, w tym ustalenia dochodzenia lub obrony roszczeń.
4. Pochodzenie danych
- Dane Pacjentów zbierane są od nich samych lub/i ich opiekunów na podstawie danych przekazanych m.in. podczas rejestracji, w tym rejestracji elektronicznej, wywiadu medycznego, konsultacji. Kolejne dane wynikają z procesu leczenia i kontroli przebiegu leczenia, a także wykonania pozostałych celów i obowiązków Administratora, który jest Podmiotem wykonującym działalność leczniczą. Dane mogą również pochodzić m.in. z:
- Dokumentacji dostarczonej nam przez Pacjenta lub inne podmioty, lub osoby czy instytucje upoważnione, w tym w procesie konsultacji medycznych.
- nstytucji zarządzającej i finansującej opiekę zdrowotną.
- Dane pozostałych osób, m.in. dane osób wskazanych przez pacjentów lub ich opiekunów, jako upoważnionych do określonych celów (np. powiadomienia lub do przekazania im dokumentacji medycznej), pochodzą od Pacjentów lub ich opiekunów.
- W każdym przypadku dane uzyskiwane są i przetwarzane w związku z celem i obowiązkiem Administratora, który jest Podmiotem wykonującym działalność leczniczą.
5. Podstawa prawna przetwarzania danych osobowych
Zgoda pacjenta na udzielenie mu świadczeń zdrowotnych (a także sam jego zamiar skorzystania z świadczeń)upoważnia podmiot wykonujący działalność leczniczą do przetwarzania danych osobowych tego pacjenta, a w przypadku pacjenta nieletniego lub małoletniego również danych opiekuna prawnego. Pojęcie czynności medycznych zaczyna się już od rejestracji pacjenta, badania, przez udzielenia porady pacjentowi lub jego opiekunowi, gdyż już te czynności rodzą odpowiedzialność podmiotu wykonującego działalność leczniczą i konieczność prowadzenia dokumentacji, w tym koniecznego przetwarzania danych.W związku z powyższym przetwarzanie danych osobowych pacjentów przez podmiot wykonujący działalność leczniczą nie wymaga zgody, gdyż podstawą przetwarzania jest ustawa, w tym:
- ustawa z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty,
- ustawa z dnia 6 listopada 2008 r. o prawach Pacjenta i Rzecznika Praw Pacjenta,
- ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej,
a także inne ustawy w tym i m.in.: o ochronie zdrowia psychicznego; o służbie medycyny pracy; o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi; o leczeniu niepłodności, czy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych.
Przetwarzanie danych Pacjenta jest również zgodne z prawem, gdyż spełnia warunki rozporządzenia RODO m.in.:
- Art. 6. ust. 1. lit. b) – ponieważ jest niezbędne do wykonania umowy, której stroną jest Pacjent lub do podjęcia działań na żądanie Pacjenta,
- Art. 6. ust. 1. lit. c) – ponieważ przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze,
- Art. 6. ust. 1. lit. d) – ponieważ przetwarzanie jest niezbędne do ochrony żywotnych interesów Pacjenta.
Brak zgody na przetwarzanie danych uniemożliwia wykonanie świadczenia zdrowotnego.
6.Rodzaje przetwarzanych danych osobowych.
Administrator, jako Podmiot wykonujący działalność leczniczą przetwarza:
- Dane identyfikujące pacjenta i kontaktowe, w tym: imię i nazwisko, adres, PESEL, adres e-mail, nr telefonu komórkowego, a także dane osób wskazanych przez Pacjenta do celów kontaktu lub upoważnionych przez Pacjenta do przekazania im dokumentacji medycznej Pacjenta, dane opiekuna prawnego, (jeżeli ma zastosowanie). Utrwalone mogą zostać także dane dokumentu tożsamości w przypadku weryfikacji tożsamości Pacjenta lub/i jego opiekuna.
W przypadku przekazania przez Pacjenta Administratorowi danych osobowych innych osób, Administrator uprzejmie prosi o poinformowanie tych osób o przekazaniu danych Administratorowi i o niniejszej klauzuli informacyjnej umieszczonej w ogólnie dostępnym miejscu na terenie Podmiotu Administratora oraz elektronicznie na stronach www. Prosimy również o przekazywanie nam adresu e-mail osoby wskazanej, dzięki czemu będziemy mogli przekazać jej tę klauzulę w formie wiadomości e-mail, realizując obowiązki Art. 14 rozporządzenia RODO. - Szczególne dane osobowe – Art. 9. Ust. 1 rozporządzenia RODO w zakresie danych dotyczących zdrowia. Przetwarzanie to nie wymaga zgody pacjenta, gdyż jest niezbędne w m.in. celu diagnozy medycznej, zapewnienia opieki zdrowotnej, leczenia, wypełnienia obowiązków administratora (podmiotu wykonującego działalność leczniczą) polegającego na prowadzeniu i przechowywaniu dokumentacji medycznej oraz ochrony żywotnych interesów Pacjenta (m.in., co do umożliwienia kontynuowania leczenia i informacji o zastosowanych procedurach medycznych i środkach) – Art. 9. Ust. 2 lit. h) i c) rozporządzenia RODO. Dane osobowe dotyczące zdrowia są przetwarzane przez osoby podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa – Art. 9. Ust. 3. rozporządzenia RODO.
7.Dostęp do danych Pacjentów
- Do przetwarzania danych osobowych Pacjentów zawartych w szczególności w dokumentacji medycznej w ramach działalności Administratora uprawnione są:
- Osoby wykonujące zawód medyczny;
- Inne osoby wykonujące czynności pomocnicze przy udzielaniu świadczeń zdrowotnych, a także czynności związane z utrzymaniem systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnieniem bezpieczeństwa tego systemu, na podstawie upoważnienia administratora danych.
Osoby te są obowiązane do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z wykonywaniem zadań. Osoby te są związane tajemnicą także po śmierci pacjenta.
- W odniesieniu do osób wykonujących zawody medyczne Administrator stosuje następujące zasady przetwarzania:
- Zakres przetwarzanych danych jest niezbędny do wykonywania zawodu medycznego, w szczególności do udzielania świadczeń opieki zdrowotnej lub jest powiązany choćby z potencjalną możliwością udzielania świadczeń opieki zdrowotnej.
- Osoba wykonująca zawód medyczny przetwarzająca dane w ramach czynności wykraczających poza wykonywanie zawodu medycznego uzyskuje odrębne upoważnienie administratora danych wskazane w art. 24 ust. 2 pkt. 2 ustawy o prawach pacjenta i Rzecznika Praw Pacjenta.
Osoby, te są obowiązane do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z wykonywaniem zadań. Osoby te są związane tajemnicą także po śmierci pacjenta.
8. Sposób przetwarzania danych i miejsce przechowywania danych
- Dane osobowe i informacje o stanie zdrowia przetwarzane są w formie dokumentacji papierowej, a także przy pomocy urządzeń elektronicznych, w tym komputerów, także urządzeń mobilnych. Dokumentacja i urządzenia te zasadniczo znajdują się pod adresami lokalizacji Administratora, jednak Administrator stosuje również systemy okresowej pracy poza adresem wskazanym wyżej w celu planowania leczenia i konsultacji, w związku z czym urządzenia mobilne mogą znajdować się poza wskazanym adresem, w drodze, a także w innych lokalizacjach, w których okresowo wykonywane są te zadania. Możliwy jest także zdalny dostęp do serwera zawierającego dane spoza wskazanego wyżej adresu, jednak zarówno dostęp do serwera jak i dostęp do urządzeń jest stosownie ograniczony do osób uprawnionych zgodnie z polityką ochrony danych Administratora.
- Dane są również archiwizowane na dyskach zewnętrznych, lub w za pośrednictwem wyspecjalizowanych podmiotów świadczących usługi IT, które są przechowywane pod wyżej wskazanymi adresami lub w innych stosownie zabezpieczonych systemach i miejscach.
- Dane kontaktowe (imię i nazwisko, nr telefonu, adres e-mail) są przechowywane również w pamięci mobilnych urządzeń, w szczególności telefonów komórkowych / smartfonów czy tabletów. Administrator stosuje systemy zabezpieczania tych urządzeń przed dostępem osób nieupoważnionych.
- W przypadku rejestracji elektronicznej, za pośrednictwem e-mail lub strony internetowej, dane kontaktowe są również przetwarzane przez usługodawców dostarczających obsługę tej formy kontaktu i mogą być tam przechowywane. Dane kontaktowe związane z rejestracją Pacjentów nie są szyfrowane ani w trakcie przesyłana ani w trakcie przechowywania ich na serwerze usługodawcy. Po stronie Administratora dostęp do obsługi poczty elektronicznej i rejestracji elektronicznej mają tyko wyznaczone osoby, które chronią dostęp do tych danych zgodnie z polityką bezpieczeństwa Administratora.
9. Odbiorcy danych / Udostępnianie danych innym administratorom lub osobom.
Administrator, jako Podmiot wykonujący działalność leczniczą:
- Udostępnia i przekazuje dane osobowe w tym dane o stanie zdrowia osobom i podmiotom uprawnionym na podstawie ogólne obowiązujących przepisów prawa do otrzymania i przetwarzania danych pacjenta w szczególności Art. 26. Ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, w tym m.in.:
- Ustawowemu przedstawicielowi pacjenta;
- Podmiotom udzielającym świadczeń zdrowotnych, jeżeli dane i dokumentacja medyczna ta jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych, w tym podwykonawcom, pracowniom protetycznym, dostawcom systemów IT, firmom wspierającym obsługę obszaru IT, firmom świadczącym usługi księgowe.
- Organom władzy publicznej, w tym Rzecznikowi Praw Pacjenta, Narodowemu Funduszowi Zdrowia, organom samorządu zawodów medycznych oraz konsultantom krajowym i wojewódzkim, w zakresie niezbędnym do wykonywania przez te podmioty ich zadań, w szczególności nadzoru i kontroli;
- Podmiotom, o których mowa w art. 119 ust. 1 i 2 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej, tj.
-
- wojewodom;
- konsultantom krajowym,,
- jednostkom organizacyjnym podległym lub nadzorowanym przez tego ministra.
- organom samorządów zawodów medycznych;
- medycznym towarzystwom naukowym;
- uczelniom medycznym;
- instytutom badawczym;
- specjalistom z poszczególnych dziedzin medycyny.
w zakresie niezbędnym do przeprowadzenia kontroli na zlecenie ministra właściwego do spraw zdrowia.
-
- Ministrowi właściwemu do spraw zdrowia, sądom, w tym sądom dyscyplinarnym, prokuraturom, lekarzom sądowym i rzecznikom odpowiedzialności zawodowej, w związku z prowadzonym postępowaniem;
- Uprawnionym na mocy odrębnych ustaw organom i instytucjom, jeżeli badanie zostało przeprowadzone na ich wniosek;
- Organom rentowym oraz zespołom do spraw orzekania o niepełnosprawności, w związku z prowadzonym przez nie postępowaniem;
- Podmiotom prowadzącym rejestry usług medycznych, w zakresie niezbędnym do prowadzenia rejestrów;
- Komisjom lekarskim podległym ministrowi właściwemu do spraw wewnętrznych, wojskowym komisjom lekarskim oraz komisjom lekarskim Agencji Bezpieczeństwa Wewnętrznego lub Agencji Wywiadu, podległym Szefom właściwych Agencji;
- oceniającej podmiot udzielający świadczeń zdrowotnych na podstawie przepisów o akredytacji w ochronie zdrowia albo procedury uzyskiwania innych certyfikatów, jakości, w zakresie niezbędnym do ich przeprowadzenia;
- Wojewódzkiej komisji do spraw orzekania o zdarzeniach medycznych, w zakresie prowadzonego postępowania;
- Komisjom do spraw orzekania o zdarzeniach medycznych,
- Osobom wykonującym czynności kontrolne na podstawie art. 39 ust. 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, w zakresie niezbędnym do ich przeprowadzenia;
- Członkom zespołów kontroli zakażeń szpitalnych, o których mowa w art. 14 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz. U. Z 2016 r. poz. 1866, 2003 i 2173), w zakresie niezbędnym do wykonywania ich zadań.
- Osobom upoważnionym przez Pacjenta lub jego pełnomocnika,
- Zakładom ubezpieczeń.
- W zakresie zabezpieczenia interesu prawnego administratora, w tym ustalenia, dochodzenia lub obrony roszczeń przekazuje pełnomocnikom reprezentującym Administratora / Podmiot wykonujący działalność leczniczą.
- Nie udostępnia danych Pacjentów innym odbiorcom, jak również nie przekazuje danych do państw trzecich ani organizacji międzynarodowych.
- Na podstawie pisemnej zgody Pacjenta (osoby, której dane dotyczą) udostępnia i przekazuje dane wraz z dokumentacją medyczną:
- Nie udostępnia danych pacjentów innym przedsiębiorstwom, ani instytucjom w celach marketingowych.
10.Nie przekazywanie danych poza EOG
Administrator nie przekazuje danych Pacjenta podmiotom spoza Europejskiego Obszaru Gospodarczego (EOG), które nie zostały uznane przez Komisję Europejską za zapewniające odpowiedni stopień ochrony danych osobowych.
11.Zautomatyzowane profilowanie
Administrator nie stosuje zautomatyzowanego podejmowania decyzji ani profilowania.
12. Okres przetwarzania i przechowywania danych
Okres przetwarzania i przechowywania danych przez Administratora zależy od celu ich gromadzenia i przetwarzania:
- W związku z udzielaniem świadczeń zdrowotnych Administrator, jako Podmiot wykonujący działalność leczniczą zgodnie z Art. 29. Ust.1. Ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzecznika Praw Pacjenta przechowuje dokumentację medyczną, w tym związane z nią dane przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, z wyjątkiem:
- Przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia, dokumentacji medycznej zawierającej dane niezbędne do monitorowania losów krwi i jej składników, która jest przechowywana przez okres 30 lat
- Zdjęć RTG – przez okres 10 lat
- Skierowań na badania lub zaleceń lekarza przez okres 5 lat, lub 2 lata w przypadku, gdy świadczenie zdrowotne nie zostało udzielone z powodu niezgłoszenia się pacjenta w ustalonym terminie.
- W związku z pozostałymi celami, przez okres przedawnienia roszczeń z odpowiedzialności cywilnej do 10 lat i 20 lat w przypadku zbrodni i występku.
Administrator raz w roku dokonuje przeglądu posiadanych danych osobowych i ich sukcesywnego usuwania, biorąc pod uwagę przytoczone wyżej terminy. Administrator nie będzie dodatkowo informować osób, których dane dotyczą, o usunięciu ich danych.
13. Obowiązki informacyjne.
- Uwzględniając charakter, zakres, kontekst i cele przetwarzania, Administrator podejmuje racjonalne działania w celu wywiązania się z obowiązków informacyjnych zawartych w m.in. w Art. 13. I 14 rozporządzenia RODO.
- W przypadku uzyskania od Pacjenta lub jego opiekuna danych osobowych innych osób w celach określonych wyżej, Administrator staje się administratorem danych osobowych tych osób. Dlatego do danych tych osób prosimy dołączyć:
-
- Adres osobistej poczty elektronicznej (o ile osoba taka posiada stały i regularny dostęp do Internetu),
- Ewentualnie numer komórkowego telefonu osobistego,
które umożliwią nam wywiązanie się z obowiązków informacyjnych określonych w Art. 14 rozporządzenia RODO „Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą”.
Brak przekazania nam ww. kontaktów, wyklucza możliwość wywiązania się z obowiązków informacyjnych przez Administratora.
Niezależnie od przekazania nam kontaktów do tych innych osób prosimy o informowanie ich o przekazaniu nam, jako Administratorowi ich danych osobowych w określonym celu oraz poinformowanie ich o możliwości dostępu do niniejszej Ogólnej Klauzuli Informacyjnej w siedzibie Administratora, na stronach www. lub przez otrzymanie jej e-mailem.
-
- Obowiązki informacyjne Administratora w stosunku do dzieci, gdy dane osobowe dziecka/dzieci przekazała osoba:
- Sprawująca władzę rodzicielską lub opiekę nad dzieckiem:
- Nie dotyczą dziecka do lat 16,
- Dotyczą również dziecka, które ukończyło 16 lat i muszą być wobec niego wykonane.
- Niesprawująca władzy rodzicielskiej lub opieki nad dzieckiem, muszą być wykonane w przypadku dziecka:
-
- Do lat 16 – w stosunku do osoby sprawującej władzę rodzicielską lub opieki nad dzieckiem,
- Które ukończyło 16 lat – jednocześnie w stosunku do dziecka i osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem.
Obowiązki informacyjne muszą być wykonane przez Administratora bezpośrednio lub za pośrednictwem osoby, która dane przekazała.
-
- Sprawująca władzę rodzicielską lub opiekę nad dzieckiem:
14. Prawo do usunięcia danych / bycia zapomnianym.
- Prawo Pacjenta do bycia zapomnianym przed okresem wskazanym w pkt. 14 nie ma zastosowania wobec danych osobowych Pacjentów przetwarzanych na podstawie Art. 9 ust. 2 lit h) rozporządzenia RODO (tj. przetwarzania do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej), w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę.
- Administrator będący podmiotem wykonującym działalność leczniczą zmuszony jest odmówić zrealizowania żądania Pacjenta do bycia zapomnianym w odniesieniu do danych osobowych zawartych w dokumentacji medycznej przez cały wymagany przepisami prawa okres archiwizacji dokumentacji medycznej powołując się na przepis art. 29 ust. 1 ustawy o prawach pacjenta (obowiązek przechowywania dokumentacji przez 20 lat, lub 30 lat w przypadku monitorowania losów krwi i jej składników) w związku z Art. 17 ust. 3 lit. b) rozporządzenia RODO (tj., gdy prawo do usunięcia danych nie ma zastosowania, gdy przetwarzane jest niezbędne do wywiązania się z obowiązku prawnego).
- Dlatego dane nie mogą być usunięte przed terminami przewidzianymi w pkt. powyższym, jeżeli administrator pozyskał i przetwarza te dane zgodnie z prawem.
- Jednak w przypadku, gdy przetwarzanie danych osobowych Pacjenta odbywa się na podstawie zgody (np. w przypadku badań naukowych lub klinicznych) Pacjent może zrealizować prawo do bycia zapomnianym w zakresie celu, w którym dane osobowe pacjenta są przetwarzane na podstawie tej zgody, pod warunkiem, że zachodzi przynajmniej jedna z przesłanek wskazanych w Art. 17 ust. 1 rozporządzenia RODO np., gdy dane nie są już niezbędne, lub gdy wniesiony został sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania.
- Prawo do bycia zapomnianym przysługuje i będzie wykonane, jeżeli administrator nie miał podstawy prawnej do przetwarzania danych.
15. Prawa Pacjenta w odniesieniu do przetwarzania danych.
Administrator zapewnia Pacjentowi prawo i możliwość
- Dostępu do danych,
- Sprostowania danych,
- Ograniczenia przetwarzania, tj. przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania. W tym zakresie należy jednak pamiętać:
- O ograniczonej skuteczności żądania graniczenia przetwarzania w związku z ważnymi względami interesu publicznego w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i konieczności wywiązania się z ustawowych obowiązków Podmiotu wykonującego działalność leczniczą.
- Że na podstawie Art. 18 ust. 2 rozporządzenia RODO „takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.”
- Wniesienia sprzeciwu wobec przetwarzania danych:
- W przypadku braku podstawy prawnej do przetwarzania,
- Wobec danych przetwarzanych i celach wymagających zgody Pacjenta, jeżeli nie istnieją inne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń – Art. 21 ust. 1 rozporządzenia RODO.
- Wobec przetwarzania w celach marketingu bezpośredniego w realizacji celów zdrowotnych Pacjenta.
16. Prawo do przenoszenia danych do innego administratora.
- Nie ma zastosowania prawo do przeniesienia danych dla danych osobowych przetwarzanych na podstawie Art. 9 ust. 2 lit. h) rozporządzenia RODO tj. przetwarzanych do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia.
- Pacjent i jego opiekun lub osoba przez niego pisemnie upoważniona zachowuje jednak prawo do otrzymania pełnej dokumentacji medycznej, którą może przekazać do innego administratora zgodnie z własnym wyborem i decyzją.
17. Prawo do wniesienia skargi.
Pacjent ma prawo wnieść skargę w związku z przetwarzaniem danych osobowych do organu nadzorczego, tj. do Generalnego Inspektora Ochrony Danych Osobowych (później nastąpi zmiana nazwy na Prezesa Urzędu Ochrony Danych Osobowych).
Aktualny na 2018-05-25 adres to:
Biuro Generalnego Inspektora Ochrony Danych Osobowych
00-193 Warszawa ul. Stawki 2
Infolinia: 606-950-000, tel. 22 531 03 00 fax. 22 531 03 01
kancelaria@giodo.gov.pl
18. Monitoring wizyjny.
Administrator, jako Podmiot wykonujący działalność leczniczą stosuje monitoring wizyjny z możliwością identyfikacji osób usytuowany na zewnątrz oraz wewnątrz budynku (lokalu), celu zapewnienia bezpieczeństwa i ewentualnego dokumentowania naruszeń przeciwko pacjentom, a także przeciwko pracownikom lub przeciwko mieniu Podmiotu / Administratora. Monitoring wizyjny służy dla ochrony „prawnie uzasadnionego interes administratora”- Art. 6. Ust. 1 lit. f) rozporządzenia RODO, w związku z ewentualną potrzebą „ustalenia, dochodzenia lub obrony roszczeń” – Art. 9. Ust. 2 lit. f) rozporządzenia RODO, a w związku z tym nie wymaga on zgody osoby, której dane dotyczą. Rejestracja nie obejmuje pomieszczeń wymagających zachowania prawa do intymności i ochrony innych dóbr osobistych pacjentów i innych osób. Dane są zabezpieczone przed dostępem osób trzecich lub niepowołanych i przechowywane przez maksymalny okres do 30 dni, po tym okresie dane są usuwane przez nadpisywanie przez rejestrację bieżącą, chyba, że zarchiwizowanie nagrania danego konkretnego zdarzenia jest konieczne w celu dalszego wykorzystania np. do ustalenia dochodzenia lub obrony roszczeń. Wtedy dane są archiwizowane w zakresie niezbędnym i są przetwarzane przez okres niezbędny dla tego celu, a także mogą być przekazywane organom ścigania, pełnomocnikom i innym osobom i instytucjom upoważnionym na podstawie odrębnych przepisów.
19. Zasady weryfikacji tożsamości Pacjentów
- Administrator, jako Podmiot wykonujący działalność leczniczą jest zobowiązany i uprawniony do zweryfikowania tożsamości Pacjenta lub/i jego opiekuna przed:
- Utrwaleniem danych osobowych zebranych od Pacjenta lub/i jego opiekuna, w szczególności w związku z udzielaniem świadczeń zdrowotnych;
- Spełnieniem obowiązków informacyjnych lub udzieleniem odpowiedzi na wynikające z przepisów rozporządzenia RODO żądania związane z przetwarzaniem danych osobowych;
- Udzieleniem świadczenia zdrowotnego;
- Udostępnieniem Pacjentowi informacji zawartych w dokumentacji medycznej i/lub informacji objętych tajemnicą osób wykonujących zawody medyczne osób wskazanych w art. 24 Ustawy o prawach pacjenta.
- Weryfikacji tożsamości Pacjenta lub/i jego opiekuna dokonuje się poprzez kontrolę okazanego przez Pacjenta lub/i jego opiekuna dokumentu potwierdzającego tożsamość zawierającego, co najmniej zdjęcie, imię i nazwisko oraz PESEL lub w przypadku jego braku inny numer jednoznacznie identyfikujący Pacjenta. Dokumentem potwierdzającym tożsamość jest w szczególności: dowód osobisty, legitymacja, prawo jazdy, paszport.
- W przypadku, gdy weryfikacja tożsamości realizowana jest w sposób inny niż osobiście (np. na odległość lub przy użyciu środków komunikacji elektronicznej) lub w sytuacji powzięcia przez Administratora wątpliwości, co do tożsamości osoby zgłaszającej żądanie, Administrator uprawniony jest do żądania dodatkowych informacji lub podjęcia przez osobę zgłaszającą żądanie, dodatkowych działań niezbędnych do potwierdzenia tożsamości tej osoby, takich jak:
- Podanie dodatkowych danych osobowych w celu ich porównania z posiadanymi przez Administratora;
- Dokonanie czynności weryfikacyjnych przy użyciu dostępnych Administratorowi oraz osobie zgłaszającej żądanie narzędzi, w tym przy wykorzystaniu kwalifikowanego podpisu elektronicznego lub podpisu potwierdzonego profilem zaufanym ePUAP, przelewu bankowego potwierdzającego zgodność danych, kilkustopniowe uwierzytelnianie w systemie teleinformatycznym,
- Kontrolę na odległość dokumentu potwierdzającego tożsamość w trakcie wideotransmisji.
- Administrator może utrwalić także informację o:
- Sposobie dokonania weryfikacji.
- Dacie dokonania weryfikacji tożsamości;
- Dokumencie, na podstawie, którego została ona dokonana, z jednoczesnym wskazaniem numeru/identyfikatora tego dokumentu (np. numer i seria dokumentu, data wydania).
20. Przytoczone powyżej informacje o przetwarzaniu danych osobowych są częścią polityki ochrony danych osobowych Administratora i w żadnej mierze nie zmieniają zasad ochrony danych osobowych ani nie ograniczają praw Pacjentów, oraz praw i obowiązków Administratora, które wynikają z powszechnie obowiązujących przepisów prawa.