RODO

KLAUZULA INFORMACYJNA O PRZETWARZANIU DANYCH OSOBOWYCH OSOBY, KTÓREJ DANE DOTYCZĄ

Realizując wymogi art.13 ust.1 i ust.2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO Dz. Urz. UE L 119 z 04.05.2016) informuję, że: 

 

[Administrator Danych Osobowych- ADO]

Administratorem przewarzanych danych osobowych jest: Spółka cywilna: Pomorska Specjalistyczne Gabinety Lekarsko-Psychologiczne Sotwin, Grochocki z siedzibą pod adresem ul. Pomorska 10/1, 30-039 Kraków, NIP: 677-252-36-23., adres email: gabinetpomoorska@gmail.com  telefon: 12/ 43116 30; tel. kom. 790 233 171

[Inspektor Ochrony Danych] 

Administrator wyznaczył Inspektora Ochrony Danych, z którym w sprawach przetwarzania danych można kontaktować się poprzez adres e-mail: annasotwin.iod@gmail.com lub telefonicznie pod nr tel. 506-084-700.

Niniejszy dokument określa zasady przetwarzania oraz sposoby zabezpieczania danych osobowych przez administratora oraz specjalistów zatrudnionych i współpracujących w podmiocie, celem zapewnienia prawidłowości ich przetwarzania zgodnego z wymaganiami RODO oraz przepisami obowiązującego prawa polskiego. 

Dokument zawiera min. opis zasad ochrony danych i podstawy przetwarzania danych u ADO. 

[Cel przetwarzania i związane z nimi podstawy przetwarzania] 

Administrator przetwarza dane osobowe wyłącznie na podstawie prawa i w ściśle określonych celach, tj.:

  • w celu oddziaływań w zakresie zdrowia psychicznego: informowanie o możliwości udzielenia świadczenia, diagnozy, opiniowania, orzekania, udzielania pomocy psychologicznej, pedagogicznej, psychoterapii, prowadzenia konsylium, konsultacji i badań wielospecjalistycznych, tworzenia dokumentacji. Podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. c) oraz art. 9 ust. 2 lit a)  RODO w związku z art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Podanie danych jest dobrowolne, jednak bez ich podania nie będzie możliwe świadczenie na rzecz Pacjenta usług w ramach prowadzonej działalności w zakresie zdrowia psychicznego i porady psychologicznej.
  • w wyjątkowych przypadkach jak ochrona zdrowia lub zagrożenia życia pacjenta na podstawie  art.6 ust. 1 lit d) – tj. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą;
  • w realizacji zadań wynikających ze Standardów Ochrony Małoletnich – na podstawie art.22b i 22c. ustawy z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich z jej późniejszymi zmianami, dane osobowe Pacjenta/Jego opiekunów prawnych, tj. imię i nazwisko, nr PESEL, adres zamieszkania, są przetwarzane przez osobę wyznaczoną do realizacji zadań;
  • w celu kontaktu dotyczącego dat i godzin spotkań: dane osobowe Pacjenta/Jego opiekunów prawnych, tj.: imię i nazwisko, nr telefonu do kontaktu, adres e-mail są przetwarzane w związku realizacją udzielenia świadczenia na podstawie art. 6 ust. 1 lit. a);
  • w celu superwizji i interwizji – czyli merytorycznego nadzoru oddziaływań w zakresie zdrowia psychicznego wymienionych w lit. a) – informacje dotyczące Pacjenta/Jego opiekunów prawnych, w tym wyniki diagnozy i badań, przekazywane są w sposób uniemożliwiający identyfikację konkretnej osoby (zachowana jest pełna anonimowość obligowana zachowaniem tajemnicy zawodowej);
  • w celach szkoleniowych i badawczych – informacje dotyczące Pacjenta/Jego opiekunów prawnych, w tym wyniki diagnozy i badań, przekazywane są w sposób uniemożliwiający identyfikację konkretnej osoby (zachowana jest pełna anonimowość obligowana zachowaniem tajemnicy zawodowej);
  • w celu prowadzenia ksiąg rachunkowych oraz wypełnienia obowiązków podatkowych: wystawianie rachunków/faktur za wykonane usługi. Podstawą prawną przetwarzania Pani/Pana danych osobowych w tym celu jest art. 6 ust. 1 lit. c) RODO w zw. z art. 74 ust. 2 ustawy o rachunkowości. Podanie danych jest wymogiem ustawowym,
  • w celu wystawienia zaświadczenia/opinii psychologicznej – Przetwarzane kategorie danych to dane osobowe, które pochodzą bezpośrednio od Pani/Pana tj. imię i nazwisko, nr PESEL Pani/Pana/Dziecka, adres zamieszkania, adres e-mail, telefon kontaktowy lub inne dobrowolnie udostępnione dane przez osobę upoważnioną/ opiekuna prawnego dziecka (art. 6 ust. 1 lit f w zw. z art. 17 ust. 2 u.p.p. oraz art. 97 Kodeks rodzinny i opiekuńczy).
  • art.6 ust. 1 lit d) RODO  – tj. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą;
  • art.6 ust. 1 lit. f) RODO – tj., gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów, mają podstawowe prawa i wolności osoby, której dane dotyczą, w szczególności, gdy osoba której dane dotyczą jest dzieckiem. 
  •  

[Odbiorcy] 

Odbiorcami danych osobowych będą wyłącznie organy i podmioty lub osoby uprawnione do uzyskania danych osobowych na podstawie przepisów prawa. Zachowanie tajemnicy zawodowej przez psychologa jest podstawą nawiązania prawidłowego kontaktu z klientem i wykonywania zawodu zaufania publicznego. Podstawowe dane mogą zostać przekazane dostawcom usług zapewniającym odpowiednie rozwiązania techniczne oraz organizacyjne, (np. dostawcy usług informatycznych, personel niemedyczny), usług prawnych i doradczych, w przypadku potrzeby dochodzenia należnych roszczeń (w szczególności kancelariom prawnym), 

[Okres przechowywania] 

  • dane osobowe przetwarzane na podstawie art. 6 ust. 1 lit. c) RODO zebrane w celu realizacji obowiązków wynikających z przepisów prawa, w tym prawa podatkowego będą przechowywane przez okres niezbędny do wypełnienia tych obowiązków: na potrzeby rachunkowości oraz ze względu na obowiązki podatkowe przetwarzane są przez okres wskazany w art. 74 ustawy o rachunkowości, tj. co do zasady przez okres 5 lat od początku roku następującego po roku obrotowym, którego dane dotyczą,
  • w przypadku, gdy dane przetwarzane są na podstawie art. 6 ust. 1 lit. a) RODO dane osobowe przetwarzane będą do czasu cofnięcia przez Panią/Pana tej zgody, Cofnięcie zgody w dowolnym momencie nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
  • w przypadku, gdy dane przetwarzane są na podstawie art. 6 ust. 1 lit. b) RODO dane osobowe przetwarzane będą do czasu zakończenia wszelkich czynności faktycznych i prawnych niezbędnych do realizacji umowy lub dla zabezpieczenia ewentualnych roszczeń.

 

[Prawa] 

Zgodnie z art.15 – 20 RODO przysługuje prawo dostępu do treści powierzonych danych osobowych (danych dziecka) oraz prawo do ich sprostowania, jak również prawo do ich usunięcia lub ograniczenia przetwarzania oraz prawo do przenoszenia danych. Przysługuje także prawo do wycofania wyrażonej zgody w dowolnym momencie, a wycofanie zgody może nastąpić przez jednostronne oświadczenie i nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. W przypadku stwierdzenia, że dane osobowe są przetwarzane niezgodnie z prawem przysługuje również prawo wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych z siedziba w Warszawie.

[Rejestr czynności przetwarzania] 

Administrator zgodnie z art.30 RODO prowadzi Rejestr czynności przetwarzania, który obejmuje: czynności przetwarzania danych osobowych pacjenta, zawiera dla każdej czynności przetwarzania: a) nazwę czynności, b) cel i podstawę prawną przetwarzania, c) opis kategorii osób, których dane są przetwarzane, d) opis kategorii przetwarzanych danych osobowych, e) opis środków ochrony danych osobowych pacjenta zastosowanych podczas wybranej czynności przetwarzania.

[Obowiązki Administratora – zabezpieczenia]

Zgodnie z art. 24 ust.1 RODO wszystkie posiadane dane są zabezpieczone przed niepowołanym dostępem osób trzecich. W stosunku do plików komputerowych przechowywane są w formatach plików szyfrowanych, zabezpieczonych hasłem dostępu. Natomiast dostęp do dokumentacji zawierającej dane osobowe posiadają tylko uprawnione osoby i tylko w niezbędnym zakresie. Dokumentacja w postaci papierowej przechowywana jest w miejscach fizycznie zabezpieczonych przed dostępem nieupoważnionych osób trzecich.

  1. Realizacja zobowiązań w stosunku do pacjenta w zakresie przetwarzania jego danych: 
  • Administrator i osoby współpracujące (lekarze i specjaliści przyjmujący w podmiocie) stosują się do formy pisemnej zgody pacjenta na przetwarzanie jego danych osobowych oraz możliwości pisemnego wycofania tejże zgody – o ile udzielenie takiej zgody jest wymagane przez obowiązujące przepisy, 
  • Administrator i osoby współpracujące (lekarze i specjaliści przyjmujący w podmiocie)  dba o czytelność zasad przetwarzania danych osobowych pacjenta, 
  • Administrator stosuje w podmiocie zasady wynikające z przepisów prawa dotyczące ochrony małoletnich, wprowadził w podmiocie kodeks postępowania (Standardy Ochrony Małoletnich) 
  • Administrator i osoby współpracujące (lekarze i specjaliści przyjmujący w podmiocie) udostępnia pacjentowi klauzulę informacyjną o prawach pacjenta oraz zasadach przetwarzania jego danych osobowych, jak i metodach kontaktu z psychoterapeutą w sprawie danych pacjenta, 
  • Administrator i osoby współpracujące (lekarze i specjaliści przyjmujący w podmiocie) zobowiązuje się do obowiązku informowania o pozyskiwaniu danych o pacjencie niebezpośrednio od niego, zmianie celu przetwarzania danych, uchyleniu prawa ograniczającego przetwarzanie, prawie do sprzeciwu względem przetwarzania danych osobowych pacjenta, 
  • Administrator i osoby współpracujące (lekarze i specjaliści przyjmujący w podmiocie) usuwają dane, gdy nie są konieczne do realizacji usług psychoterapeutycznych lub innych celów, dla których były zgodnie z prawem przetwarzane, gdy zgoda na ich przetwarzanie została wycofana (o ile została uprzednio udzielona), dane były przetwarzane niezgodnie z zasadami prawa. 
  1. Zminimalizowanie procedur przetwarzania: 
  • Administrator i osoby współpracujące (lekarze i specjaliści przyjmujący w podmiocie) działają w oparciu o zasadę minimalizacji procedur przetwarzania, 
  • Administrator i osoby współpracujące (lekarze i specjaliści przyjmujący w podmiocie) przetwarzają tylko dane wymagane do realizacji usług świadczonych w podmiocie (gabinecie).
  • Administrator i osoby współpracujące (lekarze i specjaliści przyjmujący w podmiocie) ograniczają dostęp osób nieupoważnionych do danych osobowych pacjenta, 
  • Administrator i osoby współpracujące (lekarze i specjaliści przyjmujący w podmiocie) ograniczają czas przechowywania danych, do okresu określonego przepisami prawa, który może zostać przedłużony przez okres ochrony lub obrony przed roszczeniami. 

 

[Forma pozyskiwania, przechowywania i przetwarzania danych osobowych oraz danych wrażliwych]. 

  • Dokumentacja papierowa: może zawierać treści posiadające dane osobowe i/lub wrażliwe, zapis przebiegu realizacji usług (przy dokumentacji papierowej dotyczącej procesu leczenia, psychoterapii nie jest konieczny każdorazowy zapis zrealizowanej sesji psychoterapii. 
  • Administrator i osoby współpracujące (specjaliści przyjmujący w podmiocie) nie podlega przepisom regulowanym przez NFZ, jednak na potrzeby zapewnienia wysokich standardów realizowanych usług, lekarze i specjaliści: 

    – dokonują zapisu przebiegu zrealizowanej wizyty (w momentach uznanych za istotne w procesie leczenia, terapii , wizyt), 

   – przechowują następujące dokumenty: kserokopie dokumentacji dostarczonej przez pacjenta, umowy, faktury, kontrakty terapeutyczne, zgody na realizację usług, zgody na pozyskiwanie, przechowywanie i upoważnienia do przetwarzania danych wrażliwych, zgody osób bliskich na kontakt, pozyskiwanie, przechowywanie i przetwarzanie danych osobowych i/lub wrażliwych, wszelkie inne, nieuwzględnione powyżej, formy dokumentacji papierowej. 

[Nośniki danych, środki ochronny danych] 

  1. Dokumentacja papierowa przechowywana jest w pomieszczeniach gabinetów, w razie, gdy jest to konieczne i uzasadnione jest przenoszona w zabezpieczonej teczce uniemożliwiającej wypadnięcie dokumentu. 
  2. Kalendarz w wersji papierowej zawiera imię i nazwisko pacjenta, jego numer telefonu, daty i godziny umówionych spotkań celem realizacji ustalonych wizyt. Po zakończeniu roku kalendarzowego i konieczności użycia nowego kalendarza papierowego, kalendarz pozostaje przechowywany w zamkniętej na klucz szafce w recepcji przez okres jednego roku. Po okresie jednego roku kalendarz zostaje zniszczony przy użyciu niszczarki. 
  3. Dokumentacja papierowa po zakończeniu realizacji usług przechowywana jest przez okres 3 lat (jeżeli nie została wystawiona faktura imienna na rzecz pacjenta) lub 5 lat (jeżeli została wystawiona faktura imienna na rzecz pacjenta) od zakończenia wykonania umowy, następnie jest niszczona w niszczarce lub w inny trwały sposób. 
  4. Komputery używane do przetwarzania danych  (danych wrażliwych) mają system  zabezpieczony  hasłem dostępu, komputer posiada stosowne programy zabezpieczające antywłamaniowe i antywirusowe. Dyski, na których przechowywane są dane pacjenta, są szyfrowane BitLockerem , co uniemożliwia ich odczyt z zastosowaniem innego urządzenia, niż komputer, na którym się znajdują. W sytuacji potrzeby zmiany sprzętu elektronicznego na nowy i chęci odsprzedania dotychczas używanego sprzętu elektronicznego wszelkie dane osobowe i/lub dane wrażliwe zostają przekopiowane na nowy sprzęt, a następnie usunięte ze sprzętu elektronicznego przeznaczonego do wymiany na nowy. 
  5. Do telefonu stanowiącego narzędzie obsługi recepcyjnej nie zawiera danych pacjenta i służy wyłącznie do kontaktu z pacjentem na podstawie danych zawartych w dokumentacji pomocnicze, kalendarza wizyt.  

 

[Udostępnianie danych pacjenta]

  1. Dane pacjenta mogą zostać udostępnione podmiotom i organom (np. sądy, organy ścigania), którym Administrator jest zobowiązany i/ lub upoważniony udostępnić dane osobowe na podstawie powszechnie obowiązujących przepisów prawa. 
  2. Dane pacjenta mogą zostać udostępnione w sytuacji zagrożenia życia lub zdrowia pacjenta, bądź jego otoczenia, tylko w sytuacji odmowy podjęcia przez pacjenta kroków interwencyjnych zapisanych w kontrakcie terapeutycznym lub zawartych ustnie na czas konsultacji diagnostycznych. W tych sytuacjach dane będą przekazane upoważnionej przez pacjenta osobie do kontaktu i/lub policji i/lub pogotowiu ratunkowemu. Dotyczy sytuacji w których pacjent stanowi zagrożenie dla życia i zdrowia, swojego lub innych, a jednocześnie odmawia zgłoszenia się do lekarza psychiatry lub na izbę przyjęć. W takiej sytuacji psychoterapeuta zostaje zwolniony z tajemnicy zawodowej. Równocześnie psychoterapeuta jest zobowiązany do poinformowania o tym fakcie pacjenta oraz osoby bliskie o zaistniałej sytuacji lub wezwaniu stosownych służb (dotyczy sytuacji odmowy przez pacjenta dobrowolnego zgłoszenia się na konsultację lekarską lub izbę przyjęć). Procedura realizowana w oparciu o stosowane ustawy. 

 

[Pracownicy, współpracownicy i inne podmioty przetwarzające]

  1. Administrator danych zatrudniający pracowników lub stale współpracujący z innymi współpracownikami, specjalistami lekarzami, podmiotami, które mają dostęp do danych osobowych pacjentów, zapoznaje ich z zasadami dotyczącymi przetwarzania danych osobowych określonymi Regulaminie Ochrony danych wprowadzonym do stosowania w podmiocie oraz zobowiązuje ich do przestrzegania zawartych w nim zasad. 
  2. Osoby zatrudnione lub współpracujące z Administratorem danych zostają dopuszczane są do przetwarzania danych wyłącznie po odbyciu szkolenia z ochrony danych osobowych oraz danych szczególnych kategorii, o których mowa w art., 9 RODO. Odbyte szkolenie jest podstawą wydania przez ADO pisemnego upoważnienia do przetwarzania danych. Szkolenie, o którym mowa powyżej przeprowadza Inspektor Ochrony Danych. Upoważnienia do przetwarzania danych wygasają wraz z zakończeniem współpracy.   
  3. Osoby niezatrudnione przez psychoterapeutę, a w szczególności podmioty zewnętrzne, np. biuro księgowe przetwarzające dane osobowe na zlecenie Administratora, zostają uprawnione do przetwarzania danych osobowych po uprzednim zawarciu na piśmie umowy o powierzeniu przetwarzania danych osobowych. 
  4. Dokumenty, o których mowa w ust. 2 i ust. 3, określają w szczególności zakres dostępu do danych osobowych oraz czas trwania upoważnienia lub umowy, nie dłuższy niż czas trwania stosunku pracy lub innego stosunku, na podstawie którego strony współpracują. 
  5. Umowa powierzenia przetwarzania danych osobowych zawiera wszystkie elementy wskazane w art. 28 ust. 3 rozporządzenia RODO.

 

[Zautomatyzowane podejmowanie decyzji]

Dane osobowe przetwarzane przez Administratora w związku z wykonaniem usług nie będą poddane zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.