POLITYKA BEZPIECZEŃSTWA INFORMACJI

(1)

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Niniejsza Polityka bezpieczeństwa (zwana dalej „Polityką”) została sporządzona w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa dotyczącymi zasad przetwarzania i zabezpieczenia danych, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/

WE (zwanym dalej „RODO”).

1. Administrator Danych Osobowych

1.1. Administratorem Pana/Pani danych osobowych, jest MEDICAL PLANET Sp. z o.o. z siedzibą w Warszawie, przy ul. Ludwika Rydygiera 6 lok. U9A, 01-793 Warszawa, wpisana do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000891144, NIP:

5252856766, REGON: 388531188 (zwana dalej „Medical Planet”). To oznacza, że odpowiadamy za wykorzystanie danych w sposób bezpieczny oraz zgodnie obowiązującymi przepisami.

1.2. Ze względu na charakter prowadzonej działalności – Medical Planet Sp. z o.o. wykonuje działalność leczniczą pod nazwą NEURO Przychodnia Specjalistyczna, wpisaną do Rejestru Podmiotów Wykonujących Działalność Leczniczą, prowadzonego przez Wojewodę Mazowieckiego w Warszawie. Niniejsza Polityka odnosi się – w strefie administracyjnej – bezpośrednio do spółki Medical Planet Sp. z o.o., jak również – w strefie operacyjnej – do zakładu leczniczego prowadzonego pod nazwą NEURO Przychodnia Specjalistyczna.

1.3. Dane przetwarzane są zgodnie z Ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/

WE (RODO), w szczególności zaś stworzone są pełne gwarancje ochrony danych osobowych wymagane prawem. Powołany zgodnie z wymogami prawa administrator danych stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych prowadzi w szczególności dokumentację opisującą sposób przetwarzania danych. Do przetwarzania danych w Medical Planet są dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

2. Cel wykorzystywania danych

2.1. Dane osobowe pozyskane w toku wykonywanej przez Medical Planet działalności są wykorzystywane w celu:

(a) ochrony stanu zdrowia, świadczenia usług diagnostycznych i terapeutycznych, zawarcia i wykonywania umów (np. umowy o pracę, umowy o świadczenie usług), świadczenia usług laboratoryjnych lub świadczenia innych usług diagnostycznych i terapeutycznych, jakie okażą się konieczne w celu przeprowadzenia procesu leczenia, a także w celu zarządzania udzielaniem usług diagnostycznych i terapeutycznych,

(2)

(b) wypełnienia obowiązku prawnego ciążącego na Medical Planet jako administratorze, np.:

obowiązków wskazanych w Ustawie o podmiotach leczniczych, Ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta, Ustawie o zawodzie lekarza i lekarza dentysty, Ustawie o zawodzie pielęgniarki i położnej, tj. w szczególności prowadzenia i przechowywania dokumentacji medycznej (diagnostycznej i terapeutycznej), przekazywania informacji o chorobach, udostępniania dokumentacji podmiotom uprawnionym oraz organom wymiaru sprawiedliwości,

(c) wystawiania zaświadczeń o dotychczasowym przebiegu leczenia na wniosek pacjentów i podmiotów przez nich upoważnionych,

(d) wystawiania i przechowywania faktur oraz dokumentów księgowych,

(e) wystawiania zaświadczeń dotyczących przebiegu zatrudnienia oraz współpracy,

(f) prowadzenia dokumentacji kadrowej oraz wykonywania obowiązków wynikających z zawartych umów o pracę oraz umów cywilnoprawnych,

(g) udzielania odpowiedzi na skargi w terminie i formie przewidzianej przepisami,

(h) świadczenia usług elektronicznych z wykorzystaniem systemu teleinformatycznego, zapewniającego przetwarzanie i przechowywanie, a także wysłanie i odbieranie danych poprzez sieci telekomunikacyjne zgodnie z ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną,

(i) udostępniania sieci wi-fi w obiektach, w których wykonywana jest działalność Medical Planet.

2.2. Dane osobowe będą przetwarzane przez Medical Planet:

(a) przez czas udzielania świadczeń diagnostycznych i terapeutycznych oraz usług z nimi związanych lub powiązanych,

(b) przez czas, w którym przepisy obowiązującego prawa nakazują̨ Medical Planet przechowywać́ dane osobowe, np. art. 29 Ustawy o Prawach Pacjenta i Rzeczniku Praw Pacjenta z dnia 5 listopada 2008 roku, dotyczący okresów przechowywania poszczególnego rodzaju dokumentacji diagnostycznej i terapeutycznej,

(c) w okresie, w którym Medical Planet może ponieść konsekwencje prawne niewykonania danego obowiązku, wynikającego z obowiązujących przepisów prawa,

(d) przez czas trwania zawartych umów (np. umów o pracę, okres rekrutacji, umów cywilnoprawnych, umów o świadczenie usług), a następnie przez okres, po którym przedawnią się̨ roszczenia wynikające takich umów, a w przypadku dochodzenia przez Medical Planet roszczeń lub zawiadamiania właściwych organów − przez czas trwania takich postępowań.

3. Warunek udzielania świadczeń diagnostycznych lub terapeutycznych

3.1. Warunkiem udzielenia świadczeń diagnostycznych lub terapeutycznych w Medical Planet jest przekazanie danych osobowych na formularzach rejestracyjnych, formularzach zgód, umowach oraz innych dokumentach związanych bezpośrednio czy pośrednio z usługami świadczonymi przez Medical Planet.

(3)

3.2. Przetwarzanie danych osobowych i ich weryfikacja w oparciu o dokument ze zdjęciem będzie przeprowadzona przez uprawnionych do tego pracowników Medical Planet, w sposób zgodny z ustawą o ochronie danych osobowych. Każda z osób przekazujących swoje dane osobowe posiada prawo dostępu do ich treści oraz do ich poprawiania. Podanie danych osobowych w zakresie wymaganym ustawodawstwem medycznym jest obligatoryjne, a w pozostałym jest dobrowolne. Odmowa przekazania danych osobowych w zakresie wymaganych ustawodawstwem medycznym może spowodować brak udzielenia jakichkolwiek usług diagnostycznych lub terapeutycznych. W czasie udzielania świadczeń może pojawić się konieczność wykonania dodatkowych badań, usług lub innych czynności związanych ze stanem zdrowia oraz procesem leczenia, np. skierowanie do innego ośrodka o wyższym stopniu referencyjności, konieczność złożenia oświadczeń i zgód.

3.3. Jeśli będzie to wymagało wykorzystania danych w sposób inny niż̇ opisany w tym dokumencie, brakujące informacje zostaną uzupełnione i przekazane, o ile to możliwe, przed uzyskaniem danych. W pozostałym zakresie informacje o przetwarzaniu danych zawarte w tym dokumencie pozostaną̨ aktualne.

4. Warunek zawarcia umów z pracownikami

4.1. Warunkiem zawarcia umowy o pracę jest podanie przez kandydata na pracownika danych szczegółowo określonych w art. 22 Kodeksu Pracy, tj.: imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia. Medical Planet ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w powyżej, także:

(a) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;

(b) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).

4.2. Medical Planet przysługuje prawo do żądania udokumentowania danych osobowych, jak również może żądać podania innych danych osobowych niż powyższe, jeżeli obowiązek ich podania wynika z odrębnych przepisów. Analogiczne zasady mają zastosowanie w przypadku zawierania umów cywilnoprawych.

5. Podmioty, którym dane osobowe będą przekazywane

5.1. Uzyskane przez Medical Planet dane osobowe będą przekazywane dalej następującym podmiotom:

(a) innym podmiotom leczniczym przetwarzającym dane osobowe, z którymi Medical Planet posiada zawarte umowy dotyczące wykonania innych usług czy świadczeń, koniecznych do wykonania lub przeprowadzenia w czasie udzielania przez Medical Planet świadczeń na rzecz klientów, związanych z procesem badania, a których Medical Planet nie wykonuje samodzielnie,

(b) Ministerstwu Zdrowia w przypadkach określonych przepisami prawa,

(c) Zakładowi Ubezpieczeń Społecznych w przypadkach określonych przepisami prawa, (d) właściwym urzędom skarbowym oraz innym organom podatkowym, w przypadkach

określonych przepisami prawa,

(4)

(e) organom administracji państwowej i samorządowej, organom wymiaru sprawiedliwości lub innym podmiotom na podstawie przepisów obowiązującego prawa,

(f) pozostałym podmiotom wyłącznie na podstawie obowiązujących przepisów prawa, (g) osobom upoważnionym oraz przedstawicielom ustawowym,

(h) podmiotom świadczącym obsługę prawną i informatyczną Medical Planet,

(i) operatorom zajmującym się działalnością pocztową lub kurierską oraz transportową.

5.2. Płatności dokonywane na rzecz Medical Planet za pośrednictwem np. banku lub instytucji płatniczej, skutkować będą przekazaniem informacji, z jakiego konta oraz z jakiej instytucji dokonana została zapłata. Medical Planet będzie te dane przetwarzać́ w celu sprawdzenia, czy płatność została wykonana w sposób prawidłowy oraz w celach związanych z ustaleniem ewentualnych reklamacji, dokonania zwrotów, dochodzenia i obrony roszczeń́ oraz w celach tworzenia statystyk i analiz.

5.3. Medical Planet może uzyskiwać dane z rejestrów publicznych, np. baza EWUŚ lub ZUS, w celu weryfikacji, czy ustalenia danych istotnych z punktu widzenia prawidłowego wykonywania świadczeń diagnostycznych lub terapeutycznych.

5.4. W przypadku, gdy przetwarzanie przez Medical Planet dane osobowe będą naruszać przepisy prawa, istnieje możliwość wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

5.5. Każdy ma prawo złożyć do Medical Planet osobiście pisemny wniosek o:

(a) sprostowanie (poprawienie) danych osobowych,

(b) usunięcie danych osobowych przetwarzanych bezpodstawnie,

(c) ograniczenie przetwarzania (wstrzymanie operacji na danych lub nieusuwanie danych – stosownie do złożonego wniosku),

(d) dostęp do danych osobowych (o informację o przetwarzanych przez nas danych oraz o kopię danych),

(e) przeniesienie danych do innego administratora danych lub do innego państwa (w zakresie określonym w art. 20 RODO).

5.6. Powyższy wniosek należy złożyć osobiście w siedzibie Medical Planet lub elektronicznie pod adresem: iodo@medicalplanet.com.pl. Przed przyjęciem wniosku Medical Planet dokona weryfikacji tożsamości, w celu ustalenia, czy dana osoba jest uprawniona do jego złożenia.

Zakres każdego z ww. uprawnień oraz sytuacje, kiedy można z nich skorzystać́, wynikają̨ z przepisów prawa.

6. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

6.1. Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych.

6.2. Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. Środki obejmują:

(5)

(a) ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych; inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej,

(b) zamykanie pomieszczeń tworzących obszar przetwarzania danych osobowych na czas nieobecności pracowników, w sposób uniemożliwiający dostęp do nich osób trzecich, (c) wykorzystanie zamykanych szafek i sejfów do zabezpieczenia dokumentów,

(d) wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe,

(e) ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall,

(f) ochronę sprzętu komputerowego wykorzystywanego u administratora przed złośliwym oprogramowaniem.

(g) zabezpieczenie dostępu do urządzeń Medical Planet przy pomocy haseł dostępu, (h) wykorzystanie szyfrowania danych przy ich transmisji.

7. Naruszenia zasad ochrony danych osobowych

7.1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

7.2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

7.3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.

7.4. W trakcie świadczenia usług diagnostycznych i terapeutycznych Medical Planet może otrzymywać szereg innych informacji dotyczących indywidualnego stanu zdrowia w postaci wywiadu medycznego (diagnostycznego i terapeutycznego), wyników badań laboratoryjnych i lekarskich, dotychczasowego przebiegu leczenia oraz innych danych wrażliwych, które są niezbędne do wydania orzeczenia o stanie zdrowia, będącego bezpośrednią kwalifikacją do dalszych procedur diagnostycznych i terapeutycznych.

8. Przekazywanie danych do państwa trzeciego

8.1. Administrator Danych Osobowych nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której dane dotyczą.

8.2. Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy, Przepisów o ochronie danych osobowych oraz Kodeksu karnego w odniesieniu do danych osobowych objętych tajemnicą zawodową.

8.3. Integralną część niniejszej Polityki bezpieczeństwa stanowią następujące Załączniki:

(a) Załącznik nr 1 – Rejestr czynności przetwarzania danych osobowych,

(6)

(b) Załącznik nr 2 – Rejestr czynności przetwarzania danych osobowych przy użyciu urządzeń teleinformatycznych,

(c) Załącznik nr 3 – Wzór upoważnienia do przetwarzania danych osobowych.

Zatwierdzone 31 maja 2021 roku.

(7)

Załącznik nr 1 do Polityki Bezpieczeństwa Informacji

REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

Nazwa operacji Zakres

Przetwarzanie danych osobowych w celu ich zewidencjonowania w rejestrze pacjentów, na rzecz których realizowane będą usługi diagnostyczne i terapeutyczne.

Świadczenia zdalnych usług diagnostycznych i terapeutycznych z wykorzystaniem systemu teleinformatycznego.

Przetwarzanie danych osobowych kandydatów do pracy, osób zatrudnionych na podstawie umów o pracę lub umów cywilnoprawnych, a także osób prowadzących działalność gospodarczą, z którymi Medical Planet współpracuje.

Wystawianie zaświadczeń dotyczących przebiegu zatrudnienia oraz współpracy.

Wypełnienie obowiązku prawnego ciążącego na Medical Planet jako administratorze, np.:

obowiązków wskazanych w Ustawie o podmiotach leczniczych, Ustawie o prawach pacjenta i rzeczniku praw pacjenta, Ustawie o zawodzie lekarza i lekarza dentysty, Ustawie o zawodzie pielęgniarki i położnej, tj. w szczególności prowadzenia i przechowywania dokumentacji pacjentów, przekazywania informacji o chorobach, udostępniania dokumentacji podmiotom u p r a w n i o n y m o r a z o r g a n o m w y m i a r u sprawiedliwości.

Przyjmowanie danych podmiotów, na rzecz których wystawiane są faktury oraz ewidencjonowanie dokumentów księgowych zawierających dane takich podmiotów.

Przetwarzanie danych pozyskanych od potencjalnych klientów lub kontrahentów, w celu złożenia oferty lub zapytania ofertowego.

Realizacja podstawowego celu działalności

Realizacja obowiązków związanych z obsługą kadrowo-pracowniczą

Realizacja obowiązków administracyjnych

Realizacja obowiązków księgowych, płatniczych i

rozliczeniowych Realizacja strategii

marketingowej

(8)

REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH PRZY UŻYCIU URZĄDZEŃ TELEINFORMATYCZNYCH

NAZWA ZBIORU DANYCH CEL PRZETWARZANIA

PROGRAM ZASTOSOWANY DO

PRZETWARZANIA DANYCH W ZBIORZE

OPIS STRUKTURY ZBIORÓW DANYCH – ZAWARTOŚĆ POSZCZEGÓLNYCH PÓL

INFORMACYJNYCH

REKRUTACJA Edytor tekstu, akta

osobowe

• Imię,

• Nazwisko,

• Adres zamieszkania,

• PESEL,

• Data i miejsce urodzenia,

• Numer telefonu,

• Adres e-mail,

• Wykształcenie, w tym odbyte szkolenia,

• Doświadczenie zawodowe, okres wypowiedzenia w obecnej pracy,

• Zainteresowania, hobby.

PRACOWNICY Edytor tekstu, akta

osobowe

• Imię,

• Nazwisko,

• PESEL,

• Imiona rodziców,

• NIP,

• Numer telefonu,

• Numer dowodu osobistego,

• Numer rachunku bankowego,

• Stan cywilny,

• Dzieci (imię i nazwisko, data i miejsce urodzenia, adres zamieszkania),

• Staż pracy, urlopy, zwolnienia,

• Zainteresowania, hobby,

• Stan zdrowia, wynikający z badań lekarskich, w tym zaświadczeń wydawanych w ramach badań wstępnych, okresowych i kontrolnych,

• Informacje o mandatach,

• Informacje o zajęciach komorniczych.

(9)

WSPÓŁPRACOWNICY Edytor tekstu

• Imię,

• Nazwisko,

• PESEL,

• Firma,

• NIP,

• REGON,

• Numer telefonu,

OSOBY

WSPÓŁPRACUJĄCE NA PODSTAWIE UMOWY CYWILNOPRAWNEJ

edytor tekstu

• Imię,

• Nazwisko,

• PESEL,

• NIP,

• Firma,

• Numer telefonu,

(10)

WZÓR UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH

Warszawa, [data]

UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH

W imieniu spółki MEDICAL PLANET spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, przy ul. Ludwika Rydygiera 6 lok. U9A, 01-793 Warszawa, wpisana do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000891144, NIP: 5252856766, REGON: 388531188, działając na podstawie art. 29 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1), niniejszym upoważniamy:

[imię i nazwisko]

[stanowisko]

do przetwarzania danych osobowych zawartych w następujących zbiorach:

1. [tu wymienić zbiory]

Upoważnienie obejmuje uprawnienie do przetwarzania następujących danych:

[tu wymienić dane, które ta osoba będzie przetwarzać]

Upoważnienie obejmuje uprawnienie do przetwarzania danych w zakresie:

1. [wskazać czynności spośród tych wymienionych w rejestrze czynności przetwarzania]

Zobowiązuję się do zachowania w tajemnicy przetwarzane dane osobowe oraz sposoby ich zabezpieczenia.

...

(podpis osoby upoważnionej)