Przydatne informacje

KRS 0000775230

REGON 382765040

NIP 7343569016

48 1750 0009 0000 0000 4106 3599

Nr konta; BNP Paribas

Strona zrobiona w kreatorze stron internetowych WebWave

Media Społecznościowe

09 sierpnia 2019

KLAUZURA RODO STOWARZYSZENIA MALTAŃCZYCY S.M. 

 

 

 

 

 

 

 

 

 

KLAUZURA RODO

STOWARZYSZENIA MALTAŃCZYCY

SŁUŻBA MEDYCZNA

 

 

 

 

NOWY SĄCZ 08.09.2019 R.

 

 

 

 

 

WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR, W KTÓRYM SĄ PRZETWARZANE DANE OSOBOWE

 

 

Lp.

Budynek – dane adresowe

Pomieszczenie - nr pokoju

1

Siedziba: STOWARZYSZENIE MALTAŃCZYCY SŁUŻBA MEDYCZNA, REGON: 382765040, NIP: 7343569016, KRS: 0000775230, ul. KRÓLOWEJ JADWIGI nr 44, 33-300, NOWY SĄCZ

Biuro – pokój nr 10

pomieszczenia działu kadr pok. nr 10

pomieszczenia działu księgowości – pok. nr 10

sekretariat – pokój nr 10

pomieszczenia archiwum– pok. nr 10

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Formuła w ogłoszeniu rekrutacyjnym, kwestionariuszu osobowym, umowie wolontariackiej

 

Zainteresowanych podjęciem współpracy uprzejmie prosimy o przesłanie CV wraz z listem motywacyjnym na adres e-mail: maltanczycy@interia.pl

Informujemy, że przyjmujemy zgłoszenia wyłącznie w formie elektronicznej.

W nadsyłanych dokumentach prosimy o dopisanie klauzuli:

„Na podstawie art. 7 ust. 1 RODO oświadczam, iż wyrażam zgodę na przetwarzanie przez administratora, którym jest STOWARZYSZENIE MALTAŃCZYCY SŁUŻBA MEDYCZNA, REGON: 382765040, NIP: 7343569016, KRS: 0000775230, ul. KRÓLOWEJ JADWIGI nr 44, 33-300, NOWY SĄCZ, moich danych osobowych w celu przeprowadzenia procedury rekrutacji, oraz funkcjonowania w stowarzyszeniu jako wolontariusz . Powyższa zgoda została wyrażona dobrowolnie zgodnie z art. 4 pkt 11 RODO.”

 

 

Klauzula informacyjna dla pracownika/wolontariusza zgodna z RODO

 

 

Zgodnie z art. 13 ust. 1 i 2 RODO informuję, iż:

  1. administratorem Pani/Pana danych osobowych jest: STOWARZYSZENIE MALTAŃCZYCY SŁUŻBA MEDYCZNA, REGON: 382765040, NIP: 7343569016, KRS: 0000775230, ul. KRÓLOWEJ JADWIGI nr 44, 33-300, NOWY SĄCZ
  2. Pani/Pana dane osobowe przetwarzane będą w celu związanym z nawiązaniem i przebiegiem procesu zatrudnienia, na podstawie Pani/Pana dobrowolnej zgody, na podstawie art. 6 ust. 1 lit. a RODO;
  3. odbiorcą Pani/Pana danych osobowych są upoważnieni pracownicy Administratora, zewnętrzne biuro księgowe zapewniające obsługę kadrowo-płacową Administratora.
  4. Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego/organizacji międzynarodowej;
  5. Pani/Pana dane osobowe będą przechowywane przez okres przechowywania dokumentacji kadrowo-płacowej zgodnie z odrębnymi przepisami;
  6. posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody na ich przetwarzanie w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody wyrażonej przed jej cofnięciem;
  7. ma Pan/Pani prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO;
  8. podanie przez Pana/Panią danych osobowych jest dobrowolne, ale konieczne dla celów związanych z nawiązaniem i przebiegiem Pani/Pana zatrudnienia;
  9. Pani/Pana dane nie będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania.

 

 

Klauzula informacyjna dotycząca rekrutacji wolontariuszy

 

Zgodnie z art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) – dalej RODO informuję, iż:

  1. administratorem Pani/Pana danych osobowych jest: STOWARZYSZENIE MALTAŃCZYCY SŁUŻBA MEDYCZNA, REGON: 382765040, NIP: 7343569016, KRS: 0000775230, ul. KRÓLOWEJ JADWIGI nr 44, 33-300, NOWY SĄCZ
  2. wyznaczyliśmy Inspektora Ochrony Danych, z którym można się skontaktować za pośrednictwem adresu e-mail: maltanczycy@interia.pl oraz pisemnie na adres siedziby Administratora;
  3. Pani/Pana dane osobowe przetwarzane będą w celu przeprowadzenia procesu rekrutacji na wolontariusza, na podstawie art. 6 ust. 1 lit. a RODO, na podstawie Pani/Pana dobrowolnej zgody;
  4. Podanie danych ma charakter obligatoryjny;
  5. Niepodanie danych obligatoryjnych w dokumentach aplikacyjnych skutkuje niemożnością realizacji procesu rekrutacji;
  6. Zaniechanie podania danych przetwarzanych na podstawie Pana/Pani zgody skutkuje utrudnieniami w zakresie możliwości wykonania obowiązków w zakresie realizacji procesu rekrutacji;
  7. Pani/Pana dane osobowe będą przechowywane do czasu zakończenia rekrutacji na wolontariusza, lecz nie dłużej niż przez 6 miesięcy;
  8. posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody na ich przetwarzanie w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody wyrażonej przed jej cofnięciem. Oświadczenie o cofnięciu zgody na przetwarzanie danych osobowych wymaga jego złożenia w formie pisemnej lub elektronicznej na adres mailowy maltanczycy@interia.pl lub pisemnie na adres siedziby Administratora;
  9. ma Pan/Pani prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO;
  10. podanie przez Pana/Panią danych osobowych jest dobrowolne, ale konieczne dla celów związanych z przeprowadzeniem procesu rekrutacji.

 

 

 

 

Klauzula informacyjna zgodna z RODO dla lekarzy/współpracowników/kontrahentów prowadzących jednoosobową działalność gospodarczą/osób fizycznych/członków organów osób prawnych/ firm zewnętrznych/inspektorów BHP/ i innych podmiotów podejmujących współpracę ze Stowarzyszeniem

 

W związku z nawiązywaną współpracą, poniżej przedstawiam następujące informacje:

  1. Administratorem Pana/Pani danych osobowych jest STOWARZYSZENIE MALTAŃCZYCY SŁUŻBA MEDYCZNA, REGON: 382765040, NIP: 7343569016, KRS: 0000775230, ul. KRÓLOWEJ JADWIGI nr 44, 33-300, NOWY SĄCZ;
  2. Ma Pan/Pani prawo do dostępu do swoich danych osobowych, do ich poprawiania, żądania ich usunięcia lub wniesienia sprzeciwu z powodu Twojej szczególnej sytuacji. Ma Pan/Pani również prawo do żądania od Nas ograniczenia przetwarzania Pana/Pani danych, a także do ich przenoszenia.
  3. Jeżeli uzna Pan/Pani, że Pana/Pani dane osobowe będą przetwarzane niezgodnie z wymogami prawa ma Pan/Pani prawo wnieść skargę do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych.
  4. Pana/Pani dane osobowe będą przetwarzane w kilku różnych celach tj. dla prawidłowej realizacji umowy, dla celów podatkowych, rachunkowych, a także mogą być przetwarzane dla dochodzenia roszczeń wynikających z przepisów prawa cywilnego, jeśli takie się pojawią. W pojęciu "realizacja umowy" mieszczą się również działania podejmowane przed zawarciem umowy, na żądanie podmiotu danych, jeśli są niezbędne do zawarcia umowy.
  5. Podanie przez Pana/Panią danych jest dobrowolne, lecz konieczne do zawarcia i wykonania umowy.
  6. Podstawą prawną przetwarzania Pana/Pani danych jest art. 6 ust. 1 lit. b rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) - dalej RODO, (tzn. przetwarzanie jest niezbędne do wykonania umowy, której jesteś stroną lub do podjęcia działań na Pana/Pani żądanie przed zawarciem umowy), art. 6 ust. 1 lit. c RODO (tzn. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, który na Nas ciąży takiego jak np. obowiązek archiwizacyjny) oraz art. 9 ust. 2 lit. f RODO (tzn. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń).
  7. Odbiorcami Pana/Panidanych osobowych będą te podmioty, którym mamy obowiązek przekazywania dane na gruncie obowiązujących przepisów prawa, w tym Urząd Skarbowy, a także podmioty świadczące na Naszą rzecz usługi księgowe, transportowe, dostarczające przesyłki kurierskie i pocztę.
  8. Pana/Pani dane osobowe będą przez Nas przetwarzane przez cały czas, przez który umowa będzie wykonywana, a także później tj. do czasu upływu terminu przedawnienia ewentualnych roszczeń wynikających z umowy i w związku z realizacją 5-letniego obowiązku archiwizacyjnego.

 

 

 

 

KWESTIONARIUSZ OSOBOWY DLA OSOBY UBIEGAJĄCEJ SIĘ O WSTĄPIENIE DO STOWARZYSZENIA

 

 

 

 

 

 

 

 

 

 

OBOWIĄZEK INFORMACYJNY W ZWIĄZKU Z OBJĘCIEM OPIEKĄ MEDYCZNĄ

 

 

Zgodnie z art. 13 ust. 1−2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej RODO − informujemy, że:

 

  1. Administrator Danych Osobowych:

Administratorem Pana/Pani danych osobowych na potrzeby objęcia opieką medyczną jest STOWARZYSZENIE MALTAŃCZYCY SŁUŻBA MEDYCZNA, REGON: 382765040, NIP: 7343569016, KRS: 0000775230, ul. KRÓLOWEJ JADWIGI nr 44, 33-300, NOWY SĄCZ.

  1. Inspektor Ochrony Danych:

Wyznaczyliśmy Inspektora Ochrony Danych, z którym możesz się Pan/Pani skontaktować w sprawach ochrony swoich danych osobowych za pośrednictwem adresu email: maltanczycy@interia.pl , pod numerem telefonu +48 692-252-191 lub pisemnie na adres naszej siedziby, wskazany w pkt 1.

  1. Cele i podstawy przetwarzania

Pana/Pani dane osobowe będą przetwarzane w następującym celu:

  • objęcia opieką medyczną (na podstawie art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. h RODO w zw. z art. 25 pkt 1 Ustawy o prawach pacjenta oraz § 10 ust. 1 pkt 2 Rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania);
  • prowadzenia i przechowywania dokumentacji medycznej (na podstawie art. 9 ust. 2 lit. h RODO w zw. z art. 24 ust. 1 Ustawy o prawach pacjenta oraz Rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania);
  • w celu realizacji Pana/Pani praw jako Pacjenta, tj. udostępniania dokumentacji medycznej pacjentowi lub jego przedstawicielowi ustawowemu, bądź osobie upoważnionej przez pacjenta, udzielania osobom upoważnionym informacji o Pana/Pani stanie zdrowia (na podstawie art. 6 ust. 1 lit. c RODO w zw. z art. 9 ust. 3 oraz art. 26 ust. 1 Ustawy o prawach pacjenta oraz § 8 ust. 1 Rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania);
  • w celu kontaktu z Pacjentem - telefonicznego, listownego, drogą elektroniczną poprzez email (na podstawie art. 6 ust. 1 lit. b oraz f RODO);
  • w celu dochodzenia roszczeń z tytułu prowadzonej przez Administratora działalności gospodarczej (na podstawie art. 6 ust. 1 lit. b oraz f RODO);
  • w celu realizacji obowiązków względem organów podatkowych, organów kontrolnych (napodstawie art. 6 ust. 1 lit. c RODO w zw. z art. 74 ust. 2 ustawy z dnia 29 września 1994 r. o rachunkowości, art. 64 ust. 1 oraz art. 107 ust. 5 pkt 13 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych);
  1. Okres przechowywania danych:
    • Okres przechowywania dokumentacji medycznej wynosi 20 lat od dnia dokonania w niej ostatniego wpisu (z wyj. określonymi w art. 29 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta);
    • Okres przetwarzania danych w celu dochodzenia roszczeń (np. w postępowaniach windykacyjnych) jest taki sam jak okres przedawnienia roszczeń, wynikający z przepisów kodeksu cywilnego.
    • Dane przetwarzane na potrzeby rachunkowości oraz ze względów podatkowych są przetwarzane przez 5 lat liczonych od końca roku kalendarzowego, w którym powstał obowiązek podatkowy.
    • Po upływie wyżej wymienionych okresów dane są usuwane.
  2. Prawo do sprzeciwu:

Zgodnie z RODO, przysługuje Panu/Pani:

  1. prawo dostępu do swoich danych oraz otrzymania ich kopii;
  2. prawo do sprostowania (poprawiania) swoich danych;
  3. prawo do usunięcia danych, ograniczenia przetwarzania danych;
  4. prawo do wniesienia sprzeciwu wobec przetwarzania danych;
  5. prawo do przenoszenia danych;
  6. prawo do wniesienia skargi do organu nadzorczego.

 

OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH ZGODNIE Z RODO

 

OBOWIĄZKI ADO

PYTANIA KONTROLNE

UWAGI

Podmiot przetwarzający dane osobowe jest administratorem danych osobowych, jeżeli samodzielnie lub z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych.

przetwarzanie danych osobowych zgodnie z art. 5 RODO
  • czy dane są:
  1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość")?
  2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu")?
  3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych")?
  4. prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość")?
  5. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania")?
  6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność")?

 

przetwarzanie danych osobowych na podstawie określonej w art. 6 lub 9 RODO
  • czy:
  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów?
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy?
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze?
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej?
  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi?
  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem?
  • czy dane należą do danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby?

 

 

jeżeli dane są przetwarzane na podstawie zgody – obowiązek uzyskania zgody w sposób określony w art. 7
  • czy administrator jest w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych?
  • czy osobie, której dane dotyczą, i która wyraża zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę zostało przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem?
  • czy osoba, której dane dotyczą, została poinformowana o prawie wycofania zgody przed wyrażeniem zgody?
  • czy wycofanie zgody jest równie łatwe jak jej wyrażenie?
  • czy dokonano oceny, czy od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy?

 

wykazanie, ze osoba udzieliła zgody na przetwarzanie (art. 7)

j.w.

 

jeżeli pozyskuje dane dzieci przez Internet – uzyskanie zgody rodzica (art. 8)
  • czy w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku poniżej 16 roku życia uzyskano zgodę osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody?

 

jeżeli przetwarza dane „karne” – obowiązek posiadania podstawy ustawowej lub zgody władz (art. 10)
  • czy są przetwarzane dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa?

 

jeżeli przetwarza dane, ale nie wie czyje, spełnia wymogi art. 11
  • czy cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą?

 

zapewnienie obsługi praw jednostki określonych w art. 12-22

 

 

zapewnienie bezpieczeństwa danych zgodnie z art. 24 i 32
  • czy administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO?
  • czy środki te są w razie potrzeby poddawane przeglądom i uaktualniane?
  • czy administrator wdraża odpowiednie polityki ochrony danych, jeśli jest to proporcjonalne w stosunku do czynności przetwarzania?
  • czy uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
  1. pseudonimizację i szyfrowanie danych osobowych;
  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

zadbanie o „projektowanie prywatności” i domyślną prywatność (minimalizację przetwarzania) zgodnie z art. 25
  • czy administrator wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą?

 

zawarcie umowy współadministrowania w przypadku przetwarzania danych z innym podmiotem (art. 26)
  • czy istnieje co najmniej dwóch administratorów, którzy wspólnie ustalają cele i sposoby przetwarzania?

 

wyznaczenie przedstawiciela, jeżeli nie ma siedziby w UE (art. 27)
  • czy przetwarzane są dane osobowe osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:
  1. oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii - niezależnie od tego, czy wymaga się od tych osób zapłaty; lub
  2. monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii?

 

zawarcie szczegółowej umowy powierzenia przetwarzania (art.28)
  • czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą?

 

odebranie zobowiązania od osób upoważnionych do dostępu do danych osobowych, że mają prawo je przetwarza c wyłącznie na polecenie administratora (art.29)

 

 

prowadzenie rejestru czynności przetwarzania danych (art.30)

 

 

współpraca z organem nadzorczym (art. 31)

 

 

zapewnienie stopnia bezpieczeństwa danych odpowiadającego ryzyku naruszenia praw lub wolności osób, których dane przetwarza (art. 32)
  • czy uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
  1. pseudonimizację i szyfrowanie danych osobowych;
  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

zgłaszanie organowi nadzorczemu naruszenia ochrony danych (art. 33)

  • czy nastąpił wyciek, zniszczenie, uszkodzenie, zmiana, krytyczna niedostępność

 

zawiadamianie osoby, której dane zostały dotknięte naruszeniem ochrony danych (art. 34)

  • czy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych
  • czy:
    1. administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
    2. administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
    3. wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób?

 

przeprowadzanie sformalizowanej oceny skutków dla ochrony danych (art. 35)

  • czy zachodzi duże prawdopodobieństwo wysokiego ryzyka naruszenia praw i wolności osób, których dane są przetwarzane?

 

konsultacje z organem nadzorczym (art. 36)
  • czy ocena skutków dla ochrony danych, o której mowa w art. 35, wskazała, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka?

 

przeprowadzenie analizy obowiązku powołania Inspektora Ochrony Danych (IOD) (art. 37-39)
  • czy:
  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

OŚWIADCZENIE

o zachowaniu poufności danych osobowych

 

Oświadczam, iż zapoznano mnie z przepisami dotyczącymi ochrony danych osobowych, w szczególności ogólnego Rozporządzenia o ochronie danych UE z dnia 27 kwietnia 2016 r. oraz odnośnymi wymaganiami "Polityki Ochrony Danych Osobowych" przyjętej przez Administratora Danych Osobowych, którym jest: STOWARZYSZENIE MALTAŃCZYCY SŁUŻBA MEDYCZNA, REGON: 382765040, NIP: 7343569016, KRS: 0000775230, ul. KRÓLOWEJ JADWIGI nr 44, 33-300, NOWY SĄCZ.

W szczególności zobowiązuję się do:

• przetwarzania danych osobowych wyłącznie w zakresie i celu przewidzianym w powierzonych przez Administratora zadaniach;

• zachowania w tajemnicy danych osobowych do których mam lub będę mieć dostęp w związku z wykonywaniem zadań powierzonych przez Administratora;

• niewykorzystywania danych osobowych w celach niezgodnych z zakresem i celem powierzonych zadań przez Administratora;

• zachowania w tajemnicy sposobów zabezpieczenia danych osobowych;

• ochrony danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją danych osobowych, nieuprawnionym ujawnieniem danych osobowych, nieuprawnionym dostępem do danych osobowych oraz przetwarzaniem.

Przyjmuję do wiadomości, iż postępowanie sprzeczne z powyższymi zobowiązaniami może być uznane przez Administratora za naruszenie przepisów Rozporządzenia o ochronie danych UE z dnia 27 kwietnia 2016 r.

 

 

............................................................

(data i pełny podpis składającego oświadczenie)

 

 

 

 

POLITYKA CZYSTEGO BIURKA

w: STOWARZYSZENIE MALTAŃCZYCY SŁUŻBA MEDYCZNA

 

 

  1. Niniejsza polityka czystego biurka obowiązuje wszystkich pracowników zatrudnionych w:STOWARZYSZENIE MALTAŃCZYCY SŁUŻBA MEDYCZNA, REGON: 382765040, NIP: 7343569016, KRS: 0000775230, ul. KRÓLOWEJ JADWIGI nr 44, 33-300, NOWY SĄCZ.
  2. Za pracownika uważa się każdą osobę zatrudnioną na podstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę, a także osobę fizyczną wykonującą pracę na innej podstawie niż stosunek pracy, doktoranta, studenta i ucznia, niebędący pracownikami, oraz wolontariusza, jak również osobę prowadzącą jednoosobową działalność gospodarczą, współpracującą z pracodawcą.
  3. Za pracodawcę uważa się: STOWARZYSZENIE MALTAŃCZYCY SŁUŻBA MEDYCZNA, REGON: 382765040, NIP: 7343569016, KRS: 0000775230, ul. KRÓLOWEJ JADWIGI nr 44, 33-300, NOWY SĄCZ.
  4. Każdy pracownik zobowiązany jest do przechowywania na biurku tylko tych dokumentów, które są pracownikowi niezbędne w danym momencie pracy do wykonania bieżących zadań.
  5. Na biurku nie mogą znajdować się napoje w pojemnikach grożących rozlaniem płynu.
  6. Po zakończonej pracy pracownik zobowiązany jest odłożyć wszystkie dokumenty do zamykanej na klucz szafy.
  7. Po zakończonej pracy pracownik zobowiązany jest odłożyć laptopa do zamykanej na klucz szafy.
  8. Po zakończonej pracy na biurku mogą znajdować się jedynie telefon i przybory biurowe, takie jak: zszywacz, dziurkacz, długopis, itp.
  9. Pracownik zobowiązany jest do niszczenia dokumentów niepotrzebnych w taki sposób, aby nie było możliwe odtworzenie zawartych w nich informacji, np. w niszczarce.

10. Niniejsza Polityka obowiązuje od dnia 08.09.2019r.

 

 

 

Polityka Ochrony Danych Osobowych

  1. Polityka Ochrony Danych Osobowych, zwana dalej „Polityką”, określa środki techniczne i organizacyjne zastosowane przez Administratora Danych dla zapewnienia ochrony danych osobowych oraz tryb postępowania w przypadku stwierdzenia naruszenia zabezpieczenia danych osobowych w systemie informatycznym lub w kartotekach, albo w sytuacji podejrzenia o takim naruszeniu.
  2. Celem niniejszej Polityki ochrony danych osobowych (RODO) jest wypełnienie założeńRozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej też zwane RODO).
  3. Nadzór nad przestrzeganiem zasad opisanych w niniejszej Polityce oraz przepisów ochrony danych osobowych pełni Administrator danych.
  4. Definicje i załączniki:
  5. Administrator danych - oznacza osobę fizyczną lub prawną, podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Administratorem jest:STOWARZYSZENIE MALTAŃCZYCY SŁUŻBA MEDYCZNA, REGON: 382765040, NIP: 7343569016, KRS: 0000775230, ul. KRÓLOWEJ JADWIGI nr 44, 33-300, NOWY SĄCZ(dalej jako ADO).

  1. bezpieczeństwo informacji – zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność;
  2. dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  3. dane szczególne oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne
  4. w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej;
  5. hasło – rozumie się przez to ciąg znaków alfanumerycznych, znany jedynie użytkownikowi;
  6. identyfikator – rozumie się przez to, ciąg znaków literowych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
  7. incydent ochrony danych osobowych – zdarzenie albo seria niepożądanych lub niespodziewanych zdarzeń ochrony danych osobowych stwarzających znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrożenia ochrony danych osobowych.
  8. naruszenie ochrony danych osobowych - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

10) obszar przetwarzania danych – rozumie się przez to budynki i pomieszczenia określone przez administratora danych, tworzące obszar, w którym przetwarzane są dane osobowe i inne informacje prawem chronione.

11) odbiorca danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią; organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

12) osoba, podmiot danych -oznacza osobę, której dane dotyczą;

13) podmiot przetwarzający -oznacza organizację lub osobę, której ADO powierzył przetwarzanie danych osobowych.

14) polityka - oznacza niniejszą politykę ochrony danych osobowych;

15) postępowanie z ryzykiem – proces planowania i wdrażania działań wpływających na ryzyko; Ryzyko – niepewność osiągnięcia zamierzonych celów;

16) poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom; szacowanie ryzyka – proces identyfikowania, analizowania i oceniania ryzyka;

17) profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

18) RODO oznacza rozporządzenie parlamentu europejskiego i rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE l 119, s. 1).

19) serwisant – rozumie się przez to firmę lub pracownika firmy zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego;

20) system informatyczny administratora danych – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną administratora danych;

21) teletransmisja – rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej;

22) uwierzytelnienie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;

23) użytkownik – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło;

24) zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

  1. W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kilku warstw ochronnych. Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników.
  2. Zastosowane zabezpieczenia mają służyć osiągnięciu poniższych celów i zapewnić:
  3. rozliczalność – rozumie się przez to właściwość zapewniającą, że działania użytkownika mogą być przypisane w sposób jednoznaczny tylko temu użytkownikowi;
  4. integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
  5. poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
  6. integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej jak i przypadkowej.
  7. Za przestrzeganie zasad ochrony i bezpieczeństwa danych odpowiedzialni są użytkownicy.
  8. Realizację powyższych zamierzeń powinny zagwarantować następujące założenia:
  9. Wdrożenie procedur określających postępowanie osób dopuszczonych do przetwarzania danych osobowych oraz ich odpowiedzialność za ochronę tych danych.
  10. Przeszkolenie użytkowników w zakresie bezpieczeństwa i ochrony danych osobowych.
  11. Przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (hasła, identyfikatory).
  12. Podejmowanie niezbędnych działań w celu likwidacji słabych ogniw w systemie zabezpieczeń,
  13. Okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych osobowych.
  14. Za naruszenie ochrony danych osobowych uważa się w szczególności:
  15. nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń,w których się one znajdują
  16. naruszenie lub próby naruszenia integralności danych rozumiane jako wszelkie modyfikacje, zniszczenia lub próby ich dokonania przez osoby nieuprawnione lub uprawnione działające w złej wierze lub jako błąd w działaniu osoby uprawnionej (np. zmianę zawartości danych, utratę całości lub części danych),
  17. naruszenie lub próby naruszenia integralności systemu
  18. zmianę lub utratę danych zapisanych na kopiach zapasowych,
  19. naruszenie lub próby naruszenia poufności danych,
  20. nieuprawniony dostęp (sygnał o nielegalnym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu),
  21. udostępnienie osobom nieupoważnionym danych osobowych
  22. zniszczenie, uszkodzenie lub wszelkie próby nieuprawnionej ingerencji w system informatyczny zmierzające do zakłócenia jego działania bądź pozyskania w sposób niedozwolony lub w celach niezgodnych z przeznaczeniem danych zawartych w systemie,
  23. inny stan systemu informatycznego lub pomieszczeń, niż pozostawiony przez użytkownika po zakończeniu pracy.

10. Za naruszenie ochrony danych osobowych uważa się również włamanie do budynku lub pomieszczeń, w których przetwarzane są dane osobowe lub próby takich działań.

11. Dlazapewnienia bezpieczeństwa danych i informacji zastosowano następujące środki organizacyjne:

  1. Każda osoba działająca z upoważnienia Administratora i mająca dostęp do danych osobowych przetwarzała je wyłącznie na polecenie Administratora.
  2. Każdy z pracowników i współpracowników powinien zachować szczególną ostrożność przy przenoszeniu danych.
  3. Należy chronić dane przed dostępem do nich osób nieupoważnionych.
  4. Pomieszczenia w których są przetwarzane dane osobowe powinny być zamykane na klucz.
  5. Dostęp do kluczy posiadają tylko upoważnieni pracownicy i współpracownicy.
  6. Dostęp do pomieszczeń możliwy jest tylko i wyłącznie w godzinach pracy. W wypadku gdy jest wymagany poza godzinami pracy – możliwy jest tylko na podstawie zezwolenia Administratora.
  7. Dostęp do pomieszczeń, w których są przetwarzane dane osobowe mogą mieć tylko upoważnieni pracownicy.
  8. W przypadku pomieszczeń, do których dostęp mają również osoby nieupoważnione, mogą przebywać w tych pomieszczeniach tylko w obecności osób upoważnionych i tylko w czasie wymaganym na wykonanie niezbędnych czynności.
  9. Szafy, w których przechowywane są dane powinny być zamykane na klucz.

10) Klucze do tych szaf posiadają tylko upoważnieni pracownicy.

11) Szafy z danymi powinny być otwarte tylko na czas potrzebny na dostęp do danych, a następnie powinny być zamykane.

12) Dane w formie papierowej mogą znajdować się na biurkach tylko na czas niezbędny na dokonanie czynności służbowych, a następnie muszą być chowane do szaf.

13) Dostęp do komputerów, na których są przetwarzane dane - mają tylko upoważnieni pracownicy i współpracownicy.

14) Monitory komputerów, na których przetwarzane są dane, są tak ustawione, aby osoby nieupoważnione nie miały wglądu w dane.

15) W wypadku potrzeby wyniesienia komputera przenośnego (np. typu notebook) zawierającego dane osobowe, lub inne informacje chronione, komputer taki musi być odpowiednio dodatkowo zabezpieczony, a dane zaszyfrowane.

16) Nie należy udostępniać osobom nieupoważnionym tych komputerów.

17) W przypadku potrzeby przeniesienia danych osobowych pomiędzy komputerami - należy dokonać tego z zachowaniem szczególnej ostrożności.

18) Nośniki użyte do tego należy wyczyścić (skasować nieodwracalnie), aby nie zostały na nich dane osobowe.

19) W wypadku niemożliwości skasowania danych z nośnika (płyta CD-ROM, pendrive) - należy takinośnik zniszczyć fizycznie.

20) W przypadku wykorzystania do przenoszenia dysków - dane należy kasować z tych dysków.

21) Niezabezpieczonych danych osobowych nie należy przesyłać drogą elektroniczną.

22) Sieć komputerowa powinna być zabezpieczona przed wszelkim dostępem z zewnątrz.

23) Błędne lub nieaktualne wydruki i wersje papierowe zawierające dane osobowe lub inne informacje chronione - niszczone są za pomocą niszczarki lub w inny mechaniczny sposób uniemożliwiający powtórne ich odtworzenie.

12. W przypadku stwierdzenia naruszenia:

  1. zabezpieczenia systemu informatycznego,
  2. technicznego stanu urządzeń,
  3. zawartości zbioru danych osobowych,
  4. ujawnienia metody pracy lub sposobu działania programu,
  5. jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych,
  6. innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, itp.) każda osoba zatrudniona przy przetwarzaniu danych jest obowiązana niezwłocznie powiadomić o tym fakcie Administratora danych.

13. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami wszczyna się postępowanie dyscyplinarne lub porządkowe.

Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych.

14. Dostęp do danych osobowych:

  1. Przetwarzanie, w tym udostępnianie danych osobowych jest prawnie dopuszczalne, jeżeli jest niezbędne dla zrealizowania obowiązku wynikającego z przepisu prawa.
  2. W przypadku udostępnienia danych osobowych w celach innych niż włączenie do rejestru, administrator danych udostępnia posiadane informacje osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
  3. Dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
  4. Podmiot występujący o udostępnienie informacji powinien wskazać podstawę prawną upoważniającą go do otrzymania tych danych albo uzasadnioną potrzebę żądania ich udostępnienia. Tylko w takiej sytuacji można dokonać oceny, czy w określonym przypadku udostępnienie danych jest prawnie dopuszczalne i czy nie będzie ono stanowić naruszenia zasad ochrony informacji.
  5. Przetwarzanie, w tym udostępnianie danych osobowych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje w celu badań naukowych, dydaktycznych, historycznych oraz statystycznych.
  6. Udostępnienie danych może nastąpić jedynie za zgodą Administratora danych i powinno być odpowiednio udokumentowane.

15. Prawa podmiotów danych.

Każdej osobie, której dane osobowe są przetwarzane przysługuje prawo do kontroli przetwarzania jej danych osobowych, a w szczególności prawo do:

  1. uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane oraz do otrzymania informacji o pełnej nazwie i adresie siedziby Administratora Danych;
  2. uzyskania informacji o celu, zakresie i sposobie przetwarzania danych osobowych;
  3. uzyskania informacji, od kiedy są przetwarzane jej dane osobowe, oraz podania w powszechnie zrozumiałej formie treści tych danych;
  4. uzyskania informacji o źródle, z którego pochodzą dane osobowe jej dotyczące;
  5. uzyskania informacji o sposobie udostępniania danych osobowych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe są udostępniane;
  6. żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem przepisów prawa albo są już zbędne do realizacji celu, dla którego zostały zebrane.

16. Polityka jest dokumentem wewnętrznym i nie może być udostępniana osobom postronnym w żadnej formie.

17. Użytkownicy są zobowiązani zapoznać się z treścią Polityki.

18. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie aktualnie obowiązujące przepisy prawa w zakresie ochrony danych osobowych.

19. Użytkownicy zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych postanowień zawartych w niniejszej Polityce. W wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących u Administratora Danych, użytkownicy mają obowiązek stosowania unormowań dalej idących, których stosowanie zapewni wyższy poziom ochrony informacji.

Zatwierdzam

 

...........................................

(data, podpis, pieczątka

Administratora)

 

 

RAPORT Z NARUSZENIA OCHRONY DANYCH

 

  1. Data: ..............., godzina: ...............
  2. Osoba powiadamiająca o naruszeniu oraz świadkowie zdarzenia (imię, nazwisko, stanowisko służbowe):

.............................................................................................................................

.............................................................................................................................................................................................................................................................................

  1. Lokalizacja zdarzenia (nazwa pomieszczenia, programu lub aplikacji itp.):

.............................................................................................................................

.............................................................................................................................

  1. Rodzaj naruszenia i krótki opis okoliczności towarzyszących naruszeniu:

.............................................................................................................................

..............................................................................................................................

  1. Podjęte działania zapobiegawcze:

..............................................................................................................................

  1. Wstępna ocena przyczyn wystąpienia naruszenia:

.............................................................................................................................

  1. Podjęte postępowanie wyjaśniające i naprawcze:

.............................................................................................................................

  • .........................................

podpis Pracownika/wolontariusza data i podpis IOD lub Administratora Danych Osobowych

 

 

………………………., dn. ..................... 2019 r.

UPOWAŻNIENIE

DO PRZETWARZANIA DANYCH OSOBOWYCH

Na podstawie art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej RODO − nadaję upoważnienie Pani/Panu:

…………………………………………………………………………………………….

(imię i nazwisko)

………………………………………………..

(stanowisko)

do przetwarzania danych osobowych w zakresie pełnionych obowiązków służbowych na zajmowanym stanowisku.

 

Niniejsze upoważnienie obejmuje uprawnienie do przetwarzania danych np. pacjentów, pracowników …………………………, bez prawa dostępu do informacji o wynagrodzeniach itp.

 

Jednocześnie upoważniam Panią/Pana do tworzenia oraz posiadania dla potrzeb wykonywanej pracy zestawień, ewidencji oraz rejestrów z danymi osobowymi, z zachowaniem pełnej ich ochrony przy zastosowaniu środków technicznych i organizacyjnych wdrożonych w:STOWARZYSZENIE MALTAŃCZYCY SŁUŻBA MEDYCZNA, REGON: 382765040, NIP: 7343569016, KRS: 0000775230, ul. KRÓLOWEJ JADWIGI nr 44, 33-300, NOWY SĄCZ.

Osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do przestrzegania przepisów dotyczących ochrony danych osobowych oraz wprowadzonych i wdrożonych do stosowania przez Administratora procedur ochrony danych osobowych. Zobowiązana jest również do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia zarówno w trakcie zatrudnienia, jak również po jego ustaniu.

 

 

……..………………………………

podpis osoby uprawnionej do nadania upoważnienia

Data wygaśnięcia* ……..………..

...............................................

podpis osoby uprawnionej do odwołania upoważnienia

* Data rozwiązania stosunku pracy/umowy cywilnoprawnej

 

 

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH ZGODNIE Z ART. 5 RODO

 

ZASADA

PYTANIA KONTROLNE

UWAGI

zasada rzetelności i legalności (zgodności z prawem)
  • czy są spełnione przesłanki określone w art. 6 i 9 RODO?

 

zasada przejrzystości
  • czy wszystkie informacje i komunikaty związane z przetwarzaniem danych osobowych są łatwo dostępne i zrozumiałe?

 

  • czy komunikaty kierowane do osób, których danych dotyczą, są sformułowane w sposób jasny i prostym językiem?

 

zasada ograniczenia celu
  • czy dane są zbierane w oznaczonych, wyraźnych i prawnie uzasadnionych celach i nie są przetwarzane dalej w sposób niezgodny z tymi celami?
  • czy cel zbierania danych jest zidentyfikowany w sposób wyraźny i konkretny?
  • czy jest wystarczająco szczegółowy, by można było określić, jakie operacje przetwarzania danych są nim objęte?
  • czy cel zbierania danych jest uzasadniony (co należy rozumieć jako jego zgodność z prawem)?
  • zbieranie danych nie jest dopuszczalne, jeżeli nie zostały określone cele, dla których mają być one zebrane;
  • nie jest dopuszczalne zbierane danych dla celów ukrytych, zakamuflowanych bądź określonych jedynie w świadomości administratora, czyli w żaden sposób niewyartykułowanych;
  • dane nie mogą być przetwarzane dalej w sposób niezgodny z celami, dla których zostały zebrane

zasada minimalizacji danych
  • czy dane są przetwarzane tylko w takim zakresie, który jest niezbędny dla osiągnięcia celu ich zebrania?
  • czy zgodnie z art. 25 ust. 2 administrator wdrożył odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągniecia celu przetwarzania?

 

zasada prawidłowości (poprawności danych)
  • czy dane są prawidłowe i w razie potrzeby uaktualniane?
  • czy są podejmowane wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane?
  • czy dane są zgodne z prawdą?

 

zasada ograniczenia przechowywania
  • czy dane są przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane

 

zasada integralności i poufności (bezpieczeństwa danych)
  • czy dane są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem?
  • czy dane są przetwarzane za pomocą odpowiednich środków technicznych lub organizacyjnych?
  • czy dane nie są udostępniane nieupoważnionym podmiotom?
  • czy dane osobowe nie są zmieniane lub niszczone w sposób nieautoryzowany?
  • czy administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa, tzn:
    1. pseudonimizację i szyfrowanie danych osobowych;
    2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
    3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
    4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

 

zasada rozliczalności
  • czy zgodnie z art. 24 RODO administrator wykonał obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i czy może to wykazać;
  • czy wdrażając te środki, administrator uwzględnił charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i różnej wadze zagrożenia

 

 

 

 

ZGODNOŚĆ PRZETWARZANIA Z PRAWEM

ART. 6 I 9 RODO

Zgodność przetwarzania z prawem na podstawie art. 6 RODO

Warunki przetwarzania

Wyjątki/Uwagi

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach spełniony jest co najmniej jeden z warunków:

osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

 

przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy

 

przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze

Podstawa przetwarzania musi być określona:

a) w prawie Unii; lub

b) w prawie państwa członkowskiego, któremu podlega administrator.

Cel przetwarzania musi być określony w tej podstawie prawnej.

przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej

 

przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi

Podstawa przetwarzania musi być określona:

a) w prawie Unii; lub

b) w prawie państwa członkowskiego, któremu podlega administrator.

Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi

przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

 

 

nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań

Zgodność przetwarzania z prawem na podstawie art. 9 RODO

Warunki przetwarzania

Wyjątki/Uwagi

Zabrania się przetwarzania danych osobowych ujawniających:

 

 

 

 

 

 

 

pochodzenie rasowe lub etniczne,

poglądy polityczne,

przekonania religijne lub światopoglądowe,

przynależność do związków zawodowych

przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej

danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby

Przetwarzanie jest dozwolone, gdy:

 

osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu

 

przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

 

przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

 

przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;

 

 

przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

 

przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;

 

przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;

 

 

przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia;

Dane osobowe mogą być przetwarzane do jeżeli są przetwarzane przez - lub na odpowiedzialność - pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.

przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;

 

przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

 

 

 

Niniejsze Postanowienia zatwierdził i opublikował Zarząd Główny Stowarzyszenia Maltańczycy Służba Medyczna dnia 08.09.2019r.

 

Podpowiedź:

Możesz usunąć tę informację włączając Plan Premium

Dowiedz się więcej
Ty też bez problemu stworzysz stronę dla siebie. Zacznij już dzisiaj.