Polityka ochrony danych osobowych

§1 Definicje
  1. Administrator – Adriana Bernady, ul. Jagiellończyka 8/16, 50-240 Wrocław, NIP 6112767709, REGON 365020557, tel.: +48 692 580 241, e-mail: kontakt@osrodekdobrejterapii.pl
  2. Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
  3. Organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych lub ewentualnie właściwy organ nadzorczy w zakresie Danych osobowych wyznaczony przez inne państwo członkowskie Unii Europejskiej.
  4. Podmiot danych – osoba fizyczna, której dotyczą Dane osobowe przetwarzane przez Administratora.
  5. Polityka – niniejsza Polityka ochrony Danych osobowych.
  6. Pracownik – osoba fizyczna zatrudniona przez Administratora na podstawie umowy o pracę.
  7. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
  8. Współpracownik – osoba fizyczna świadcząca na rzecz Administratora usługi na podstawie umowy cywilnoprawnej (np. umowa o świadczenie usług, umowa zlecenia, umowa o dzieło).
§2 Zasady ogólne
  1. Niniejsza Polityka stanowi podstawowy dokument regulujący zasady przetwarzania Danych osobowych przez Administratora.
  2. Wdrożenie Polityki ma na celu zapewnienie zgodności z RODO procesów przetwarzania Danych osobowych przez Administratora, bez względu na formę (elektroniczną bądź papierową), w jakiej to przetwarzanie następuje.
  3. W związku z prowadzoną działalnością Administrator zbiera i przetwarza Dane osobowe zgodnie z właściwymi przepisami prawa, w tym w szczególności RODO, oraz zasadami przetwarzania danych osobowych:
    • zgodność z prawem – przetwarzanie odbywa się w oparciu o podstawy prawne określone w RODO.
    • rzetelność i przejrzystość – Administrator informuje o przetwarzaniu danych, celu i podstawie prawnej.
    • ograniczenie celu – dane są zbierane wyłącznie w konkretnych i uzasadnionych celach.
    • minimalizacja danych – przetwarzane są tylko dane niezbędne do realizacji celu.
    • prawidłowość danych – dane są aktualne i poprawne.
    • ograniczenie przechowywania – dane przechowywane są tylko przez czas niezbędny.
    • integralność i poufność – dane chronione są przed nieuprawnionym dostępem.
  4. Administrator zapewnia możliwość wykazania zgodności przetwarzania danych z RODO (zasada rozliczalności).
  5. Administrator zapewnia przestrzeganie niniejszej Polityki przez wszystkich Pracowników oraz Współpracowników.
§3 Organizacja systemu ochrony danych osobowych
  1. Przed udzieleniem dostępu do danych osobowych Administrator zapoznaje każdą osobę z niniejszą Polityką oraz obowiązującymi procedurami ochrony danych.
  2. Przetwarzanie danych osobowych może odbywać się wyłącznie na podstawie udokumentowanego upoważnienia Administratora.
  3. Osoby przetwarzające dane osobowe zobowiązane są w szczególności do:
    • przetwarzania danych zgodnie z upoważnieniem;
    • niezwłocznego zgłaszania naruszeń ochrony danych;
    • uczestnictwa w szkoleniach z zakresu ochrony danych;
    • zachowania poufności danych oraz sposobów ich zabezpieczenia.
§4 Bezpieczeństwo danych osobowych
  1. Administrator wdraża odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo danych osobowych adekwatne do ryzyka ich przetwarzania.
  2. Przy ocenie bezpieczeństwa uwzględnia się w szczególności ryzyko przypadkowej utraty, zniszczenia, nieuprawnionego ujawnienia lub dostępu do danych.
  3. Dostęp do danych mają wyłącznie osoby upoważnione, w zakresie niezbędnym do wykonywania obowiązków.
  4. Administrator regularnie analizuje ryzyko związane z przetwarzaniem danych i aktualizuje stosowane zabezpieczenia.
  5. W przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych Administrator przeprowadza ocenę skutków przetwarzania danych.
§5 Naruszenia ochrony danych osobowych
  1. Administrator zgłasza naruszenia ochrony danych osobowych do organu nadzorczego, jeżeli istnieje ryzyko naruszenia praw lub wolności osób fizycznych.
  2. W przypadku wysokiego ryzyka Administrator informuje także osoby, których dane dotyczą.
  3. Każde naruszenie jest analizowane, a Administrator wdraża odpowiednie działania naprawcze.
  4. Administrator dokumentuje wszystkie naruszenia ochrony danych osobowych.
§6 Realizowanie uprawnień podmiotów danych

Administrator zapewnia realizację praw wynikających z RODO, w tym:

  • prawo dostępu do danych,
  • prawo do uzyskania kopii danych,
  • prawo do sprostowania danych,
  • prawo do usunięcia danych („prawo do bycia zapomnianym”),
  • prawo do ograniczenia przetwarzania,
  • prawo do przenoszenia danych,
  • prawo sprzeciwu wobec przetwarzania danych w celach marketingowych,
  • prawo wycofania zgody na przetwarzanie danych.
§7 Kontakty z podmiotem danych
  1. Administrator zapewnia komunikację z osobami, których dane dotyczą, w sposób przejrzysty, zrozumiały i dostępny.
  2. Informacje mogą być przekazywane pisemnie, elektronicznie lub ustnie (po potwierdzeniu tożsamości osoby).
  3. Administrator ułatwia korzystanie z praw wynikających z RODO.
§8 Rejestr czynności przetwarzania danych
  1. Administrator prowadzi Rejestr czynności przetwarzania danych osobowych.
  2. Rejestr służy dokumentowaniu sposobu wykorzystania danych osobowych.
  3. Rejestr zawiera m.in. podstawę prawną przetwarzania danych:
    • zgoda osoby,
    • umowa,
    • obowiązek prawny,
    • uzasadniony interes administratora.
§9 Minimalizacja przetwarzania danych

Administrator przetwarza wyłącznie dane niezbędne do realizacji określonych celów, ograniczając ich zakres, dostęp oraz okres przechowywania.

§10 Udostępnianie i powierzanie danych osobowych
  1. Dane osobowe mogą być udostępniane innym administratorom wyłącznie na podstawie przepisów RODO.
  2. Powierzenie przetwarzania danych następuje na podstawie umowy powierzenia przetwarzania danych.
  3. Administrator weryfikuje, czy podmioty przetwarzające zapewniają odpowiedni poziom ochrony danych.
§11 Przekazywanie danych poza EOG

Dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy tylko wtedy, gdy zapewniony jest odpowiedni poziom ich ochrony, np. poprzez stosowanie standardowych klauzul umownych Komisji Europejskiej.

§12 Zapewnienie ciągłości zgodności

Administrator monitoruje zmiany przepisów prawa oraz najlepsze praktyki w zakresie ochrony danych osobowych i dostosowuje do nich swoje procedury.

§13 Załączniki
  • rejestr czynności przetwarzania danych osobowych
  • wzór oświadczenia dotyczącego pomocy psychologicznej
  • wzór zgody marketingowej
  • wzór zgody rekrutacyjnej
  • wzór raportu naruszenia ochrony danych
  • wzór upoważnienia do przetwarzania danych
  • rejestr osób upoważnionych do przetwarzania danych
  • informacja o przetwarzaniu danych osobowych pacjenta
§14 Postanowienia końcowe

Polityka wchodzi w życie z dniem …………………………………. r.