RODO

Komunikat/Informacja

w sprawie wypełnienia przez Centrum Rehabilitacji Sportowej obowiązków informacyjnych wynikających z wdrożenia RODO

 

Szanowni Klienci,

 

począwszy od 25 maja 2018 r. obowiązują przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 94/46/WE („Ogólne Rozporządzenie o Ochronie Danych, „RODO”), dotyczącej ochrony danych oraz przepisy Ustawy wprowadzającej RODO – Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000).

 

  1. Ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz.U. 2018 poz. 160);
  2. Ustawa z dnia 25 września 2015 r. o zawodzie fizjoterapeuty (Dz.U. 2018 poz. 505);
  3. Ustawa z dnia 25 czerwca 2010 r. o sporcie (Dz.U.2017.0.1463);
  4. Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz.U. 2016 r. poz. 922);
  5. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000);
  6. Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2017 r. poz. 1907);
  7. Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2017 r. poz. 1219);
  8. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024);
  9. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 roku w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. z 2008r., Nr 229, poz. 1536);
  10. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO)(Dz.Urz.UE L119 z 4 maja 2016 r.);

 

Administrator Danych Osobowych (ADO) – organ, jednostka organizacyjna, podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych. W tym przypadku administratorem danych osobowych jest Centrum Rehabilitacji Sportowej w Warszawie;

 

Baza danych osobowych – zbiór uporządkowanych powiązanych ze sobą tematycznie danych zapisanych np. w pamięci wewnętrznej komputera. Baza danych jest złożona z elementów o określonej strukturze – rekordów lub obiektów, w których są zapisywane dane osobowe;

 

Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne;

 

Hasło – ciąg znaków literowych, cyfrowych lub innych, uwierzytelniający osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;

 

Identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;

 

Incydent – pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji lub zmniejszeniem poziomu usług systemowych, które stwarzają znaczne prawdopodobieństwo zakłócenia działania systemu informatycznego i zagrażają bezpieczeństwu informacji; naruszenie bezpieczeństwa informacji ze względu na poufność, dostępność i integralność;

 

Odbiorca danych – każdy, komu udostępniane są dane osobowe, z wyłączeniem: osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, przedstawiciela administratora danych mającego siedzibę w państwie trzecim, przetwarzającego dane przy wykorzystaniu środków technicznych znajdujących się na terytorium RP podmiotu, który przetwarza dane na podstawie umowy powierzenia zawartej z administratorem, a także organów państwowych i organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem (art. 7 pkt 6 ustawy);

 

Podatność – luka (słabość), która może być wykorzystana przez co najmniej jedno zagrożenie, rozumiane jako potencjalna przyczyna niepożądanego incydentu, który może wywołać szkodę;

 

Polityka prywatności/ PBI – niniejszy dokument;

 

Profilowanie – automatyczny proces przetwarzania danych osobowych, dopuszczalny pod warunkiem spełnienia przesłanek określonych przepisami prawa;

 

System informatyczny – współpracujące ze sobą urządzenia, programy, systemy, procedury przetwarzania informacji i narzędzia programowe zastosowane w celu przetwarzania danych osobowych, systemy cyfrowe

 

Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;

 

Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;

 

Dane osobowe– Są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatorów takich jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

 

Silne hasło -10 znakowe hasło, losowe, ustawione przez generator, nie słownikowe;

Przetwarzanie- działania takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, łączenie, zestawianie, wywoływanie, udostępnianie, rozpowszechnianie, przesyłanie, usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Wystarczy zatem, iż realizowana jest którakolwiek z podanych operacji (np. samo zbieranie danych), a nawet operacja inna niż wymieniona w tym przepisie, mająca za przedmiot dane osobowe, aby należało uznać, że dochodzi do przetwarzania danych, co otwiera drogę do stosowania regulacji zawartej w omawianej ustawie. Można nawet twierdzić, iż samo czytanie danych osobowych przez przedsiębiorcę, jego menadżerów, handlowców czy administratora danych stanowi już przetwarzanie danych w rozumieniu ustawy.

 

Dane wrażliwe– w znaczeniu potocznym są to wszelki dane związane z aspektami zdrowia człowieka, jego danymi biometrycznymi czyli cechami fizycznymi pozwalającymi rozpoznanie jego tożsamości, genotypu, co wiąże się także z zabezpieczeniem śladu genetycznego.

 

RODO– Rozporządzenie Parlamentu Europejskiego (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych).

 

Dal potrzeby własnej orientacji w Państwa prawach i naszych obowiązkach prosimy o zapoznanie się z poniższymi informacjami, jakie przygotowaliśmy dla Państwa. Obejmują one wszelkie wymagane jak i naszym zadaniem niezbędne niezależnie od wdrożenia nowej Polityki bezpieczeństwa i ochrony prywatności. Znajdą się tam informacje o tym jak przetwarzamy dane osobowe oraz jakie posiadają Państwo konkretne uprawnienia.

 

  1. Kto jest Administratorem Państwa danych?

Administratorem Twoich danych jest Usługodawca, czyli Centrum Rehabilitacji Sportowej, ul. Przechodnia 2,  00-100 Warszawa, nr NIP 7281823718 nr REGON 471658128-00048.

 

Dla profesjonalnego, sprawnego i rzetelnego wykonywania świadczonych przez nas usług posługujemy się tzw. Zaufanymi Partnerami. Wszystkie Twoje dane są zabezpieczone i przechowywane na siec internetowej i na serwerach naszego Zaufanego partnera dostawcy serwisu IT, którym jest Medical Data Niepubliczny Zakład Opieki Zdrowotnej „Śródmieście” spółka z ograniczoną odpowiedzalnością z siedzibą w Gdynii przy ul. Żwirki i Wigury 14,

81-394 Gdynia.

 

  1. Inspektor Ochrony Danych

Aby zagwarantować, że Państwa/ Twoje dane zawsze będą przetwarzane w sposób transparentny i zgodny z prawem, wyznaczyliśmy Inspektora Ochrony Danych. Jest to osoba, z którą można się  kontaktować we wszystkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z tym przetwarzaniem. Jeżeli chcą Państwo/ chcesz skontaktować się z Inspektorem Ochrony Danych należy skorzystać z danych kontaktowych wskazanych poniżej:

Inspektor Ochrony Danych –

e-mail: k.zbrog@crsrehabilitacja.pl

tel.: 506 122 106

adres korespondencyjny: ul. Przechodnia 2, 00-100 Warszawa

 

  1. Jakie informacje o Tobie przetwarzamy?

Przetwarzamy dane, które nam Państwo podają lub pozostawiają w ramach korzystania z naszych usług bądź przekazanych z Państwa upoważnienia przez lekarzy rehabilitantów, zakłady opieki medycznej lub kluby sportowe, a także dane zapisywane w plikach cookies, które są instalowane na stronach naszej Firmowej stronie: www.crsrehabilitacja.pl.

 

Podanie przez Państwa danych podczas rejestracji jest dobrowolne, ale w części niezbędne do świadczenia przez nas usług. Te nie wymagane dla realizacji usługi można podać dobrowolnie co nie wpłynie na jakość naszych usług.

 

  1. Podstawa prawna i cel przetwarzania danych

Jeżeli aktualnie korzystacie Państwo z naszych usług, to zasadniczą podstawą prawną przetwarzania Państwa/Twoich danych osobowych jest art. 6 ust. 1 lit. b) RODO, tj. przetwarzanie Państwa/Twoich danych osobowych jest niezbędne w celu wykonania umowy o świadczenie danej usługi.

 

Jeżeli kiedyś skorzystali Państwo z naszych usług w ostatnich 10-ciu latsch to podstawą prawną przetwarzania Państwa danych osobowych jest art. 6 ust. 1 lit. f) RODO, tj. nasz prawnie uzasadniony obowiązek i interes także Państwa, mający ma celu możliwość kontynuowania świadczenia dla Państwa przez innych lub naszych usług na najwyższym poziomie w tym zachowanie ciągłości i historii danych medycznych lub przebiegu rehabilitacji dokładając przy tym należytej zawodowej staranności.

 

Podstawą prawną do przetwarzania Państwa danych osobowych do przesyłania Państwu naszego newslettera, informacji handlowych dotyczących oferowanych przez nas usług lub innych form marketingu jest art. 6 ust. 1 lit. f) RODO, tj. nasz prawnie uzasadniony interes mający ma celu przedstawiania bieżącej oferty dotyczącej naszych usług, które dla Państwa mogą być przydatne dla kontynuowania rehabilitacji oraz innych informacji dotyczących zakresu i sposobu świadczonych przez nas usług, a także ulepszenia i stałego podnoszenia ich poziomu.

 

Natomiast przetwarzanie Państwa /Twoich Twoje danych jedynie w celu w marketingu dotyczącego produktów i usług naszych lub naszych Zaufanych partnerów (w tym również analizowanie i profilowanie danych po ich zanonimizowaniu (odpersonifikowaniu), zagregowaniu grup użytkowników w celach marketingowych odbywa się na podstawie art. 6 ust. 1 lit a) RODO, tj. Państwa / Twoja dobrowolna, wyraźna zgodna na takie przetwarzanie.

 

  1. Okres przez jaki dane będą przetwarzane

 

Państwa dane osobowe będą przetwarzane jedynie tak długo, jak przewiduje to prawo i będzie to niezbędne do świadczenia na rzecz Państwa/naszych usług.

 

Dane osobowe niezbędne do wykonania Umowy będziemy przetwarzać zawsze do czasu wygaśnięcia tej umowy, z tym zastrzeżeniem, że czasami, dane te mogą być przetwarzane również po wygaśnięciu tej umowy, jednak tylko wyłącznie jeżeli jest to dozwolone lub wymagane w świetle obowiązującego prawa np. przetwarzanie w celach statystycznych, rozliczeniowych, podatkowych lub w celu rozpatrywania reklamacji czy dochodzenia roszczeń. Natomiast dane tzw. „medyczne” będziemy przetwarzać przez okres 10 lat chyba, że Państwo wskażecie nam komu przekazać tę dokumentację medyczną, rehabilitacji, diagnozowania lub ocen predyspozycji, kondycji lub wydolności tzw. sportowej/zawodowej

 

Dane przetwarzane z uwagi na nasz obowiązek i uzasadniony interes Państwa będziemy przetwarzać do czasu ewentualnego zgłoszenia przez Państwa skutecznego sprzeciwu.

 

Natomiast dane przetwarzane przez nas jedynie na podstawie Państwa zgody, będziemy przetwarzać jedynie do czasu ewentualnego wycofania przez Państwo udzielonej zgody. Zgoda taka może być oczywiście cofnięta w dowolnym momencie.

 

  1. Kto ma dostęp do Państwa/ Twoich danych?

Nigdy nie przekazujemy Twoich danych podmiotom trzecim, nie sprzedajemy ich ani nie wymieniamy się nimi w jakichkolwiek celach także marketingowych z podmiotami trzecimi.

 

Twoje dane mogą być i są przekazywane jedynie naszym Zaufanym Partnerom, czyli osobom współpracującym z nami na kontraktach świadczenia usług medycznych lub specjalistycznych (lekarze, psycholodzy, rehabilitanci, dietetycy) bądź firmom zewnętrznym działających na nasze zlecenie m.in. dostawcom usług IT lub z nami współpracującymi w celu pełnego i profesjonalnego świadczenia usług na Państwa rzecz (ZOZ-y, szpitale i placówki współpracujące) i są używane do świadczenia Państwu naszych Usług lub wykonywania zawartych umów obejmujących inne świadczenia. Przy czym takie podmioty przetwarzają dane na podstawie zawartej z nami umowy uwzględniającej nasze standardy bezpieczeństwa informacji.

Aktualnie naszymi Zaufanymi Partnerami są:

– Firma  do obsługi rejestracji, firma do analiz statystycznych,firma księgowa, firma usług medycznych/chirurgii/kosmetyki/psychologicznych/fizjoterapeutycznych, dietetycznych/diagnostycznych

 

Ponadto Twoje dane mogą być przekazywane podmiotom uprawnionym do ich uzyskania na tylko podstawie obowiązującego prawa, urzędom i organom uprawnionym do przetwarzania danych na podstawie szczególnych przepisów prawa, np. organom ścigania w razie zgłoszenia przez organ żądania na odpowiedniej podstawie prawnej.

 

  1. Jakie mają Państwo prawa w zakresie dysponowania swoimi danymi?

Mają Państwo oczywiście m.in. prawo żądania pełnej informacji, a w tym jakie dane posiadamy, przetwarzamy oraz dostępu do danych, sprostowania danych, do usunięcia danych (prawo do bycia zapomnianym), do ograniczenia przetwarzania danych, do przenoszenia danych. Możecie Państwo także zgłosić sprzeciw do przetwarzania danych oraz wycofać udzieloną zgodę do przetwarzania danych. Mają Państwo także prawo do wniesienia skargi do organu nadzorczego (Prezesa UODO), jeżeli uważają Państwo, że przetwarzamy Państwa dane osobowe w niewłaściwy sposób.

 

Jednak mamy nadzieję, że w przypadku jakiś uwag, to najpierw dadzą Państwo szansę nam aby to wyjaśnić przedkładając swoje pytania lub wątpliwości Inspektorowi Ochrony Danych Osobowych lub do Administratora.