Procedura Bezpieczeństwa Danych Osobowych z dnia 01.03.2025 r.

Administrator Danych Osobowych:
Fundacja Świadomy Medyk z siedzibą w Katowicach
adres: ul. Węglowa 9, 40-106 Katowice,
KRS: 0001150845

 

§1. Deklaracja Administratora Danych Osobowych

  1. Procedura Bezpieczeństwa Danych Osobowych jest dokumentem opracowanym i wdrożonym w Fundacji Świadomy Medyk z siedzibą w Katowicach, ul. Węglowa 9, 40-106 Katowice, KRS: 0001150845 (dalej jako; Administrator Danych Osobowych)w celu zapewnienia przestrzegania zasad ochrony danych osób fizycznych, które są przez nią przetwarzane oraz opisu zastosowanych środków technicznych i organizacyjnych, które zapewniają ochronę danych odpowiednią do zagrożeń oraz kategorii danych.
  2. Administrator Danych Osobowych jest administratorem danych osobowych osób fizycznych, które są przetwarzane w ramach prowadzonej działalności gospodarczej.
  3. Administrator Danych Osobowych zapewnia, że:
  4. nie prowadzi przetwarzania danych, które wiązałoby się z wysokim ryzykiem naruszenia praw lub wolności osoby fizycznej;
  5. uwzględnia ochronę danych w fazie projektowania oraz stosuje domyślną politykę ochrony tam, gdzie ma to zastosowanie;
  6. respektuje prawa osoby, której dane dotyczą, w szczególności prawa dostępu do danych, sprostowania danych, bycia zapomnianym, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu, zgodnie z aktualnie obowiązującymi przepisami prawa;
  7. jeśli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to przed rozpoczęciem przetwarzania dokona oceny skutków dla planowanych operacji przetwarzania danych osobowych.
  8. Administrator Danych Osobowych na dzień sporządzenia niniejszego dokumentu nie podlega obowiązkowi powołania Inspektora Ochrony Danych, w zakresie określonym przepisami prawa sam wykonuje jego zadania, zgodnie z aktualnie obowiązującymi przepisami prawa.
  9. Administrator Danych Osobowych zapewnia, że przeprowadził identyfikację ryzyka, szacowanie skutków i prawdopodobieństwa wystąpienia ryzyk w obszarze ochrony danych osobowych pod kątem poufności, integralności i rozliczalności przetwarzanych danych.
  10. Wdrożone środki organizacyjne i techniczne w są adekwatne względem kategorii danych, których dotyczą. Stanowią zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów, zmianą, utratą, uszkodzeniem lub zniszczeniem.
  11. Przy opracowaniu niniejszej instrukcji brano pod uwagę zapewnienie zgodności z:
  12. Rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej Ogólne rozporządzenie o ochronie danych lub RODO (Dz. U. UE. L. 2016. 119. 1),
  13. Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000).

§2. Definicje stosowane w dokumencie

  1. Administrator Danych Osobowych – oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych. W niniejszym dokumencie rozumie się przez to Fundację Świadomy Medyk z siedzibą w Katowicach, ul. Węglowa 9, 40-106 Katowice, KRS: 0001150845.
  2. Dane osobowe – to każda informacja, na podstawie której można bezpośrednio lub pośrednio zidentyfikować tożsamość osoby fizycznej, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
  3. Dane osobowe zwykłe – to dane osobowe, które określają podstawowe dane identyfikujące osobę fizyczną. Mogą być to takie dane, jak imię i nazwisko, data urodzenia, numer PESEL, adres zamieszkania, adres e-mail, numer telefonu.
  4. Dane osobowe wrażliwe (sensytywne lub szczególne kategorie danych) – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia i wszelkie informacje dotyczące zdrowia psychicznego lub fizycznego, kod genetyczny, dane genetyczne i biometryczne, seksualność, a także dotyczące skazań i naruszeń prawa.
  5. RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/ WE (ogólne rozporządzenie o ochronie danych).
  6. Przetwarzanie danych – wykonywanie jakichkolwiek operacji na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i ich usuwanie, niezależnie od formy, w jakiej wykonywane są te czynności. Zasady określone w niniejszej polityce należy stosować przy każdej operacji na danych.
  7. Powierzenie danych osobowych – przekazanie danych osobowych innemu podmiotowi w określonym celu i zakresie w ramach realizacji umowy, np. usługi księgowe, IT, etc.
  8. Udostępnienie danych – przekazanie danych osobowych innemu administratorowi danych na podstawie odpowiednich przepisów prawa, np. policja, sąd, prokurator, komornik, etc.
  9. Osoba upoważniona – osoba upoważniona przez Administratora Danych Osobowych do przetwarzania danych.
  10. Państwo trzecie – państwo nienależące do Europejskiego Obszaru Gospodarczego.

§3. Zadania i obowiązki Administratora Danych Osobowych

Administrator Danych Osobowych decyduje o celach i środkach przetwarzania danych. Do jego obowiązków należy w szczególności:

  1. dochowanie szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane dotyczą;
  2. stosowanie środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
  3. nadzorowanie i kontrolowanie wdrożonych do stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii tych danych, w szczególności zabezpieczających dane przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, utratą, zmianą, uszkodzeniem lub zniszczeniem;
  4. kontrola nad tym kto i w jakim zakresie ma dostęp do danych, w szczególności prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;
  5. respektowanie praw osób, których dane dotyczą, w szczególności prawa dostępu do treści danych oraz och poprawiania, a także prawa do przenoszenia danych, prawa do bycia zapomnianym, prawa do wstrzymania przetwarzania danych ze względu na szczególną sytuacją osoby – na podstawie obowiązujących przepisów prawa.
  6. spełnienie obowiązku informacyjnego wobec osoby, której dane dotyczą, zgodnie z aktualnie obowiązującymi przepisami;
  7. opracowanie i wdrożenie wewnętrznych polityk, opisujących sposoby przetwarzania danych i przyjęte do stosowania środki ich ochrony.
  8. zapewnienia zapoznania pracowników i współpracowników, zgodnie z obowiązującymi przepisami prawa w zakresie ochrony danych osobowych i wewnętrznymi politykami, które przyjął do stosowania.

§4. Bezpieczne przetwarzanie danych

  1. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby upoważnione przez Administratora Danych Osobowych.
  2. Administrator Danych Osobowych przetwarza dane osobowe wyłącznie, gdy jest to dopuszczone aktualnie obowiązującymi przepisami prawa.
  3. Dane osobowe mogą być przetwarzane wyłącznie w celu i zakresie, w jakim zostały zgromadzone, a także nie dłużej niż jest to niezbędne dla osiągnięcia tego celu.
  4. Dane osobowe po wykorzystaniu są niezwłocznie usuwane lub przechowywane wyłącznie w postaci uniemożliwiającej identyfikację osób, których dotyczą, o ile przepisy odrębnych ustaw nie podają określonego czasu przechowywania danych.
  5. Dane osobowe są przetwarzane przez Administratora Danych Osobowych, gdy:
  6. osoba, której dane dotyczą wyraziła na to zgodę, np. newsletter;
  7. jest to niezbędne do wykonania umowy, której strona jest osobą lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy, np. zawarcie umowy;
  8. jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych osobowych, np. w związku z zatrudnieniem;
  9. jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, np. marketing własnych produktów lub usług;
  10. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
  11. Administrator Danych nie przetwarza szczególnych kategorii danych, tzw. danych wrażliwych, za wyjątkiem, gdy jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone przepisami prawa.
  12. W przypadku gdy dane osobowe są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy lub są zbędne do realizacji celu, dla którego zostały zebrane, Administrator Danych Osobowych jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania lub usunię
  13. Administrator Danych Osobowych stosuje ogólne zasady przetwarzania danych osobowych, tj.:
  14. zasadę legalności – dane mogą być przetwarzane, jeśli Administrator Danych Osobowych będzie dysponował przynajmniej jedną z przesłanek przetwarzania wskazanych w obowiązujących przepisach prawa;
  15. zasadę celowości – dane przetwarza tylko dla zgodnych z prawem celów i nie poddaje dalszemu przetwarzaniu niezgodnemu z tymi celami;
  16. zasadę adekwatności – przetwarzane dane niezbędne ze względu na cel zbierania danych, nie zbiera danych na tzw. zapas;
  17. zasadę merytorycznej poprawności – zapewnia się, aby dane były zgodne z prawdą, kompletne i aktualne;
  18. zasada ograniczenia czasowego – dane nie są przetwarzane dłużej niż to jest niezbędne do osiągnięcia celu przetwarzania lub uregulowane obowiązującymi przepisami;
  19. zasadę integralności i poufności – dane przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych;
  20. Administrator Danych Osobowych przekazuje dane osobowe do państw trzecich (poza Europejskim Obszarem Gospodarczym) wyłącznie, gdy państwo to zapewnia odpowiedni stopień ochrony danych osobowych.

§5. Obszar przetwarzania danych osobowych i jego ochrona

  1. Obszarem przetwarzania u Administratora Danych Osobowych obejmuje się wszystkie pomieszczenia, w których wykonuje się jakiekolwiek operacje na danych osobowych, w szczególności wprowadza się, modyfikuje, archiwizuje, usuwa dane, a także wszystkie miejsca, gdzie przechowuje się nośniki informacji zawierające dane osobowe.
  2. W celu ochrony obszaru przetwarzania przed dostępem osób nieupoważnionych Administrator Danych Osobowych stosuje ­­­­­zabezpieczając w ten sposób budynki lub pomieszczenia, w których przetwarza się dane osobowe.
  3. Dostęp do pomieszczenia, w którym dane osobowe są przetwarzane mogą mieć wyłącznie osoby upoważnione. Inne osoby mogą przebywać w obszarze przetwarzania wyłącznie pod nadzorem osoby upoważnionej.

§6. Postępowanie w przypadkach naruszenia bezpieczeństwa ochrony danych osobowych.

  1. Administrator Danych Osobowych ustalił sposób postępowania w przypadku stwierdzenia lub uzasadnionego podejrzenia naruszenia bezpieczeństwa danych osobowych, bez względu na formę przetwarzania danych.
  2. Szczegółowy opis zasad postępowania w przypadku naruszenia ochrony danych został ustalony w Instrukcji postępowania w przypadku naruszenia ochrony danych, która została opracowana i wdrożona u Administratora Danych Osobowych. 

§7. Obowiązek informacyjny wykonywany przez Administratora Danych Osobowych

  1. Administrator Danych Osobowych respektuje prawa, które przysługują każdej osobie, której dane dotyczą, w szczególności prawo do kontroli przetwarzania danych.
  2. Administrator Danych informuje osoby, której dane dotyczą, o ich swoich danych, adresie siedziby, celu zbierania danych, obowiązku lub dobrowolności ich podania, a także przekazuje inne informacje, które mogą być wymagane aktualnie obowiązującymi przepisami prawa.
  3. Obowiązek informacyjny w przypadku pozyskiwania danych bezpośrednio od osoby, której dane dotyczą wykonywany jest przed rozpoczęciem ich gromadzenia.
  4. Osobę, której dane dotyczą informuje się o:
  5. dokładnej nazwie i adresie swojej siedziby;
  6. celu zbierania danych;
  7. dobrowolności lub obowiązku podania danych, a jeżeli taki obowiązek istnieje o jego podstawie prawnej;
  8. prawie wglądu do treści swoich danych oraz możliwości ich poprawiania.
  9. w jakim celu przetwarza się dane na podstawie interesu prawnego administratora danych (jeśli dotyczy);
  10. o zamiarze przekazania danych do państwa trzeciego;
  11. o okresie przez który dane będą przetwarzane, a gdy nie jest to możliwe to podaje kryteria ustalenia tego okresu;
  12. o prawach osoby, której dane dotyczą, które dotyczą konkretnej sytuacji przetwarzania, w tym prawie do żądania sprostowania, usunięcia lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu wobec przetwarzania, prawie do przenoszenia danych (jeśli przetwarzanie odbywa się na podstawie umowy lub zgody);
  13. jeśli przetwarzanie odbywa się na podstawie zgody osoby to informuje ją o prawie do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania , którego dokonano na podstawie zgody przed jej cofnięciem;
  14. o prawie wniesienia skargi do organu nadzorczego;
  15. o profilowaniu i jego konsekwencjach, jeśli jest to zasadne;
  16. W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osobę tę należy w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych – poinformować dodatkowo o:
  17. źródle danych;
  18. innych uprawnieniach wynikających z aktualnie obowiązujących przepisów;
  19. Administrator Danych Osobowych ma również na uwadze, że każda osoba, której dane dotyczą, może wystąpić z wnioskiem o otrzymanie informacji o jej danych, które są przetwarzane u Administratora Danych Osobowych, zgodnie z obowiązującymi przepisami. Odpowiedź na zapytanie osoby, której dane dotyczą, jest udzielana na piśmie w terminie nieprzekraczającym miesiąca od daty wpłynięcia wniosku.
  20. Wyłączenie obowiązku udzielenia odpowiedzi następuje wyłącznie w przypadkach, określonych aktualnie obowiązującymi przepisami prawa.
  21. Obowiązek informacyjny realizowany jest poprzez podanie niezbędnych informacji na formularzach, umowach, w regulaminie oraz na stronie www, na których następuje zbieranie danych u Administratora Danych Osobowych.

§8. Powierzenie przetwarzania danych osobowych

  1. Powierzenie przetwarzania danych osobowych odbywa się wyłącznie na podstawie umowy zawartej na piśmie lub poprzez akceptację regulaminu świadczonej usługi pomiędzy Administratorem Danych a podmiotem trzecim, któremu dane się powierza w celu i zakresie wykonania konkretnej czynności w imieniu Administratora Danych.
  2. Administrator Danych Osobowych powierza przetwarzane dane osobowe osób fizycznych, w szczególności w celu zapewnienia obsługi Klientów i wsparcia przy prowadzeniu działalności gospodarczej i statutowej.
  3. Administrator Danych Osobowych prowadzi i aktualizuje na bieżąco Wykaz podmiotów, którym powierzył przetwarzanie danych.
  4. Umowa powierzenia określa w szczególności cel i zakres powierzenia przetwarzania danych osobowych.
  5. Administrator Danych Osobowych powierza dane osobowe wyłącznie tym podmiotom, które gwarantują zastosowanie środków organizacyjnych i technicznych, zabezpieczających dane przed dostępem osób nieupoważnionych na zasadach określonych w przepisach prawa.
  6. Administrator Danych Osobowych sprawuje kontrolę nad tym w jakim zakresie i w jakim celu powierza dane osobowe. Prowadzi w tym celu ewidencję podmiotów, którym dane zostały powierzone do przetwarzania – wykaz podmiotów, którym dane powierzono.

§9. Udostępnianie danych osobowych

  1. Administrator Danych udostępnia dane osobowe wyłącznie osobom lub podmiotom uprawnionym do ich otrzymania na podstawie aktualnych przepisów prawa.
  2. Dane osobowe mogą być udostępniane na podstawie wniosku od podmiotu uprawnionego do otrzymywania danych osobowych na podstawie przepisów prawa, w szczególności Sąd, Prokuratura, Policja, Komornik, Urząd Skarbowy, Zakład Ubezpieczeń Społecznych, a także do innych podmiotów, na zasadach określonych w przepisach prawa.

§10. Rejestr czynności przetwarzania

  1. Administrator Danych Osobowych prowadzi i aktualizuje na bieżąco rejestr czynności przetwarzania.
  2. W rejestrze odnotowuje się następujące informacje:
  3. nazwę oraz dane kontaktowe administratora danych, a także jeśli będzie miało to zastosowanie – inspektora ochrony danych;
  4. cele przetwarzania;
  5. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  6. kategorie odbiorców, którym dane zostały lub zostaną ujawnione, w tym w państwach trzecich i organizacji międzynarodowych (jeśli tak, to poda także nazwę państwa lub organizacji);
  7. jeśli to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  8. jeśli to możliwe, ogólny opis środków technicznych i organizacyjnych. 

§11. Środki organizacyjne i techniczne niezbędne do zapewnienia poufności, integralności i rozliczalności w systemach informatycznych

  1. Opis środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności w systemach informatycznych znajduje się w Instrukcji Zarządzania Systemem Informatycznym, opracowanej i wdrożonej przez Administratora Danych Osobowych.

§12. Odpowiedzialność osób przetwarzających dane osobowe

Nieprzestrzeganie zasad ochrony danych osobowych może skutkować odpowiedzialnością każdej osoby, która dopuściła się naruszenia, w szczególności, gdy przetwarza dane osobowe do których przetwarzania nie jest została upoważniona, których przetwarzanie jest zabronione lub niezgodne z celem zebrania danych, udostępnia lub umożliwia dostęp do danych osobowych osobom nieupoważnionym, uniemożliwia osobie, której dane dotyczą, korzystanie z przysługujących jej praw.