1. Cel polityki
Niniejsza polityka ma na celu ustanowienie ogólnych zasad postępowania z danymi osobowymi przez Samodzielny Publiczny Zakład Opieki Zdrowotnej Ministerstwa Spraw Wewnętrznych i Administracji w Krakowie z siedzibą w 30-053 Kraków, ul. Kronikarza Galla 25, zwanym dalej również Podmiotem, w zgodzie z wymogami wynikającymi z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej RODO lub Rozporządzenie lub Rozporządzenie 679/2016/UE.
2. Zakres stosowania
2.1. Niniejsza Polityka ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
2.2. Niniejsza Polityka znajduje zastosowanie do wszystkich operacji przetwarzania danych osobowych prowadzonych przez Podmiot, niezależnie od tego czy występuje on jako administrator danych czy podmiot przetwarzający.
2.3. Niniejszą Politykę należy stosować zawsze, gdy pracownicy Podmiotu przetwarzają dane osobowe, bez uszczerbku dla procedur szczegółowych, które znajdują zastosowanie w określonych w nich przypadkach.
3. Ograniczenia
3.1. Niniejsza Polityka nie stanowi zbioru wszystkich przepisów Rozporządzenia 679/2016/UE mogących mieć zastosowanie do Podmiotu, natomiast jest praktycznym przewodnikiem po najważniejszych obowiązkach wynikających z ww. Rozporządzenia.
4. Postanowienia ogólne
4.1. Wszystkie pojęcia użyte w niniejszej Polityce mają znaczenie nadane im w Rozporządzeniu 679/2016/UE, w szczególności:
- a) „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
- b) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
- c) „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
- d) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
4.2. Podmiotem odpowiedzialnym za należyte stosowanie niniejszej Polityki jest Samodzielny Publiczny Zakład Opieki Zdrowotnej Ministerstwa Spraw Wewnętrznych i Administracji w Krakowie, pełniący funkcję Administratora Danych Osobowych, z którym skontaktować się można drogą mailową, pisząc na adres: sekretariat@zozmswiakrakow.pl, drogą listowną, pisząc na adres siedziby administratora, tj. ul. Kronikarza Galla 25, 30-053 Kraków lub telefonicznie, dzwoniąc pod numer: +48 12 662 31 00.
5. Reguły przetwarzania danych osobowych przez Podmiot
5.1. W przypadku przetwarzania danych osobowych w charakterze administratora, Podmiot:
- Posiada jedną z podstaw przetwarzania danych osobowych, o których mowa w art. 6 RODO;
- Jest w stanie wykazać, że legitymuje się przesłanką, o której mowa w punkcie a);
- W przypadku zbierania danych osobowych od osoby, której dane dotyczą, przekazuje tej osobie wszelkie informacje, o których mowa w art. 13 RODO. Obowiązek ten jest spełniany w momencie pozyskania danych;
- W przypadku zbierania danych osobowych z innego źródła niż osoba, której dane dotyczą, Podmiot przesyła indywidualnie tej osobie wszelkie informacje o których mowa w art. 14 RODO w terminie 30 dni od pozyskania tych danych. W przypadku, gdy dane mają być wykorzystane do komunikacji z osobą albo jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – termin przekazania danych może ulec wydłużeniu (lub skróceniu) do momentu, odpowiednio pierwszej komunikacji z osobą albo pierwszego ujawnienia danych;
- Na etapie planowania operacji przetwarzania danych, Podmiot dokłada szczególnych starań, aby cel przetwarzania był sformułowany w sposób jasny, a dane były zbierane jedynie w takim zakresie jaki jest niezbędny do osiągnięcia ww. celu przetwarzania.
- W przypadku naruszenia ochrony danych osobowych Podmiot zgłasza to naruszenie organowi nadzorczemu bez zbędnej zwłoki, nie później niż w terminie 72 godzin, chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Prawdopodobieństwo to Podmiot realizuje poprzez wykonanie oceny wagi naruszenia. Ponadto, jeżeli naruszenie to może powodować wysokie ryzyko dla praw lub wolności osób fizycznych, Podmiot zawiadamia bez zbędnej zwłoki również osobę, której dotyczy to naruszenie;
- Przeprowadza ocenę skutków dla ochrony danych, zgodnie z art. 35 RODO, jeżeli ze względu na swój charakter, zakres, kontekst i cele przetwarzania z dużym prawdopodobieństwem przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych;
- Jeżeli ocena, o której mowa w punkcie 5. ust. 1. ppk. 7 wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.
5.2. W przypadku przetwarzania danych osobowych przez Podmiot w charakterze podmiotu przetwarzającego, Podmiot posiada umowę powierzenia przetwarzania danych podpisaną z administratorem, który zleca operacje przetwarzania, zawierającą wszystkie elementy wymienione w art. 28 RODO oraz ściśle się do niej stosuje.
5.3. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Podmiot wdraża odpowiednie środki techniczne i organizacyjne w odniesieniu do danych osobowych, które przetwarza, tak aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
5.4. Każda osoba zatrudniona przez Podmiot, która ma dostęp do danych osobowych, posiada pisemne upoważnienie do przetwarzania, w którym wskazano których operacji przetwarzania ono dotyczy.
5.5. Podmiot prowadzi rejestr czynności przetwarzania, który obejmuje informacje wskazane w artykule 30 ust. 5 Rozporządzenia.
5.6. W przypadku przekazywania danych osobowych do państwa trzeciego, tj. nienależącego do Europejskiego Obszaru Gospodarczego (EOG – obejmującego państwa Unii Europejskiej, Norwegię, Islandię i Liechtenstein), co do którego nie została wydana decyzja Komisji Europejskiej w której stwierdzono, że określone państwo trzecie zapewnia odpowiedni poziom ochrony w rozumieniu Rozporządzenia 679/2016/UE, Podmiot zawiera z podmiotem z siedzibą w państwie trzecim, któremu przekazuje dane osobowe umowę, o której mowa w art. 46 lub 47 RODO, chyba, że legitymuje się jedną z przesłanek przekazania, o której mowa w art. 49 RODO.
5.7. Podmiot przetwarza dane osobowe z poszanowaniem następujących zasad:
- Legalności – oznaczającej spełnianie wszystkich wymogów prawa, w tym w szczególności posiadania jednej z podstaw przetwarzania, o których mowa w punkcie 5.1.
- Rzetelności – wymagającej dopełnienia zgodności z prawem na każdym etapie przetwarzania;
- Ograniczenia celu – co oznacza, że dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nieprzetwarzane dalej w sposób niezgodny z tymi celami;
- Minimalizacji danych – zgodnie z którą dane osobowe mogą być przetwarzane jedynie
w takim zakresie w jakim jest to niezbędne dla osiągnięcia celu, dla którego zostały zebrane;
- Ograniczonego czasu przechowywania (retencji danych) – nakazującej, aby dane osobowe były przetwarzane jedynie tak długo jak jest to niezbędne dla osiągnięcia celu, dla którego zostały zebrane;
- Prawidłowości – zgodnie z którą dane muszą być prawidłowe, tj. odpowiadać stanowi faktycznemu oraz w miarę potrzeby być aktualizowane;
- Przejrzystości – charakter operacji przetwarzania wykonywanych przez Podmiot musi być jasny dla osób, których dane dotyczą;
- Poufności danych oraz ich integralności – tj. zapewnienia, aby dane nie zostały ujawnione osobom do tego nieupoważnionym;
- Niniejszej Polityki;
5.8. Podmiot musi być w stanie wykazać spełnienie przez siebie wymogów wynikających z przepisów dotyczących ochrony danych osobowych, zgodnie z zasadą rozliczalności.
6. Obowiązki pracowników w zakresie przetwarzania danych osobowych
6.1. Każdy z pracowników zostaje zapoznany z niniejszą Polityką;
6.2. Każdy z pracowników mających dostęp do danych osobowych posiada pisemne upoważnienie do ich przetwarzania, określające jakich danych osobowych ono dotyczy;
6.3. W przypadku, gdy pracownik wykorzystuje do przetwarzania danych osobowych sprzęt komputerowy dostarczony przez Podmiot, posiada on indywidualny login oraz hasło. Pracownik nie podaje swojego hasła innym osobom.
6.4. Niedopuszczalne jest wykorzystywanie prywatnych urządzeń pracownika do przetwarzania danych osobowych, których administratorem jest Podmiot, chyba że na podstawie odrębnie przyjętych zasad regulujących postępowanie z danymi osobowymi w takiej sytuacji (Polityka Bezpieczeństwa oraz Instrukcja Zarządzania Systemami Informatycznymi).
6.5. W przypadku przetwarzania danych osobowych w formie papierowej pracownik przechowuje je w formie uniemożliwiającej do nich dostęp osobom nieupoważnionym, w szczególności zamyka je na klucz w przypadku, gdy opuszcza swoje stanowisko pracy.
7. Przepisy końcowe
7.1. Pracownikom przypomina się o obowiązkach wynikających z niniejszej polityki co 1 rok.
7.2. Niniejsza polityka podlega regularnym przeglądom, nie rzadziej niż co 2 lata, mającym na celu dostosowanie jej do funkcjonowania Podmiotu.