Polityka prywatności i plików Cookies - LA SYMETRIE
Site Logotype Site Logotype Dark

Polityka prywatności i plików Cookies

LA SYMETRIE KATARZYNA LACH-MENET (dalej: LA SYMETRIE), REGON: 243524976, NIP: 6472215515, adres korespondencyjny: ul. Warszawska 178, 32-087 Bibice

Bibice, dnia 1 grudnia 2021 roku

PREAMBUŁA

Zgodnie z regułami przewidzianymi przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Współadministratorzy danych osobowych, w celu zapewnienia ochrony praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych zobowiązani są wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające spełnienie wymogów Rozporządzenia (dalej zwanego RODO).

Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej jako Polityka) ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w zakładzie leczniczym La Symetrie, w którym udzielane są:

świadczenia zdrowotne w zakresie:

HC.2.3 Rehabilitacja ambulatoryjna – Fizjoterapia,

HC.1.3.3 108 Leczenie ambulatoryjne specjalistyczne – Psychologia kliniczna,

HC.1.3.3 Leczenie ambulatoryjne Specjalistyczne  – 09 Dermatologia i Wenerologia

  1. 1.3.9 Pozostała opieka ambulatoryjna – 09 Dermatologia i Wenerologia
  2. 1.3.3 Leczenie ambulatoryjne Specjalistyczne  – 28 Pediatria
  3. 1.3.3 Leczenie ambulatoryjne Specjalistyczne  – 05 Chirurgia Ogólna
  4. 1.3.3 Leczenie ambulatoryjne Specjalistyczne  – 07 Choroby Wewnętrzne

pozostałe świadczenia w zakresie :

Kosmetologiczne i kosmetyczne, Podologiczne, Trychologiczne, Dietetyczne, Masażu

 

Nadrzędnym celem Polityki jest zapewnienie adekwatnego poziomu ochrony osób fizycznych, w szczególności pacjentów, klientów oraz pracowników, w związku z przetwarzaniem ich danych osobowych w La Symetrie.

Polityka została sporządzona z uwzględnieniem specyfiki funkcjonowania działalności leczniczej.

  1.  

Definicje i skróty

  1. Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  2. Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  3. Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
  4. Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
  5. Dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;
  6. Dokumentacja medyczna – dokumentacja medyczna, o której mowa w przepisach ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz wydanych na jej podstawie aktach wykonawczych;

Opiekun faktyczny – opiekun faktyczny w rozumieniu ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta;

Pacjent – osoba zwracająca się o udzielenie świadczeń zdrowotnych lub korzystającą z usług lub świadczeń zdrowotnych udzielanych przez podmiot udzielający świadczeń zdrowotnych lub osobę wykonującą zawód medyczny lub La Symetrie;

Podmiot wykonujący działalność leczniczą (RPWDL) – podmiot leczniczy oraz lekarz, fizjoterapeuta lub pielęgniarka wykonujący zawód w ramach działalności leczniczej jako praktykę zawodową, o których mowa w przepisach ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej;

Przedstawiciel ustawowy – osoba umocowana do działania w cudzym imieniu na podstawie ustawy zgodnie z art. 96 KC;

Świadczenie zdrowotne – działania służące zachowaniu, ratowaniu, przywracaniu lub poprawie zdrowia oraz inne działania medyczne wynikające z procesu leczenia lub przepisów odrębnych regulujących zasady ich wykonywania;

Dane wrażliwe (szczególne) – dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej;

Podmiot przetwarzający – organizacja lub osoba, której Współadministratorzy powierzyli przetwarzanie danych osobowych (np. laboratorium diagnostyczne, usługodawca IT, zewnętrzna księgowość i kadry);

RCPD – Rejestr Czynności Przetwarzania Danych Osobowych;

UODO – Urząd Ochrony Danych Osobowych.

 

3

Lokal

Działalność lecznicza i usługowa prowadzona jest Administratora przy ul. Warszawskiej 178, 32-087 Bibice.

W lokalu znajdują się stanowisko rejestracyjne, archiwum zawierające dokumentację medyczną oraz pomieszczenia przeznaczone na gabinety, pokoje socjalne, toalety.

W lokalach możliwe jest zapewnienie adekwatnego poziomu ochrony gromadzonych danych osobowych oraz ograniczenie dostępu osób nieuprawnionych do nośników zawierających dane osobowe.

 W La Symetrie znajdują się stanowiska rejestracyjne. W miejscach tych odbywa się osobista, elektroniczna i telefoniczna rejestracja pacjentów. Układ mebli biurowych i położenie stanowisk komputerowych uniemożliwia wgląd osób trzecich w treści wyświetlane na ekranie monitora. Na stanowiskach rejestracyjnych obowiązuje Polityka czystego biurka, która stanowi załącznik do niniejszej Polityki ochrony danych osobowych.

W gabinetach do obsługi pacjentów zlokalizowano stanowiska służące bezpośredniej obsłudze pacjentów. Personel medyczny korzysta ze zlokalizowanych w gabinecie komputerów. Położenie komputera i sprzętu medycznego służącego obsłudze pacjentów uniemożliwia poznanie przez pacjenta, klienta lub towarzyszącej mu osobie wyświetlanej na monitorze treści.

W przypadku opuszczenia stanowiska pracy i chwilowej bezczynności systemu komputerowego automatycznie uruchamiany jest wygaszacz ekranu, którego dezaktywacja następuje wyłącznie po wpisaniu odpowiedniego hasła.

Po zakończeniu dnia pracy dokumentacja medyczna towarzysząca obsłudze pacjentów jest zamykana w przystosowanych do tego szafach w zabezpieczonym pomieszczeniu.

Pomieszczenia socjalne służą odpoczynkowi i spożywaniu posiłków przez personel La Symetrie. W pomieszczeniu tym nie są przechowywane informacje o charakterze danych osobowych.

W La Symetrie w części pomieszczeń dostępności publicznej jest stosowany monitoring wizyjny i wokalny, klauzula informacyjna w zakresie monitoringu stanowi załącznik do niniejszej Polityki ochrony danych osobowych.

4

Podstawy Polityki. Filary ochrony danych osobowych

 

Opracowanie zgodnych z prawem zasad ochrony danych osobowych w La Symetrie oparto na czterech filarach, które mają zapewnić wysoki poziom bezpieczeństwa danych osobowych przetwarzanych przez Administratorów, tj.:

Minimalizm przetwarzanych danych osobowych oraz legalność.

Zgodnie z ogólnymi zasadami wynikającymi z RODO nie jest możliwe przetwarzanie danych osób fizycznych w szerszym zakresie aniżeli jest to konieczne dla prowadzenia ogólnego rodzaju działalności. W przypadku udzielania świadczeń zdrowotnych zakres uzyskiwanych informacji wyznaczony jest przez przepisy prawa. Dla prowadzenia innych czynności przetwarzania danych osobowych również gromadzone są wyłącznie informacje o charakterze niezbędnym.

Administrator ponadto w razie potrzeby i każdorazowo corocznie przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych w ramach procedur zarządzania zmianą (zasada Privacy by design).

Bezpieczeństwo przetwarzanych danych osobowych.

Administrator na bieżąco monitoruje poziom ochrony danych osobowych w La Symetrie. Administratorzy dokonują okresowych przeglądów obowiązujących procedur w La Symetrie, wdrażają niezbędne rozwiązania o charakterze organizacyjnym i technicznym dla zapewnienia wysokiego poziomu ochrony danych osobowych.

Prawa jednostkowe osób fizycznych.

Administrator jest świadomy zakresu i wagi przetwarzanych danych osobowych. Przetwarzane dane osobowe należą do kategorii szczególnych danych osobowych. Dane te są przetwarzane (archiwizowane) wyłącznie przez przewidziany przepisami prawa okres (czasowość) i wyłącznie w zakresie niezbędnym do zachowania ciągłości podejmowanych względem pacjentów świadczeń zdrowotnych.

Pozostałe dane osobowe gromadzone dla innych celów (np. rekrutacja personelu, udzielanie pozostałych usług kosmetologicznych, podologicznych, kosmetycznych, trychologicznych, masażu, dietetyki) przechowywane są wyłącznie przez niezbędny okres i są niezwłocznie w sposób zorganizowany usuwane po odpadnięciu przyczyn przetwarzania danych osobowych.

Rozliczalność przetwarzania danych osobowych.

Administrator prowadzi transparentną i holistyczną dokumentację opisującą procedurę i praktykę przetwarzania danych osobowych. Z uwagi na wagę rozliczalności dla osiągnięcia celów RODO, administrator zachowuje ciągłość wytwarzanej w oparciu o niniejszą politykę ochrony danych osobowych dokumentacji w celu umożliwienia jej natychmiastowej weryfikacji.

Administrator dba o czytelność i sposób przekazywanych informacji i komunikacji z osobami, których dane osobowe przetwarza.

5

Zasady ochrony danych osobowych

Administrator przetwarza dane osobowe:

  1. w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
  2. rzetelnie i uczciwie (rzetelność);
  3. w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
  4. w konkretnych celach i nie „na zapas” (minimalizacja);
  5. nie więcej niż potrzeba (adekwatność);
  6. z dbałością o prawidłowość danych (prawidłowość);
  7. nie dłużej niż potrzeba (czasowość);
  8. zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).

6

Szczególne zasady ochrony danych osobowych

 

Stosowane są odpowiednie środki techniczne i organizacyjne dla zapewnienia bezpieczeństwa danych osobowych przed nieuprawnionym dostępem, ich utratą lub zniszczeniem. W tym celu zostały wdrożone odpowiednie zabezpieczenia personalne, organizacyjne, informatyczne i fizyczne.

W przypadku elektronicznej dokumentacji medycznej

Dostęp do programu może odbyć się wyłącznie po zalogowaniu użytkownika i wpisaniu odpowiedniego hasła. Hasło przypisane jest do konkretnego użytkownika. Dostęp do programu posiadają wyłącznie członkowie należący do personelu medycznego udzielającego świadczeń zdrowotnych, dla których dostęp do dokumentacji medycznej jest niezbędny. Administrator nadaje uprawnienia dostępowe do programu, dbając o to, aby personel posiadał wyłącznie uprawnienia niezbędne do wykonywanych czynności.

Po zakończeniu współpracy z konkretną osobą, niezwłocznie wygaszane są jej uprawnienia do programu.

Na wyraźne polecenie zainteresowanego możliwe jest przesłanie pacjentowi dotyczących go wyników badań czy ich opisów na wskazany przez pacjenta adres e-mail.

Jeżeli na korytarzu podmiotu leczniczego znajdują się pacjenci lub osoby postronne, dokumentacja medyczna donoszona jest w zanonimizowanych, integralnych i nieprzezroczystych teczkach. Taka organizacja transferu dokumentacji medycznej pomiędzy pomieszczeniami uniemożliwia przypadkowe ujawnienie jej treści osobom trzecim.

Dane osobowe wynikające z zatrudnienia oraz dotyczące personelu Administratora (w tym dane dotyczące rozliczeń i płac)  oraz inne księgowe przetwarzane są przez zewnętrzny podmiot profesjonalnie zajmujący się rozliczeniami kadrowymi i księgowymi.

7

Zaplecze sprzętowe

La Symetrie zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania samodzielnie lub ze wsparciem podmiotów wyspecjalizowanych.

W siedzibie La Symetrie znajdują się komputery stacjonarne i laptopy. Każdy z komputerów wyposażony jest w aktualny i bezpieczny program antywirusowy.

Dostęp do komputerów chroniony jest aktualizowanymi, w razie konieczności, hasłami. Dostęp do hasła komputera ma wyłącznie członek personelu bezpośrednio korzystający z konkretnego sprzętu oraz informatyk stale wykonujący obowiązki zawodowe w siedzibie La Symetrie.

W przypadku opuszczenia stanowiska pracy i chwilowej bezczynności systemu komputerowego automatycznie uruchamiany jest wygaszacz ekranu, którego dezaktywacja następuje wyłącznie po wpisaniu odpowiedniego hasła.

W siedzibie La Symetrie znajdują się urządzenia kopiujące (kserokopiarki), które umieszczono w pomieszczeniach administracji, w miejscu niedostępnym dla osób postronnych. Każdy członek personelu po zakończeniu kopiowania dokumentów zobowiązany jest do sprawdzenia czy wewnątrz urządzenia nie pozostał dokument zawierający chronione dane osobowe.

Administrator korzysta z poczty elektronicznej (e-mail). Dostęp do skrzynek pocztowych zabezpieczony hasłem znanym wyłącznie użytkownikowi i Administratorem.

Dane osobowe przetwarzane przez Administratora według najlepszej wiedzy nie są transferowane do państw trzecich.

W La Symetrie nie dochodzi do profilowania i zautomatyzowanego podejmowania w indywidualnych sprawach decyzji mogących rodzić skutki dla osób fizycznych, których dane osobowe są przetwarzanie w podmiocie leczniczym.

8

Udostępnianie dokumentacji medycznej i przekazywanie informacji o stanie zdrowia

Dokumentacja medyczna pacjentów udostępniana jest pacjentom i osobom do tego upoważnionym na zasadach i w formach przewidzianych w art. 26 in. ustawy z dnia 6 listopada 2008 roku o prawach pacjenta i Rzeczniku Praw Pacjenta.

Równocześnie przekazanie przez personel Administratora informacji o stanie zdrowia pacjentowi (lub osobie legitymującej się upoważnieniem, bądź uprawnionej do tego na podstawie przepisów prawa) ma miejsce w drodze ustnej i bezpośredniej rozmowy z osobą uprawnioną do uzyskania takiej informacji.

Przekazanie informacji w formie telefonicznej może mieć miejsce wyłącznie w wypadkach szczególnych i przy nawiązaniu połączenia z La Symetrie za pośrednictwem numeru telefonu pozostawionego w zgromadzonej dokumentacji medycznej dotyczącej konkretnego pacjenta. Z przekazania takiej informacji każdorazowo sporządzana jest notatka służbowa, która jest włączana do dokumentacji medycznej pacjenta.

9

Rejestr Czynności Przetwarzania Danych Osobowych

 Administrator opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych Osobowych w La Symetrie (RCPD). Rejestr jest narzędziem rozliczania zgodności z ochroną danych.

RCPD stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.

Administratorzy prowadzą Rejestr Czynności Przetwarzania Danych, w którym inwentaryzują i monitorują sposób, w jaki wykorzystują dane osobowe.

RCPD jest jednym z podstawowych narzędzi umożliwiających Administratorowi rozliczanie większości obowiązków ochrony danych.

W Rejestrze Czynności Przetwarzania Danych, dla każdej czynności przetwarzania danych, którą Aministrator uznaje za odrębną dla potrzeb RCPD, odnotowuje się:

  1. nazwę czynności,
  2. cel przetwarzania,
  3. opis kategorii osób,
  4. opis kategorii danych,
  5. podstawę prawną przetwarzania,
  6. planowany termin usunięcia,
  7. nazwa Administratora,
  8. nazwa podmiotu przetwarzającego,
  9. sposób zbierania danych,
  10. opis kategorii odbiorców danych,
  11. informację o przekazaniu poza EU/EOG,
  12. ogólny opis technicznych i organizacyjnych środków ochrony danych,
  13. transfer do kraju trzeciego.

RCPD zawiera także kolumny nieobowiązkowe. W kolumnach nieobowiązkowych Administrator rejestruje informacje w miarę potrzeb i możliwości, z uwzględnieniem tego, że pełniejsza treść RCPD ułatwia zarządzanie zgodnością ochrony danych i rozliczenie się z niej

10

Cel, podstawa i zakres przetwarzania danych osobowych

 

Administrator prowadzi działalność leczniczą w rozumieniu ustawy z dnia 2 kwietnia 2011 roku o działalności leczniczej oraz działalność usługową z zakresu kosmetyki, kosmetologii, podologii, trychologii, masażu.

Dane osobowe pacjentów

 

Zgodnie z RODO, co do zasady, przetwarzanie danych osobowych pacjentów nie wymaga zgody tych pacjentów, gdyż przetwarzanie danych osobowych jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy,  diagnozy medycznej,  zapewnienia opieki zdrowotnej lub  zabezpieczenia społecznego,  leczenia  lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia.

Prowadzenie tej działalności nieodzownie łączy się z koniecznością prowadzenia takich operacji przetwarzania danych osobowych jak: zbieranie, utrwalanie, gromadzenie, porządkowanie, przechowywanie, przeglądanie, wykorzystywanie, ujawnianie,  usuwanie danych osobowych.

Dane te mają charakter wrażliwy (szczególny), gdyż dotyczą stanu zdrowia osób fizycznych – pacjentów lub personelu medycznego. Z uwagi na charakter tych danych, niezbędne jest wdrożenie i zapewnienie wysokiego poziomu bezpieczeństwa przetwarzanych danych osobowych.

Dane osobowe mające status szczególnych i stanowiące równocześnie dokumentację medyczną w rozumieniu art. 23 ustawy z dnia 6 listopada 2008 roku o prawach pacjenta i Rzeczniku Praw Pacjenta są przechowywane (archiwizowane) wyłącznie przez okres przewidziany w przepisach powszechnie obowiązujących (obecnie Rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 roku w sprawie rodzajów, zakresów i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania). Dokumentacja medyczna przetwarzana przez Administratora prowadzona jest w formie papierowej i elektronicznej.

Administrator realizując w pełni zasadę minimalizmu przetwarzają wyłącznie dane (niedotyczące stanu zdrowia i zbędne z punktu widzenia prawidłowej diagnostyki i leczenia) osobowe pacjentów takie jak: imię nazwisko, PESEL, numer telefonu kontaktowego, adres zamieszkania, dane przedstawiciela ustawowego/opiekuna prawnego/opiekuna faktycznego takie jak ich imię nazwisko, PESEL, numer telefonu kontaktowego, adres zamieszkania.

Dane osobowe klientów

 

Dane osobowe pozyskiwane są bezpośrednio od Państwa lub osoby upoważnionej podczas rezerwacji wizyty telefonicznie, e-mailowo, bądź przez system booksy (VERSUM), znanylekarz. Dane pozyskiwane są przed wykonaniem usługi. Wymagane dane to Imię nazwisko, numer telefonu.

Podanie danych osobowych jest dobrowolne, stanowi jednak warunek realizacji usługi. Niepodanie danych może skutkować odmową rejestracji, realizacji usługi.

 

Dane osobowe pracowników, współpracowników.

 

Administrator dla zapewnienia możliwości i ciągłości wykonywania postawionych przed sobą zadań leczniczych przetwarzają dane osobowe o charakterze pracowniczym, w tym dla celów rekrutacji. W celu przetwarzania takich danych uzyskiwana jest przez Administratora zgoda na ich przetwarzanie. Równocześnie Administrator realizuje w pełni zasadę minimalizmu, przetwarzają wyłącznie dane osobowe dopuszczalne w świetle art. 221 §1, §2, § 4 Kodeksu pracy.

Osoby te są w niezbędnym i minimalnym zakresie upoważnione do dostępu do danych osobowych oraz zobowiązane do zachowania poufności tych informacji.

Równocześnie Administrator przetwarza dane osobowe zatrudnionego personelu. Dostęp do informacji (danych osobowych) kadrowych, płacowych i związanych z rekrutacją ma w niezbędnym i minimalnym zakresie wyłącznie personel bezpośrednio wykonujący zadania w oparciu o te dane. Dane osobowe dotyczące zatrudnienia i rekrutacji gromadzone są w formie papierowej i w formie elektronicznej.

Podmioty zewnętrzne.

Z uwagi na wysoki poziom profesjonalizacji prowadzonej działalności Administrator posiada zawarte umowy o współpracy z podmiotami leczniczymi oraz innymi podmiotami prawa w zakresie dotyczącym prowadzonej działalności leczniczej.

Administrator w ramach kooperacji z podmiotami współpracującymi dokonuje minimalnego  transferu niezbędnych danych osobowych.

11

Prawa jednostki i obowiązek informacyjny

W głównych ciągach komunikacyjnych miejsc prowadzenia działalności leczniczej umieszczono w widocznych miejscach informację o fakcie i zakresie przetwarzania danych osobowych pacjentów w La Symetrie. Druk informacji stanowi załącznik niniejszej Polityki ochrony danych osobowych.

Pacjenci ponadto mogą być zobowiązani do zapoznania się z tym dokumentem, co potwierdzają własnoręcznym podpisem na  stosownym formularzu, którego wzór stanowi załącznik do niniejszej Polityki ochrony danych osobowych

Administrator dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza.

Administrator wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych.

Administrator dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.

Administrator określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.

Administrator informuje osobę o przedłużeniu ponad jeden miesiąc terminu na rozpatrzenie żądania tej osoby.

Administrator informuje osobę o przetwarzaniu jej danych, przy pozyskiwaniu danych od tej osoby.

Administrator informuje osobę o planowanej zmianie celu przetwarzania danych.

Administrator informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie obiektywnie niemożliwe).

Administrator informuje osobę o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą.

Administrator bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.

Realizując prawa osób, których dane dotyczą, Administrator wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste itp.), Administrator mogą zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.

Administrator informuje osobę o tym, że nie przetwarzają danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.

Administrator informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.

Na żądanie osoby dotyczące dostępu do jej danych, Administrator informuje osobę, czy przetwarzają jej dane oraz informują osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udzielają osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych, z zastrzeżeniem, że kopii danych wydanej w wykonaniu prawa dostępu do danych Administrator nie uznaje za pierwszą nieodpłatną kopię danych dla potrzeb opłat za kopie danych.

Na żądanie Administrator wydaje osobie kopię danych jej dotyczących i odnotowują fakt wydania pierwszej kopii danych. Administrator wprowadza i utrzymuje cennik kopii danych, zgodnie z którym pobierają opłaty za kolejne kopie danych. Cena kopii danych skalkulowana jest w oparciu o oszacowany jednostkowy koszt obsługi żądania wydania kopii danych.

Administrator dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Administrator ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych Administrator informuje osobę o odbiorcach danych, na żądanie tej osoby.

Administrator uzupełnia i aktualizuje dane na żądanie osoby. Administrator ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych (np. Administrator nie musi przetwarzać danych, które są Administrator zbędne).

12

Minimalizacja

Administrator dba o minimalizację przetwarzania danych pod kątem:

  1. adekwatności danych do celów (ilości danych i zakresu przetwarzania),
  2. dostępu do danych,
  3. czasu przechowywania danych.

Administrator zweryfikował zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO.

Administrator stosuje ograniczenia dostępu do danych osobowych:

  1. prawne (zobowiązania do poufności, zakresy upoważnień),
  2. fizyczne (strefy dostępu, zamykanie pomieszczeń, zamykane szafy)
  3. techniczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe).

Administrator dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób, oraz zmianach podmiotów przetwarzających.

Administrator dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizują je nie rzadziej niż raz na rok.

Administrator wdraża mechanizmy kontroli cyklu życia danych osobowych, w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w RCPD.

13

Bezpieczeństwo

Administrator zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych w La Symetrie.

Administrator przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych. W tym celu:

  1. Administrator zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji.
  2. Administrator kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają
  3. Administrator przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii. Administrator analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
  4. Administrator ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i oceniają koszt ich wdrażania.
  5. Administrator przeprowadza analizę poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Administrator wykorzystuje macierz ryzyka, która pozwala zobrazować poziomy ryzyka w sposób wizualny, grupując poziomy ryzyka za pomocą kolorów, dla których definiuje się odpowiednie działania. Macierz ryzyka pochodzi z poradnika GIODO „Jak stosować podejście oparte na ryzyku?”
  6. Administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizą ryzyka ryzyko naruszenia praw i wolności osób jest wysokie.
  7. Administrator stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych.

Środki bezpieczeństwa danych osobowych stanowią element środków bezpieczeństwa informacji i zapewnienia cyberbezpieczeństwa.

Administrator stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Prezesowi Urzędu Ochrony Danych Osobowych w terminie 72 godzin od ustalenia naruszenia.

14

Przetwarzający

 

Administrator posiada zasady doboru i weryfikacji przetwarzanych danych na rzecz Współadministratorów opracowane w celu zapewnienia, aby przetwarzający dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na La Symetrie.

Współadministratorzy przyjęli minimalne wymagania co do umowy powierzenia przetwarzania danych stanowiące Załącznik do Polityki – „Wzór umowy powierzenia przetwarzania danych”.

15

Wejście w życie zasad ochrony danych osobowych

Niniejsza Polityka ochrony danych osobowych wraz z załącznikami do niej zaczynają być stosowane u Administratora z dniem 1 grudnia 2021 roku.

Integralną częścią Polityki ochrony danych osobowych są załączniki do niej, które stanowią aktualne wzory stosowanych w spółce dokumentów. Treść i zawartość załączników podlega aktualizacji wraz z merytoryczną częścią niniejszej Polityki.

16

Polityka cookies

  1. Strona internetowa https://lasymetrie.pl, podobnie jak większość stron internetowych, wykorzystuje tzw. pliki cookies, tj. informacje zapisywane przez serwery na urządzeniu końcowym użytkownika, czyli np. Twoim komputerze, które mogą być odczytane przy każdorazowym połączeniu się z tego urządzenia końcowego.
  2. Pliki cookies (tzw. „ciasteczka”) stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym użytkownika serwisu internetowego. Cookies zazwyczaj zawierają nazwę domeny serwisu internetowego, z którego pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
  3. Pliki cookies wykorzystywane są w celu:
  • dostosowania zawartości stron serwisów internetowych do preferencji użytkownika oraz optymalizacji korzystania ze stron internetowych; w szczególności pliki te pozwalają rozpoznać urządzenie użytkownika serwisu internetowego i odpowiednio wyświetlić stronę internetową, dostosowaną do jego indywidualnych potrzeb,
  • tworzenia statystyk, które pomagają zrozumieć, w jaki sposób użytkownicy serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości,
  • dostarczania użytkownikom treści reklamowych bardziej dostosowanych do ich zainteresowań.
  • W ramach strony internetowej https://lasymetrie.pl stosowane są dwa zasadnicze rodzaje plików cookies: „sesyjne” oraz „stałe”. Cookies „sesyjne” są plikami tymczasowymi, które przechowywane są w urządzeniu końcowym użytkownika do czasu wylogowania, opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej). „Stałe” pliki cookies przechowywane są w urządzeniu końcowym użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez użytkownika.
  • W ramach strony internetowej https://lasymetrie.pl mogą być stosowane ponadto następujące rodzaje plików cookies:
  • „niezbędne” pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach serwisu internetowego, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach serwisu,
  • pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach serwisu,
  • pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych serwisu,
  • „funkcjonalne” pliki cookies, umożliwiające „zapamiętanie” wybranych przez użytkownika ustawień i personalizację interfejsu użytkownika, np. w zakresie wybranego języka lub regionu, z którego pochodzi użytkownik, rozmiaru czcionki, wyglądu strony internetowej itp.
  • „reklamowe” pliki cookies, umożliwiające dostarczanie użytkownikom treści reklamowych bardziej dostosowanych do ich zainteresowań.

W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym użytkownika. Użytkownicy strony mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu użytkownika serwisu internetowego. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej). Niedokonanie zmiany ustawień w zakresie cookies oznacza, że będą one zamieszczone w urządzeniu końcowym użytkownika, a tym samym będziemy przechowywać informacje w urządzeniu końcowym użytkownika i uzyskiwać dostęp do tych informacji.

Wyłączenie stosowania cookies może spowodować utrudnienia w korzystaniu z niektórych usług w ramach strony https://lasymetrie.pl. 

Strona internetowa https://lasymetrie.pl, podobnie jak większość stron internetowych, wykorzystuje także pliki cookies pochodzące od podmiotów zewnętrznych. Są to w szczególności pliki związane z takimi narzędziami jak Google Analytics, Jetpack oraz wtyczki WordPress, Yoast SEO

 

Polityka prywatnościTa witryna używa plików cookie. Brak zmiany ustawień przeglądarki oznacza zgodę na ich użycie. Czytaj więcej