Polityka Ochrony Danych Osobowych

obowiązująca u

Patrycji Jaworskiej prowadzącej działalność gospodarczą pod firmą Dietetyk Patrycja Jaworska

 

Spis treści

  1. Przedmiot dokumentu. 3
  2. Zakres Polityki 3
  3. Obszar przetwarzania danych osobowych. 3
  4. Obowiązki jako administratora. 3
  5. Obowiązki jako podmiotu przetwarzającego. 4
  6. Procedury stanowiące załączniki do Polityki 5
  7. Przegląd i aktualizacja Polityki 5

 

 

1.      Przedmiot dokumentu

Niniejsza Polityka Ochrony Danych Osobowych („Polityka”) opisuje przetwarzanie danych osobowych przez Patrycję Jaworską prowadzącą działalność gospodarczą pod firmą Dietetyk Patrycja Jaworska („Dietetyk”) NIP: 6452568995, REGON: 388564590 zgodnie z powszechnie obowiązującymi przepisami prawa z zakresu ochrony danych osobowych, a w szczególności Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”). Polityka opisuje także przyjęte przez Dietetyk  środki techniczne i organizacyjne mające na celu ochronę danych osobowych.

2.      Zakres Polityki

  • Niniejsza Polityka odnosi się do wszelkich danych osobowych przetwarzanych przez Dietetyk jako administratora, jak również jako podmiot przetwarzający dane osobowe w imieniu administratora.
  • Zasady ustanowione w Polityce powinny być stosowane przez wszystkie osoby zatrudnione lub współpracujące z Dietetyk, bez względu na podstawę prawną zatrudnienia.

3.      Obszar przetwarzania danych osobowych

  • Dane osobowe są przetwarzane przez Dietetyk w wydzielonych pomieszczeniach w miejscu jej stałego wykonywania działalności gospodarczej.
  • Obszarem przetwarzania danych osobowych przez Dietetyk jest również siedziba podmiotu, któremu powierzono przetwarzanie danych osobowych.
  • Wykaz podmiotów, którym Dietetyk powierzyła przetwarzanie danych osobowych, wraz ze wskazaniem obszaru przetwarzania danych osobowych, stanowi część rejestru czynności przetwarzania danych osobowych prowadzonego przez Dietetyk.

4.      Obowiązki jako administratora

  • Zakres uprawnień i obowiązków administratora wskazany został przede wszystkim w RODO i obejmuje m.in.:
    • zapewnienie, by dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
    • zapewnienie, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
    • zapewnienie, by dane osobowe były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
    • zapewnienie, by dane osobowe były prawidłowe i uaktualniane, oraz podejmowanie wszelkich rozsądnych działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość danych”);
    • zapewnienie, by dane osobowe były przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
    • zapewnienie, by dane osobowe były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”);
    • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;
    • bieżący monitoring nad oprogramowaniem wykorzystywanym do przetwarzania danych osobowych w systemie informatycznym oraz zapewnienie by oprogramowanie to było legalne i zapewniało adekwatny poziom bezpieczeństwa danych w nim przetwarzanych;
    • bieżący monitoring i identyfikacja zagrożeń dla bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym;
    • zapewnienie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
    • zapewnienie adekwatnych zabezpieczeń antywirusowych i zabezpieczeń przed nieupoważnionym dostępem oraz ich bieżąca aktualizacja;
    • zapewnienie, by personel – o ile jest zatrudniany przez Dietetyk przy przetwarzaniu danych osobowych –był należycie przeszkolony;
    • zapewnienie odpowiednich pomieszczeń (stosownie zabezpieczonych i wyposażonych) do procesu przetwarzania i przechowywania danych osobowych;
    • podejmowanie odpowiednich działań bezpośrednio po wykryciu naruszenia ochrony danych osobowych, zgodnie z procedurą postępowania z naruszeniami ochrony danych osobowych, stanowiącej załącznik nr 1 do Polityki;
    • przeprowadzanie oceny i odpowiednie postępowanie ze stwierdzonym ryzykiem, które odnosi się do nadzorowanych przez Dietetyk procesów przetwarzania danych;
    • przeprowadzanie oceny, czy dopuszczalne jest oparcie danego procesu przetwarzania danych osobowych na prawnie uzasadnionym interesie administratora zgodnie z art. 6 ust. 1 lit. f RODO.
  • Dietetyk kliniczny jako administrator zobowiązana jest do prowadzenia rejestru czynności przetwarzania zgodnie z art. 30 ust. 1 RODO.

5.      Obowiązki jako podmiotu przetwarzającego.

  • W przypadku, gdy Dietetyk zostanie zlecone przetwarzanie danych osobowych w imieniu administratora, Dietetyk przetwarza dane osobowe wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.
  • Dietetyk jako podmiot przetwarzający ma obowiązek zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
  • Przetwarzanie danych osobowych przez Dietetyk w imieniu administratora jest możliwe wyłącznie na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Taka umowa lub inny instrument prawny powinny obejmować w szczególności elementy wskazane w art. 28 ust. 3 RODO.
  • Dietetyk jako podmiot przetwarzający zobowiązana jest do prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zgodnie z art. 30 ust. 2 RODO.

6.      Procedury stanowiące załączniki do Polityki

  • Szczegółowe zasady postępowania z naruszeniami ochrony danych osobowych stanowią Załącznik nr 1 do Polityki.
  • Szczegółowe zasady realizacji przez Dietetyk praw podmiotów danych stanowią Załącznik nr 2 do Polityki.
  • Szczegółowe zasady projektowania nowych procesów stanowią Załącznik nr 3 do Polityki.
  • Szczegółowe zasady weryfikacji dostawców w zakresie ochrony danych osobowych stanowią Załącznik nr 4 do Polityki.
  • Wytyczne dotyczące wewnętrznych okresów przechowywania danych stanowią Załącznik nr 5 do Polityki.
  • Wytyczne dotyczące oceny ryzyka i przeprowadzania oceny skutków dla ochrony danych stanowią Załącznik nr 6 do Polityki.
  • Wykaz środków technicznych i organizacyjnych służących ochronie danych osobowych stanowi Załącznik nr 7 do Polityki.

7.      Przegląd i aktualizacja Polityki

  • Przegląd Polityki powinien być dokonywany co najmniej raz do roku z zastrzeżeniem postanowień ust. 7.2.
  • W przypadku wystąpienia znaczących zmian w procesach przetwarzania danych osobowych w Dietetyk, powinien zostać przeprowadzany przegląd doraźny, którego celem będzie weryfikacja zasad i ewentualne dostosowanie Polityki do zmian organizacyjnych, warunków biznesowych, środowiska technicznego, a także zmian w zakresie powszechnie obowiązującego prawa.