Polityka Ochrony Danych Osobowych

obowiązująca u

Patrycji Jaworskiej prowadzącej działalność gospodarczą pod firmą Dietetyk Patrycja Jaworska

Spis treści

Przedmiot dokumentu. 3
Zakres Polityki 3
Obszar przetwarzania danych osobowych. 3
Obowiązki jako administratora. 3
Obowiązki jako podmiotu przetwarzającego. 4
Procedury stanowiące załączniki do Polityki 5
Przegląd i aktualizacja Polityki 5

1. Przedmiot dokumentu

Niniejsza Polityka Ochrony Danych Osobowych („Polityka”) opisuje przetwarzanie danych osobowych przez Patrycję Jaworską prowadzącą działalność gospodarczą pod firmą Dietetyk Patrycja Jaworska („Dietetyk”) NIP: 6452568995, REGON: 388564590 zgodnie z powszechnie obowiązującymi przepisami prawa z zakresu ochrony danych osobowych, a w szczególności Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”). Polityka opisuje także przyjęte przez Dietetyk środki techniczne i organizacyjne mające na celu ochronę danych osobowych.

2. Zakres Polityki

Niniejsza Polityka odnosi się do wszelkich danych osobowych przetwarzanych przez Dietetyk jako administratora, jak również jako podmiot przetwarzający dane osobowe w imieniu administratora.
Zasady ustanowione w Polityce powinny być stosowane przez wszystkie osoby zatrudnione lub współpracujące z Dietetyk, bez względu na podstawę prawną zatrudnienia.

3. Obszar przetwarzania danych osobowych

Dane osobowe są przetwarzane przez Dietetyk w wydzielonych pomieszczeniach w miejscu jej stałego wykonywania działalności gospodarczej.
Obszarem przetwarzania danych osobowych przez Dietetyk jest również siedziba podmiotu, któremu powierzono przetwarzanie danych osobowych.
Wykaz podmiotów, którym Dietetyk powierzyła przetwarzanie danych osobowych, wraz ze wskazaniem obszaru przetwarzania danych osobowych, stanowi część rejestru czynności przetwarzania danych osobowych prowadzonego przez Dietetyk.

4. Obowiązki jako administratora

Zakres uprawnień i obowiązków administratora wskazany został przede wszystkim w RODO i obejmuje m.in.:
- zapewnienie, by dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
- zapewnienie, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
- zapewnienie, by dane osobowe były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
- zapewnienie, by dane osobowe były prawidłowe i uaktualniane, oraz podejmowanie wszelkich rozsądnych działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość danych”);
- zapewnienie, by dane osobowe były przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
- zapewnienie, by dane osobowe były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”);
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;
- bieżący monitoring nad oprogramowaniem wykorzystywanym do przetwarzania danych osobowych w systemie informatycznym oraz zapewnienie by oprogramowanie to było legalne i zapewniało adekwatny poziom bezpieczeństwa danych w nim przetwarzanych;
- bieżący monitoring i identyfikacja zagrożeń dla bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym;
- zapewnienie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- zapewnienie adekwatnych zabezpieczeń antywirusowych i zabezpieczeń przed nieupoważnionym dostępem oraz ich bieżąca aktualizacja;
- zapewnienie, by personel – o ile jest zatrudniany przez Dietetyk przy przetwarzaniu danych osobowych –był należycie przeszkolony;
- zapewnienie odpowiednich pomieszczeń (stosownie zabezpieczonych i wyposażonych) do procesu przetwarzania i przechowywania danych osobowych;
- podejmowanie odpowiednich działań bezpośrednio po wykryciu naruszenia ochrony danych osobowych, zgodnie z procedurą postępowania z naruszeniami ochrony danych osobowych, stanowiącej załącznik nr 1 do Polityki;
- przeprowadzanie oceny i odpowiednie postępowanie ze stwierdzonym ryzykiem, które odnosi się do nadzorowanych przez Dietetyk procesów przetwarzania danych;
- przeprowadzanie oceny, czy dopuszczalne jest oparcie danego procesu przetwarzania danych osobowych na prawnie uzasadnionym interesie administratora zgodnie z art. 6 ust. 1 lit. f RODO.
Dietetyk kliniczny jako administrator zobowiązana jest do prowadzenia rejestru czynności przetwarzania zgodnie z art. 30 ust. 1 RODO.

5. Obowiązki jako podmiotu przetwarzającego.

W przypadku, gdy Dietetyk zostanie zlecone przetwarzanie danych osobowych w imieniu administratora, Dietetyk przetwarza dane osobowe wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.
Dietetyk jako podmiot przetwarzający ma obowiązek zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Przetwarzanie danych osobowych przez Dietetyk w imieniu administratora jest możliwe wyłącznie na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Taka umowa lub inny instrument prawny powinny obejmować w szczególności elementy wskazane w art. 28 ust. 3 RODO.
Dietetyk jako podmiot przetwarzający zobowiązana jest do prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zgodnie z art. 30 ust. 2 RODO.

6. Procedury stanowiące załączniki do Polityki

Szczegółowe zasady postępowania z naruszeniami ochrony danych osobowych stanowią Załącznik nr 1 do Polityki.
Szczegółowe zasady realizacji przez Dietetyk praw podmiotów danych stanowią Załącznik nr 2 do Polityki.
Szczegółowe zasady projektowania nowych procesów stanowią Załącznik nr 3 do Polityki.
Szczegółowe zasady weryfikacji dostawców w zakresie ochrony danych osobowych stanowią Załącznik nr 4 do Polityki.
Wytyczne dotyczące wewnętrznych okresów przechowywania danych stanowią Załącznik nr 5 do Polityki.
Wytyczne dotyczące oceny ryzyka i przeprowadzania oceny skutków dla ochrony danych stanowią Załącznik nr 6 do Polityki.
Wykaz środków technicznych i organizacyjnych służących ochronie danych osobowych stanowi Załącznik nr 7 do Polityki.

7. Przegląd i aktualizacja Polityki

Przegląd Polityki powinien być dokonywany co najmniej raz do roku z zastrzeżeniem postanowień ust. 7.2.
W przypadku wystąpienia znaczących zmian w procesach przetwarzania danych osobowych w Dietetyk, powinien zostać przeprowadzany przegląd doraźny, którego celem będzie weryfikacja zasad i ewentualne dostosowanie Polityki do zmian organizacyjnych, warunków biznesowych, środowiska technicznego, a także zmian w zakresie powszechnie obowiązującego prawa.

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.