Polityka Ochrony Danych Osobowych
obowiązująca u
Patrycji Jaworskiej prowadzącej działalność gospodarczą pod firmą Dietetyk Patrycja Jaworska
Spis treści
- Przedmiot dokumentu. 3
- Zakres Polityki 3
- Obszar przetwarzania danych osobowych. 3
- Obowiązki jako administratora. 3
- Obowiązki jako podmiotu przetwarzającego. 4
- Procedury stanowiące załączniki do Polityki 5
- Przegląd i aktualizacja Polityki 5
1. Przedmiot dokumentu
Niniejsza Polityka Ochrony Danych Osobowych („Polityka”) opisuje przetwarzanie danych osobowych przez Patrycję Jaworską prowadzącą działalność gospodarczą pod firmą Dietetyk Patrycja Jaworska („Dietetyk”) NIP: 6452568995, REGON: 388564590 zgodnie z powszechnie obowiązującymi przepisami prawa z zakresu ochrony danych osobowych, a w szczególności Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”). Polityka opisuje także przyjęte przez Dietetyk środki techniczne i organizacyjne mające na celu ochronę danych osobowych.
2. Zakres Polityki
- Niniejsza Polityka odnosi się do wszelkich danych osobowych przetwarzanych przez Dietetyk jako administratora, jak również jako podmiot przetwarzający dane osobowe w imieniu administratora.
- Zasady ustanowione w Polityce powinny być stosowane przez wszystkie osoby zatrudnione lub współpracujące z Dietetyk, bez względu na podstawę prawną zatrudnienia.
3. Obszar przetwarzania danych osobowych
- Dane osobowe są przetwarzane przez Dietetyk w wydzielonych pomieszczeniach w miejscu jej stałego wykonywania działalności gospodarczej.
- Obszarem przetwarzania danych osobowych przez Dietetyk jest również siedziba podmiotu, któremu powierzono przetwarzanie danych osobowych.
- Wykaz podmiotów, którym Dietetyk powierzyła przetwarzanie danych osobowych, wraz ze wskazaniem obszaru przetwarzania danych osobowych, stanowi część rejestru czynności przetwarzania danych osobowych prowadzonego przez Dietetyk.
4. Obowiązki jako administratora
- Zakres uprawnień i obowiązków administratora wskazany został przede wszystkim w RODO i obejmuje m.in.:
- zapewnienie, by dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
- zapewnienie, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
- zapewnienie, by dane osobowe były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
- zapewnienie, by dane osobowe były prawidłowe i uaktualniane, oraz podejmowanie wszelkich rozsądnych działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość danych”);
- zapewnienie, by dane osobowe były przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
- zapewnienie, by dane osobowe były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”);
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;
- bieżący monitoring nad oprogramowaniem wykorzystywanym do przetwarzania danych osobowych w systemie informatycznym oraz zapewnienie by oprogramowanie to było legalne i zapewniało adekwatny poziom bezpieczeństwa danych w nim przetwarzanych;
- bieżący monitoring i identyfikacja zagrożeń dla bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym;
- zapewnienie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- zapewnienie adekwatnych zabezpieczeń antywirusowych i zabezpieczeń przed nieupoważnionym dostępem oraz ich bieżąca aktualizacja;
- zapewnienie, by personel – o ile jest zatrudniany przez Dietetyk przy przetwarzaniu danych osobowych –był należycie przeszkolony;
- zapewnienie odpowiednich pomieszczeń (stosownie zabezpieczonych i wyposażonych) do procesu przetwarzania i przechowywania danych osobowych;
- podejmowanie odpowiednich działań bezpośrednio po wykryciu naruszenia ochrony danych osobowych, zgodnie z procedurą postępowania z naruszeniami ochrony danych osobowych, stanowiącej załącznik nr 1 do Polityki;
- przeprowadzanie oceny i odpowiednie postępowanie ze stwierdzonym ryzykiem, które odnosi się do nadzorowanych przez Dietetyk procesów przetwarzania danych;
- przeprowadzanie oceny, czy dopuszczalne jest oparcie danego procesu przetwarzania danych osobowych na prawnie uzasadnionym interesie administratora zgodnie z art. 6 ust. 1 lit. f RODO.
- Dietetyk kliniczny jako administrator zobowiązana jest do prowadzenia rejestru czynności przetwarzania zgodnie z art. 30 ust. 1 RODO.
5. Obowiązki jako podmiotu przetwarzającego.
- W przypadku, gdy Dietetyk zostanie zlecone przetwarzanie danych osobowych w imieniu administratora, Dietetyk przetwarza dane osobowe wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.
- Dietetyk jako podmiot przetwarzający ma obowiązek zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
- Przetwarzanie danych osobowych przez Dietetyk w imieniu administratora jest możliwe wyłącznie na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Taka umowa lub inny instrument prawny powinny obejmować w szczególności elementy wskazane w art. 28 ust. 3 RODO.
- Dietetyk jako podmiot przetwarzający zobowiązana jest do prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zgodnie z art. 30 ust. 2 RODO.
6. Procedury stanowiące załączniki do Polityki
- Szczegółowe zasady postępowania z naruszeniami ochrony danych osobowych stanowią Załącznik nr 1 do Polityki.
- Szczegółowe zasady realizacji przez Dietetyk praw podmiotów danych stanowią Załącznik nr 2 do Polityki.
- Szczegółowe zasady projektowania nowych procesów stanowią Załącznik nr 3 do Polityki.
- Szczegółowe zasady weryfikacji dostawców w zakresie ochrony danych osobowych stanowią Załącznik nr 4 do Polityki.
- Wytyczne dotyczące wewnętrznych okresów przechowywania danych stanowią Załącznik nr 5 do Polityki.
- Wytyczne dotyczące oceny ryzyka i przeprowadzania oceny skutków dla ochrony danych stanowią Załącznik nr 6 do Polityki.
- Wykaz środków technicznych i organizacyjnych służących ochronie danych osobowych stanowi Załącznik nr 7 do Polityki.
7. Przegląd i aktualizacja Polityki
- Przegląd Polityki powinien być dokonywany co najmniej raz do roku z zastrzeżeniem postanowień ust. 7.2.
- W przypadku wystąpienia znaczących zmian w procesach przetwarzania danych osobowych w Dietetyk, powinien zostać przeprowadzany przegląd doraźny, którego celem będzie weryfikacja zasad i ewentualne dostosowanie Polityki do zmian organizacyjnych, warunków biznesowych, środowiska technicznego, a także zmian w zakresie powszechnie obowiązującego prawa.