REGULAMIN REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ


 

1.    Celem procedury jest określenie jednolitych zasad i procedur zmierzających do zapewnienia realizacji praw osób, których dane osobowe przetwarza Lubuski Szpital Specjalistyczny Pulmonologiczno-Kardiologicznym w Torzymiu Sp. z o.o. jako Administrator Danych Osobowych w rozumieniu RODO.

2.    Administrator przetwarza dane osobowe z poszanowanie praw pacjenta oraz praw osób, których dane dotyczą.

3.    Administrator zapewnia odpowiednie zaplecze techniczne oraz kadrowe w celu terminowej oraz rzetelnej realizacji praw osób, których dane dotyczą.

4.    Procedura określa zasady realizacji praw osób, których dane dotyczą określonych w Rozdziale III RODO, w tym pacjentów realizujących uprawnienia tam przewidziane tj.:

1)    prawo do udzielenia informacji;

2)    prawo dostępu do danych osobowych;

3)    prawo do sprostowania i uzupełnienia danych osobowych;

4)    prawo do usunięcia danych osobowych;

5)    prawo do sprzeciwu;

6)    prawo do ograniczenia przetwarzania danych osobowych;

7)    prawo do przenoszenia danych;

8)    prawo do cofnięcia zgody;

9)    prawo do bycia poinformowanym o naruszeniu ochrony w zakresie przetwarzania danych.

5.    Osobą odpowiedzialną za koordynowanie i zapewnianie prawidłowości działań związanych z realizacją Procedury jest Inspektor Ochrony Danych Osobowych. – W zakresie realizacji praw dotyczących udostępniania dokumentacji medycznej odobą odpowiedzialną za koordynowanie i zapewnienie prawidłowości działań jest Naczelna Pielęgniarka.

6.    Osoby kierujące poszczególnymi komórkami organizacyjnymi są odpowiedzialne za realizację praw osób, których dane dotyczą.

7.    Każde żądanie (wniosek) wpływający do Szpitala rozpatrywany jest indywidualnie.

8.    Składając żądanie Pacjent lub osoba zainteresowana może skorzystać z formularza wniosku dostępnego na stronie internetowej Szpitala i w siedzibie Szpitala lub złożyć je w innej formie, przy czym należy uwzględnić wszystkie niezbędne elementy umożliwiające realizację wniosku.

9.    Zarząd Szpitala przekazuje wniosek do Inspektora, który koordynuje jego realizację poprzez przekazanie do Dyrektora lub Kierownika właściwej komórki organizacyjnej oraz uzgadnia sposób załatwienia sprawy. Odpowiedź przygotowują pracownicy poszczególnych komórek organizacyjnych merytorycznie odpowiedzialnych za przetwarzanie danych osobowych. Po załatwieniu sprawy komórka organizacyjna przekazuje wniosek i odpowiedź w sprawie do Inspektora Ochrony Danych Osobowych.

10. Rejestr wszystkich wniosków i odpowiedzi, które nie dotyczą dokumentacji medycznej prowadzi Inspektor Ochrony Danych Osobowych. 

11. Żądanie Osoby, której dane dotyczą może zostać zgłoszone:

1)    w formie ustnej w siedzibie Administratora (w punkcie obsługi klienta);

2)    pisemnie na adres korespondencyjny Administratora

3)    drogą pisemną w postaci elektronicznej za pośrednictwem poczty elektronicznej na adres e-mail Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.;

12. Aby nie dopuścić do naruszenia praw i wolności spowodowanych naruszeniem bezpieczeństwa danych osobowych żądanie nie może być realizowane za pośrednictwem rozmowy telefonicznej uniemożliwiającej weryfikację tożsamości wnioskodawcy.

13. Wzór wniosku stanowi załącznik nr 1 do niniejszej Procedury.

14.  Wzór wniosku Administrator udostępni w rejestracji  oraz na stronie internetowej.

15. Przed realizacją żądania w zakresie przysługujących praw osobie fizycznej, jako podmiotu danych, dokonuje się weryfikacji jej tożsamości. W przypadku zaistnienia uzasadnionych wątpliwości w zakresie tożsamości tej osoby, osoba załatwiająca sprawę uprawniona jest do żądania dodatkowych informacji od osoby składającej wniosek w celu potwierdzenia jej tożsamości.

16. Administrator udziela informacji o działaniach podjętych na skutek złożonego żądania bez zbędnej zwłoki, jednakże nie później niż w terminie miesiąca od daty otrzymania wezwania. W przypadku zaistnienia konieczności, termin, o którym mowa w zdaniu poprzedzającym może zostać przedłużony o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań w danym okresie. Administrator w terminie miesiąca poinformuje jednak o tym fakcie osobę, której dane dotyczą wskazując przyczyny opóźnienia.

17. Odpowiedzi udziela się w tej samej formie, w której żądanie zostało zgłoszone, chyba że wnioskodawca zażąda udzielenia odpowiedzi w innej formie.

18. Minimalnym zabezpieczeniem przekazania przez Szpital danych w postaci elektronicznej, przesyłanych na adres e-mail wskazany przez Wnioskodawcę jest zabezpieczenie składające się z następujących elementów:

1)    poinformowanie Wnioskodawcy o zagrożeniach dotyczącym ochrony danych osobowych związanych z proponowanym kanałem komunikacji;

2)    utworzenie plików zawierających zaszyfrowane informacje za pomocą bezpiecznych programów do szyfrowania;

3)    wprowadzenie hasła zabezpieczającego plik;

4)    przesłanie hasła do Wnioskodawcy innym kanałem komunikacji. Za bezpieczny kanał komunikacji do przekazania hasła uznaje się np. sms przesłany na numer telefonu Wnioskodawcy, przekazanie hasła pocztą tradycyjną lub do rąk własnych Wnioskodawcy lub upoważnionej przez niego osoby.

19. W przypadku gdy żądanie osoby, której dane są przetwarzane nie może zostać uwzględnione Administrator poinformuje tę osobę, w terminie, o którym mowa w ust. 16 o odmowie realizacji żądania wraz z podaniem przyczyny oraz poinformuje o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

20. Czynności Administratora podejmowane w odpowiedzi na zgłoszone żądania są wolne od opłat. W przypadku, gdy żądanie osoby jest oczywiście nieuzasadnione lub nadmierne, Administrator może odmówić działań lub pobrać za nie określoną opłatę w wysokości uwzględniającej koszty udzielenia odpowiedzi. Jednocześnie Administrator informuje osobę wnoszącą żądanie o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem. Administrator zobowiązany jest do każdorazowego uzasadnienia i podania do wiadomości osoby zgłaszającej żądnie przyczyny pobrania opłaty lub odmowy podjęcia działań poprzez wskazanie, dlaczego w jego ocenie żądania są ewidentnie nieuzasadnione lub nadmierne. Za ewidentnie nieuzasadnione lub nadmierne żądanie Pacjenta, które uzasadniają pobranie opłaty bądź odmowę podjęcia działań uznaje się w szczególności:

1)    żądanie o informację częściej niż raz na 1 miesiąc, jeżeli zakres danych przetwarzanych przez Szpital bądź inne okoliczności związane z przetwarzaniem nie uległy zmianie od czas złożenia poprzedniego żądania;

2)    żądanie o informacje dzielone sztucznie na kilka, kilkanaście lub więcej żądań;

3)    żądanie szczególnego, niestandardowego formatu odpowiedź, w szczególności formatu nienależącego do powszechnie używanych formatów plików

4)    żądnie udzielenia odpowiedzi w języku innym niż polski;

5)    żądnie informacji których przekazanie spowodowałoby nieuprawnione ujawnienie tajemnicy przedsiębiorstwa, tajemnicy zawodowej personelu medycznego lub danych osobowych innego pacjenta lub innej tajemnicy prawnie chronionej;         

 

 

 

 

Prawo do bycia poinformowanym o przetwarzaniu danych


 

1.    Administrator podczas pozyskiwania danych jest zobowiązany udzielić osobie, której dane dotyczą wszelkich niezbędnych informacji, o których mowa:

1)    w art. 13 RODO – w sytuacji, gdy dane zbierane są od osoby, której dane dotyczą

2)    w art. 14 RODO – w sytuacji, gdy dane zostały pozyskane od osoby, której nie dotyczą

2.    W przypadku, o którym mowa w ust. 1a powyżej, informacje przekazywane są podczas pozyskiwania danych osobowych, poprzez ich zamieszczenie jako załączniki bezpośrednio na formularzach, deklaracji POZ, zgodzie na udzielenie świadczenia zdrowotnego, w umowie lub w innych dokumentach, w których osoba, której dane dotyczą, wpisuje swoje dane osobowe lub jako załącznik (odnośnik) do takich formularzy, umów lub innych dokumentów – w postaci stosownych klauzul informacyjnych lub odrębnych dokumentów zwanych „polityką prywatności”. Stosowne klauzule informacyjne zostaną nadto umieszczone na stronie internetowej Szpitala oraz na tablicy informacyjnej w przestrzeniach ogólnodostępnych dla Pacjentów, w tym w poczekalni, rejestracji, izbie przyjęć oraz przez stosowny komunikat udzielony w trakcie rejestracji.

3.    W przypadku informacji kaskadowych, pierwsza warstwa powinna zawierać co najmniej informacje o tożsamości administratora, celach przetwarzania i opisu praw osoby, której dane dotyczą oraz odesłanie do miejsca, w którym można uzyskać pełną informację o przewarzaniu danych.

4.    W odniesieniu do pacjentów, dla których świadczenie odbywa się za pomocą systemów teleinformatycznych lub systemów łączność, do spełnienia obowiązku informacyjnego wystarczające jest umieszczenie klauzuli w formie nagrania na infolinii, na stronie internetowej Szpitala lub w wiadomości  e-mail lub sms.

5.    Obowiązku informacyjnego wobec pacjentów nie trzeba realizować, jeśli pacjent posiada już stosowne dane.

6.    Obowiązek informacyjny o którym mowa powyżej powinien być stosowany odpowiednio do przedstawicieli ustawowych lub osób, od których Administrator pozyskuje bezpośrednio dane osobowe w związku z realizacją celów zdrowotnych Pacjenta.

7.    W przypadku, o którym mowa w ust. 1 lit. b) powyżej, Informacje przekazywane są osobie, której dane dotyczą, w możliwie najkrótszym terminie, nie dłuższym niż 30 (trzydzieści) dni od dnia pozyskania danych osobowych, z zastrzeżeniem następujących przypadków:

1)    jeżeli pozyskane dane osobowe mają służyć komunikacji z osobą, której dane dotyczą – informacje przekazywane są najpóźniej przy pierwszej komunikacji z tą osobą;

2)    jeżeli pozyskane dane osobowe mają być ujawnione innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

8.    Administrator zobowiązany jest poinformować osobę, której dane dotyczą o swojej tożsamości i danych kontaktowych, danych kontaktowych inspektora ochrony danych osobowych, celu przetwarzania danych osobowych i podstawie prawnej i przetwarzania, prawnie uzasadnionym interesie Administratora (w przypadku, gdy dane przetwarzane są na podstawie art. 6 lit. f RODO), informacje o odbiorcach danych osobowych lub kategoriach odbiorców danych osobowych, gdy ma to zastosowanie – informacje o zamiarze przekazania danych do państwa trzeciego, okres przez jakie dane będą przetwarzane, ewentualnie kryteria ustalania tego okresu, informacje o prawie żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych, informacje o prawie do cofnięcia zgody (jeśli dane przetwarzane są na podstawie zgody), informacje o prawie wniesienia skargi do organu nadzorczego, informacje czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy, oraz czy osoba której dane dotyczą jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych, jeśli ma to miejsce – informacje o zautomatyzowanym podejmowaniu decyzji.

9.    W przypadku, gdy dane nie są zbierane bezpośrednio od osoby, której dotyczą oprócz danych, o których mowa w pkt. 8 powyżej przekazuje dane dotyczące kategorii odnośnie danych osobowych oraz źródło pochodzenia danych osobowych.

10. W celu wykazania realizacji obowiązku informacyjnego, należy zapewnić, aby Osoba, której dane dotyczą, mogła potwierdzić otrzymanie Informacji. W tym celu, w przypadku przekazania Informacji w formie papierowej – Osoba, której dane dotyczą, podpisuje stosowne oświadczenie o otrzymaniu Informacji.

11. Inspektor odpowiedzialny jest za wybór i sformułowanie stosownej Klauzuli Informacyjnej w odniesieniu do określonego zbioru danych/procesu przetwarzania. Obowiązek ten dotyczy w szczególności sytuacji, w których podejmowane są nowe działania, które wiązałyby się z przetwarzaniem danych osobowych.

12. W zakresie wyboru i sformułowania klauzuli informacyjnej Inspektor współpracuje z Dyrektorem lub Kierownikiem danej komórki organizacyjne.

13. Inspektor dokonuje cyklicznych przeglądów klauzul informacyjnych – nie rzadziej niż raz na pół roku w celu weryfikacji, czy ich brzmienie wciąż odpowiada faktycznemu celowi i zakresowi przetwarzania oraz czy spełnia ono wymóg przejrzystości w odniesieniu do kategorii osób, do których dana Klauzula Informacyjna jest kierowana. Z przeglądu sporządzana jest notatka.

14. W przypadku konieczności zmiany Klauzuli Informacyjnej, w szczególności, gdyby zmieniła się:

1)    podstawa prawna lub cel przetwarzania;

2)    odbiorcy danych osobowych;

3)    okres przechowywania danych;

4)    zakres praw przysługujących Osobom, których dane są przetwarzane;

Inspektor dokonuje stosownej zmiany Klauzuli Informacyjnej.

 








 

 

 

 

Prawa realizowane na wniosek

 

(1)  Prawo dostępu do danych

 


 

1.    Prawo dostępu do danych na podstawie RODO jest prawem odrębnym od prawa pacjenta do informacji o swoim stanie zdrowia, o którym mowa w art. 9 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz od prawa dostępu do dokumentacji medycznej, o którym mowa w art. 23 ust. 1 ww. ustawy.

2.    Pacjent ma prawo swobodnego wyboru podstawy oraz zakresu żądania związanego z dostępem do informacji na jego temat przetwarzanych przez administratora.

3.    Pierwsze udostępnienie pacjentowi dokumentacji medycznej, niezależnie od podstawy żądania, stanowi udostepnienie pierwszej kopii danych. O możliwości uzyskania nieodpłatnej pierwszej kopii danych Administrator informuje pacjenta w terminie art. 12 ust. 3 RODO.

4.    Skierowanie przez pacjenta żądania udostępnienia informacji o stanie zdrowia bądź dokumentacji medycznej, bez wskazania że pacjent realizuje prawo dostępu do danych z art. 15 RODO rodzi obowiązki z art., 9 lub 23 ustawy o prawach pacjenta,

5.    Każda osoba, której dane dotyczą, jest uprawniona do uzyskania od Administratora informacji, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do tych danych oraz następujących informacji (o ile mają one zastosowanie wobec danych osobowych wnioskodawcy) :

1)    celu przetwarzania;

2)    kategorii odnośnych danych osobowych;

3)    informacji o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

4)    w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

5)    informacji o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczących osoby, której dane dotyczą oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

6)    informacji o prawie wniesienia skargi do organu nadzorczego;

7)    jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkich dostępnych informacji o ich źródle;

8)    informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania.

 

6.    Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem

7.    Administrator, na żądanie osoby, której dane dotyczą, dostarcza jej również kopię danych osobowych podlegających przetwarzaniu. Za wszelki kolejne kopie, o które zwróci się osoba, której dane dotyczą Administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.

8.    Jeśli wykonanie prawa dostępu do danych na podstawie art., 15 RODO wiąże się z udostępnianiem pacjentowi kopii dokumentacji medycznej fakt ten jest odnotowywany w wykazie wskazanym w art. 27 ust. 4 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta ze wskazaniem, że do udostępnienia doszło na podstawie art. 15 RODO. 

9.    Na żądanie pacjenta Administrator udostępnia mu informacje o sposobie przetwarzania danych osobowych. Jeśli pacjent wystąpi z takim żądaniem Administrator udostępnia mu bezpłatnie kopię jego danych osobowych, w tym zawierającą jego dokumentację medyczną.

10. Jeśli żądanie wydania kopii danych zostało złożone elektronicznie i pacjent wskazał adres e-mail na który ma zostać przesłana kopia danych, i pacjent nie zaznacza inaczej – kopia wydawana jest w tej samej formie. Administrator zabezpiecza transmisję danych w postaci elektronicznej. Minimalnym zabezpieczeniem przekazania danych w postaci elektronicznej przesłanych na adres e-mail wskazany przez pacjenta jest zabezpieczenie składające się z następujących elementów: uprzedniego poinformowania pacjenta o zagrożeniach dotyczących ochrony danych osobowych związanych z proponowanym kanałem komunikacji, utworzenie plików zawierających zaszyfrowane informacje za pomocą bezpiecznych programów do szyfrowania, wprowadzenie hasła zabezpieczającego pliki w chwili tworzenia tego pliku.

11. Do odszyfrowania przez pacjenta pliku informacji niezbędne jest wprowadzenie hasła które zostało użyte podczas jego tworzenia. Hasło powinno zostać przesłane do odbiorcy innym bezpiecznym kanałem komunikacji takim jak: sms przesłany na telefon pacjenta, przekazanie hasła pocztą tradycyjną, przekazanie hasła do rąk własnych pacjenta.

12. Administrator może udostępnić kopię w inny sposób niż wybrany przez zainteresowanego, jeżeli ze względów technicznych nie jest to możliwe. O niemożności dostarczenia kopii w wybrany przez zainteresowanego sposób oraz proponowanym alternatywnym rozwiązaniu Administrator niezwłocznie powiadamia wnioskodawcę.

13. Upoważnienie o którym mowa w art. 26 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta nie stanowi podstawy do realizacji przez osobę upoważnioną prawa pacjenta do dostępu do danych zgodnie z art. 15 RODO.

 

 

(2)  Prawo do sprostowania i uzupełnienia danych


 

1.    Każda osoba, której dane dotyczą, ma prawo żądania od Administratora sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

2.    Pacjent ma prawo żądać sprostowania lub uzupełnienia danych osobowych zawarty w dokumentacji medycznej wyłącznie w zakresie w jakim nie będzie prowadzić to do naruszenia autonomii zawodowej osoby wykonującej zawód medyczny, która dokonywała wpisu w dokumentacji medycznej.

3.    Wnioskujący o sprostowanie powinien wykazać, że przetwarzane dane są nieprawdziwe. W tym celu należy przedstawić dokument, z którego wynikałaby niezgodność przetwarzanych danych ze stanem faktycznym.

4.    Administrator dokonuje sprostowania lub uzupełnienia w sposób odpowiadający okolicznościom danego procesu przetwarzania, np. poprzez przedstawienie osobie, której dane dotyczą, dodatkowego formularza do wypełnienia.

5.    Wraz z wykonaniem żądania wnioskującego, w tym pacjenta, dotyczącego sprostowania lub uzupełnienia danych osobowych, Placówka dokonuje oceny istotności i charakteru wprowadzonych sprostowań i uzupełnień. Jeśli niepoinformowanie określonych odbiorców o zmianach będzie nieść za sobą zagrożenie dla życia i zdrowia Pacjenta, Szpital niezwłocznie informuje o sprostowaniu lub uzupełnieniu danych osobowych lub ograniczeniu przetwarzania każdego z tych odbiorców, którym ujawnił dane osobowe, chyba że okaże się to niemożliwe. Jeżeli wnioskujący tego zażąda, administrator informuje go o odbiorcach, których poinformował lub nie o dokonanej zmianie. W przypadku, gdy niepoinformowanie odbiorców o wprowadzonych zmianach danych nie będzie niosło za sobą zagrożenia dla życia i zdrowia Pacjenta szpital informuje każdego z odbiorców, którym ujawnił dane, chyba że będzie to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Za działania wymagające niewspółmiernie dużego wysiłku uznaje się:

1)    poinformowanie o zmianach odbiorców, z którymi nie jest możliwy kontakt e-mail;

2)    poinformowanie o zmianach odbiorców, których tożsamości szpital nie zna w chwili dokonanie zmiany;

3)    poinformowanie o zmianach odbiorców, którym udostępniono dane osobowe wcześniej niż na rok od chwili dokonania zmiany.

 

 

 

 

(3)  Prawo do usunięcia danych


 

1.    Każda Osoba, której dane dotyczą, ma prawo żądania od Administratora usunięcia dotyczących jej danych osobowych, jeżeli zachodzi jedna z następujących okoliczności:

1)    dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

2)    osoba, której dane dotyczą, cofnęła zgodę będąca podstawą do przetwarzania danych zgodnie z art. 6 ust. 1 lit. a) RODO, a brak jest innej podstawy przetwarzania;

3)    osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania danych;

4)    dane osobowe są przetwarzane niezgodnie z prawem;

5)    dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii Europejskiej lub prawie polskim;

6)    dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku;

2.    Prawo do bycia zapomnianym nie znajduje zastosowania wobec danych osobowych Pacjentów przetwarzanych na podstawie art. 9 ust. 2 lit. h) RODO, w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej prowadzonej i przechowywanej przez okres wskazany w art. 29 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz innych przepisach dotyczących okresu przechowywania dokumentacji medycznej.

3.    W przypadku, gdy dane pacjenta przetwarzane są na podstawie wyrażonej przez niego zgody, prawo do bycia zapomnianym może zostać zrealizowane w razie zaistnienia przesłanek, o których mowa w pkt. 1 powyżej.

4.    Żądanie usunięcia danych nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne do:

1)    do korzystania z prawa do wolności wypowiedzi i informacji;

2)    do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Administrator lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy powierzonej Administratorowi;

3)    z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3 RODO;

4)    do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo o którym mowa w ust. 1 uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;

5)    do ustalenia, dochodzenia lub obrony roszczeń;

5.    Podstawę prawną odmowy usunięcia danych osobowych znajdujących się w dokumentacji medycznej pacjenta stanowi art. 17 ust. 3 lit b) RODO.

6.    Administrator informuje o usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie art. 17 ust. 1 RODO (prawo do usunięcia danych) każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje Osobę, której dane dotyczą, o tych odbiorcach, jeżeli Osoba, której dane dotyczą, tego zażąda.

7.    W przypadku usunięcia danych zawartych w dokumentacji medycznej w związku z żądaniem pacjenta złożonym po ustawowym terminie przechowywania dokumentacji medycznej przyjmuje się, że podmioty, którym dokumentacja ta została udostępniona posiadają wiedze o usunięciu danych.

8.    Odmowa realizacji prawa do usunięcia danych jest przekazywana przez Administratora wnioskującemu wraz z uzasadnieniem przyczyny odmowy zawierającym podstawy prawne odmowy.

9.    Postanowienia pkt. 2 i 4 stosuje się również do osób, od których dane osobowe nie są bezpośrednio zbierane.

 

 

 

(4)  Prawo do sprzeciwu


 

1.    Każda Osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – w przypadku, gdy Administrator przetwarza dane na następujących podstawach:

1)    przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;

2)    przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności Osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy Osoba, której dane dotyczą, jest dzieckiem; c) w tym profilowania na podstawie przepisów art. 6 ust.1 lit. e) i f) RODO wymienionych powyżej w punktach a) oraz b).

2.    Prawo pacjenta do sprzeciwu wobec przetwarzania danych osobowych nie znajduje zastosowania wobec danych osobowych przetwarzanych przez Szpital na podstawie art. 9 ust. 2 lit. h) RODO, w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę.

3.    Administratorowi nie wolno przetwarzać danych, o których mowa powyżej, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. W razie zaistnienia powyższych przesłanek dyrektor lub kierownik komórki organizacyjnej zobowiązany jest przedstawić stosowną notatkę zawierającą uzasadnienie decyzji.

4.    Każda Osoba, której dane dotyczą, ma prawo wnieść sprzeciw w przypadku, gdy jej dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

 

 

 

(5)  Prawo do ograniczenia przetwarzania


 

1.    Każda Osoba, której dane dotyczą ma prawo żądania od Administratora ograniczenia przetwarzania jej danych osobowych, w tym  w przypadku, gdy:

1)    kwestionuje ona prawidłowość danych osobowych – na okres pozwalający Administratorowi sprawdzić prawidłowość tych danych;

2)    przetwarzanie jest niezgodne z prawem, a Osoba sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

3)    Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne Osobie do ustalenia, dochodzenia lub obrony roszczeń;

4)    Osoba, której dane dotyczą wniosła sprzeciw wobec przetwarzania danych – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu.  

2.    W zakresie danych osobowych pacjentów przetwarzanych na podstawie art. 9 ust. 2 lit. h) RODO i innych, pacjent ma prawo żądać ograniczenia przetwarzania danych w przypadku, gdy kwestionuje prawidłowość danych osobowych. 

3.    W przypadku wykonania żądania realizacji prawa, o którym mowa w ust. 1 powyżej, Administrator dokonuje oznaczenia danych objętych żądaniem i zaprzestaje ich przetwarzania w inny sposób niż ich przechowywanie, chyba że:

1)    osoba, której dane dotyczą, wyrazi zgodę na inny sposób przetwarzania danych;

2)    jest to niezbędne w celu ustalenia, dochodzenia lub obrony roszczeń;

3)    jest niezbędne w celu ochrony praw innej osoby fizycznej lub prawnej;

4)    z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego.

4.    Prawo pacjenta do żądania ograniczenia przetwarzania danych osobowych nie jest bezwzględne. Administrator może przetwarzać dane osobowe pacjentów m.in. w celu realizacji ważnego interesu publicznego, za który uznaje się w szczególności:

1)    wykonywanie zadań, obowiązków oraz realizację usług wynikających z ustawy o systemie informacji w ochronie zdrowia, jeśli ograniczenie przetwarzania może zakłócić wykonywanie zapisów tej ustawy;

2)    wykonywanie obowiązków wynikających z innych przepisów prawa medycznego w przypadku, gdy ograniczenie przetwarzania może stwarzać ryzyko naruszenia zdrowia psychicznego;

3)    wykonywanie zobowiązań wynikających z realizacji umowy z płatnikiem publiczny, w tym w szczególności prowadzenia sprawozdawczości;

4)    udostępnianianie danych na potrzeby przeprowadzania kontroli przez uprawnione z mocy prawa organy i podmioty;

5)    realizację celów archiwalnych, badań naukowych, historycznych lub celów statystycznych;

5.    W przypadku uchylenia ograniczenia przetwarzania danych osobowych, Administrator informuje o tym Osobę, której dane dotyczą.

6.    Administrator informuje o ograniczeniu przetwarzania, których dokonał zgodnie z i art. 18 RODO (prawo do ograniczenia przetwarzania), każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje Osobę, której dane dotyczą, o tych odbiorcach, jeżeli Osoba, której dane dotyczą, tego zażąda.

 

 

(6)  Prawo do przenoszenia danych


 

1.    Każda Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła Administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony Administratora, jeżeli:

1)    przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy, której stroną jest Osoba, której dane dotyczą, oraz

2)    przetwarzanie odbywa się w sposób zautomatyzowany.

2.    Jeżeli jest to technicznie możliwe, na żądanie Osoby, której dane dotyczą, Administrator przesyła dane bezpośrednio innemu administratorowi.

3.    Przez pojęcie danych osobowych, które pacjent dostarczył administratorowi należy rozumieć dane aktywnie i świadomie podane przez pacjenta, w szczególności zawarte w ankietach i kwestionariuszach oraz dane wygenerowane przez tę osobę.

4.    Dla danych osobowych przetwarzanych na podstawie art. 9 ust. 2 lit. h RODO, w tym w szczególności danych przetwarzanych w ramach dokumentacji medycznej, prawo do przenoszenia danych nie znajduje zastosowania.

5.    W przypadku otrzymania żądania pacjenta związanego z wykonywaniem prawa do przenoszenia danych, w odniesieniu do danych osobowych zgromadzonych w dokumentacji medycznej, administrator ma obowiązek poinformować pacjenta o braku podstawy prawnej tego prawa oraz poinformować o trybie, w jakim pacjent może uzyskać dostęp do dokumentacji medycznej.

6.    Prawo pacjent do przenoszenia danych znajduje zastosowanie wyłącznie wobec operacji przetwarzania danych osobowych prowadzonych przez szpital, które mają charakter zautomatyzowany i które prowadzone są w oparciu o zgodę pacjenta na przetwarzanie danych osobowych lub w oparciu o umowę, której pacjent jest stroną. Przetwarzaniem danych w sposób zautomatyzowany jest przetwarzanie z wykorzystaniem urządzeń i systemów informatycznych i nie obejmujących żadnych dokumentów w postaci papierowej.

7.    Należy mieć na uwadze, że prawo do przenoszenia danych nie może negatywnie wpływać na prawa i wolności innych osób.

 

 

 

(7) Prawo do cofnięcia zgody


 


 

1.    Osoba, której dane dotyczą ma prawo w każdym momencie wycofać zgodę.

2.    Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

3.    Wycofanie zgody nie powinno być uzależnione od jakichkolwiek okoliczności.

 

 

(8) Prawo do bycia poinformowanym o naruszeniu ochrony w zakresie przetwarzania danych osobowych


 

1.    W przypadku wystąpienia incydentów naruszających bezpieczeństwo przetwarzania danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, bez zbędnej zwłoki zawiadamia się osobę, której takie dane dotyczą o takim naruszeniu.

2.    Zawiadomienie, o którym mowa powyżej powinno być sporządzone w formie jasnej i czytelnej. Ponadto powinno zawierać informacje opisujące charakter naruszenia ochrony danych osobowych oraz zawierać co najmniej imię i nazwisko oraz dane kontaktowe Inspektora Ochrony Danych Osobowych, opis możliwych konsekwencji naruszenia ochrony danych osobowych, opis zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniom ochrony danych.

3.    Szczegółowe zasady dotyczące postepowania z incydentami zawiera Instrukcja Postępowania z Incydentami Naruszeń stanowiąca załącznik nr 5 do Polityki.

 

 

(9) Udostępnianie danych osobowych


 

1.    Administrator udostępnia dane osobowe podmiotom trzecim zgodnie z przepisami prawa, a w zakresie danych osobowych pacjentów ze szczególnym uwzględnieniem ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.

2.    Dane osobowe pacjenta są udostępniane w szczególności osobom upoważnionym przez pacjenta.

3.    Dane, o których mowa powyżej udostępnia się poprzez udostępnienie dokumentacji medycznej lub udzielenie informacji o stanie zdrowia pacjenta i udzielonych mu świadczeniach zdrowotnych.

4.    Szczegółowe regulacje dotyczące udostępniania danych osobowych pacjenta zawarte są w Zasadach i Standardach Obsługi Pacjentów oraz Udzielania Świadczeń Medycznych z Uwzględnieniem Przepisów RODO.