Polityka ochrony danych osobowych w Centrum Psychologicznym „Homini”
Dokument stanowi mapę wymogów, zasad i regulacji ochrony danych osobowych w Centrum Psychologicznym „ Homini”
Maj 2018
WSTĘP
Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu RODO – Rozporządzenie Parlamentu Europejskiego i Rady ( UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE( ogólne rozporządzenie o ochronie danych). Dokument stanowi mapę wymogów, zasad i regulacji ochrony danych osobowych w gabinecie psychologiczny.
PODSTAWY PRAWNE
- Rozporządzenie Parlamentu Europejskiego i Rady ( UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE( ogólne rozporządzenie o ochronie danych).
- Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r.
ZAWARTOŚĆ POLITYKI
Polityka zawiera:
- Definicje używanych w polityce pojęć.
- Opis zasad ochrony danych obowiązujących w Centrum Psychologiczny
Niniejsza Polityka- oznacza politykę ochrony informacji w tym danych osobowych w Centrum Psychologicznym
RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady ( UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE( ogólne rozporządzenie o ochronie danych)( Dz. Urz. UE L 119, s.1)
Dane osobowe – oznaczają informacje o zidentyfikowaniu lub możliwej do zidentyfikowania osobie fizycznej ( „ osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, która można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, psychiczną, ekonomiczna, kulturową lub społeczną tożsamość osoby fizycznej.
Dane szczególnych kategorii- oznaczają dane wymienione w art. 9 ust 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Osoba- oznacza osobę, której dane dotyczą, o ile co innego nie wynika z kontekstu.
Pacjent - osoba , która korzysta z usług psychologa.
Przetwarzanie- oznacza operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie , utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Administrator Danych Osobowych – Centrum Psychologiczne „ HOMINI”.
UODO- Urząd Ochrony Danych Osobowych.
Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych osobowych mającymi zastosowanie stosownie do celów przetwarzania.
Zgoda osoby, której dane dotyczą- oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba , której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Rejestr- oznacza Rejestr Czynności Przetwarzania Danych Osobowych, o których mowa w art. 30 RODO.
Naruszenie ochrony danych osobowych- oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Skutkiem naruszenia ochrony danych osobowych może być mogą być różnego rodzaju,
niepożądane konsekwencje, zwłaszcza powstanie uszczerbku fizycznego czy szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak:
- utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw,
- dyskryminacja,
- kradzież lub sfałszowanie tożsamości,
- strata finansowa,
- nieuprawnione odwrócenie pseudonimizacji,
- naruszenie dobrego imienia,
- naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub
- inne znaczne szkody gospodarcze lub społeczne.
ZAKRES STOSOWANIA POLITYKI
Postanowienia Polityki stosuje się odpowiednio do czynności przetwarzania, dla których Centrum Psychologiczne jest administratorem.
ZASADY PRZETWARZANIA DANYCH
Centrum Psychologiczne przetwarza dane osobowe z poszanowaniem następujących
zasad:
- W oparciu o podstawę prawną i zgodnie z prawem ( legalizm), wskazane w tabeli retencji danych osobowych;
- Rzetelnie i uczciwie ( rzetelność);
- W sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
- W konkretnych celach i nie nadmiernie( minimalizacja);
- Nie więcej niż potrzeba(adekwatność);
- Z dbałością o prawidłowość danych (prawidłowość );
- Nie dłużej niż jest niezbędne( retencja);
- Zapewniając odpowiednie bezpieczeństwo danych:
- Poufność- właściwość informacji zapewniającą, że jest nieujawniona, niedostępna dla nieupoważnionych osób, podmiotów lub procesów - .
- Integralność – zapewnienie dokładności i kompletności aktywów informacyjnych np. ,że nie zostały zmienione lub zniszczone w sposób nieautoryzowany.
- Dostępność – zapewnienie osiągalności i możliwości wykorzystania, gdy jest to niezbędne, w założonym czasie, przez autoryzowany podmiot.
- Rozliczność- działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
- Autentyczność – tożsamość podmiotu lub zasobu jest taka, jak deklarowana ( autentyczność dotyczy użytkowników, procesów i informacji).
- Niezaprzeczalność – brak możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie
- Niezawodność – spójność zamierzonych zachowań i skutków.
OBSŁUGA PRAW JEDNOSTKI
Centrum Psychologiczne spełnia obowiązki informacyjne względem osób, których dane przetwarza oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania, w tym:
- Obowiązki informacyjne – Centrum Psychologiczne przekazuje osobom prawem wymagane informacje przy zbieraniu danych i w innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków ( załącznik nr 1);
- Obsługa żądań – Centrum Psychologiczne zapewnia odpowiedni proces, aby żądania osób były realizowane w terminach i w sposób wymagany RODO i dokumentowane;
- Zawiadomienie o naruszeniach - Centrum Psychologiczne stosuje procedury pozwalające na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowaniem, naruszeniem ochrony danych oraz organ UODO.
- Rejestr stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasada rozłączności.
- Centrum Psychologiczne prowadzi Rejestr Czynności Przetwarzania Danych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
- W rejestrze dla każdej czynności którą administrator uznał za odrębną dla potrzeb Rejestru, odnotowuje co najmniej:
- nazwę czynności,
- cel przetwarzania,
- opis kategorii osób,
- opis kategorii danych,
- podstawę prawną przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu Centrum Psychologiczne, jeśli podstawą jest uzasadniony interes,
- sposób zbierania danych- źródło danych,
- opis kategorii odbiorców danych ( w tym przetwarzających),
- informację o przekazaniu poza EU/EOG,
- ogólny opis technicznych i organizacyjnych środków ochrony danych.
NARUSZENIE OCHRONY DANYCH OSOBOWYCH
- W przypadku stwierdzenia naruszenia ochrony danych osobowych,
- godziny po stwierdzeniu naruszeniu- zgłasza je organowi nadzorczemu, oraz
- Zgłoszenia nie dokonuje się jeśli jest mało prawdopodobne, by naruszenie to
Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin
dołącza się wyjaśnienie przyczyn opóźnienia.
- Zgłoszenie, o którym mowa powyżej musi co najmniej:
- opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
- opisać możliwe konsekwencje naruszenia ochrony danych osobowych;
- opisać środki zastosowane lub proponowane do zastosowania w celu zaradzenia naruszenia danych osobowych, w tym w stosowanych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
- administrator dokumentuje wszelkie zgłoszone zdarzenie oraz stwierdzone naruszenie ochrony danych osobowych, w tym okoliczności tego naruszenia, jego skutki oraz podjęcie decyzji i działania zaradcze. Dokumentacja ta udostępniona jest do wglądu organowi nadzorczemu na jego żądanie( rejestr naruszeń załącznik nr 2).
RETENCJA DANYCH OSOBOWYCH
- Centrum Psychologiczne zapewnia realizację wymogów RODO w odniesieniu do zasady ograniczonego przetwarzania danych osobowych, o której mowa w art. 5 ust. 1 lit. RODO.
- Zgodnie z wymogami dane są przechowywane w formie uniemożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy , niż jest to niezbędne do celów, w których dane te są przetwarzane.
- W sytuacji zakończenia ustalonego czasu retencji danych osobowych Administrator podejmuje działania w zakresie usuwania danych - brakowania dokumentacji papierowej.
COOKIES NA STRONIE INTERNETOWEJ, DANE EKSPLOATACYJNE I ANALITYKA
- Pliki Cookies (ciasteczka) są to niewielkie informacje tekstowe w postaci plików tekstowych, wysyłane przez serwer i zapisywane po stronie osoby odwiedzającej stronę internetową (np. na dysku twardym komputera, laptopa, czy też na karcie pamięci smartfona – w zależności z jakiego urządzenia korzysta odwiedzający naszą Stronę Internetową). Szczegółowe informacje dot. plików Cookies, a także historię ich powstania można znaleźć m.in. tutaj: http://pl.wikipedia.org/wiki/Ciasteczko.
- Administrator może przetwarzać dane zawarte w plikach Cookies podczas korzystania przez odwiedzających ze Strony Internetowej w następujących celach:
- zapamiętywania danych z wypełnianych Formularzy , ankiet lub danych logowania do Strony Internetowej;
- dostosowywania zawartości Strony Internetowej do indywidualnych preferencji osób odwiedzających (np. dotyczących kolorów, rozmiaru czcionki, układu strony) oraz optymalizacji korzystania ze Strony Internetowej;
- prowadzenia anonimowych statystyk przedstawiających sposób korzystania ze Strony Internetowej.
- Standardowo większość przeglądarek internetowych dostępnych na rynku domyślnie akceptuje zapisywanie plików Cookies. Każdy ma możliwość określenia warunków korzystania z plików Cookies za pomocą ustawień własnej przeglądarki internetowej. Oznacza to, że można np. częściowo ograniczyć (np. czasowo) lub całkowicie wyłączyć możliwość zapisywania plików Cookies – w tym ostatnim wypadku jednak może to mieć wpływ na niektóre funkcjonalności Strony Internetowej.
- Ustawienia przeglądarki internetowej w zakresie plików Cookies są istotne z punktu widzenia zgody na korzystanie z plików Cookies przez naszą Stronę Internetową – zgodnie z przepisami taka zgoda może być również wyrażona poprzez ustawienia przeglądarki internetowej. W braku wyrażenia takiej zgody należy odpowiednio zmienić ustawienia przeglądarki internetowej w zakresie plików Cookies.
- Szczegółowe informacje na temat zmiany ustawień dotyczących plików Cookies oraz ich samodzielnego usuwania w najpopularniejszych przeglądarkach internetowych dostępne są w dziale pomocy przeglądarki internetowej.
- Administrator może korzystać na Stronie Internetowej z usług Google Analytics, Universal Analytics dostarczanych przez firmę Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA), z usługi Piksel Facebooka dostarczanej przez firmę Facebook Ireland Limited (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irlandia) oraz z usługi Heatmap dostarczanej przez firmę HeatMap, Inc. Usługi te pomagają Administratorowi analizować ruch na stronie internetowej. Gromadzone dane przetwarzane są w ramach powyższych usług w sposób zanonimizowany (są to tzw. dane eksploatacyjne, które uniemożliwiają identyfikację osoby) do generowania statystyk pomocnych w administrowaniu na Stronie Internetowej. Dane te mają charakter zbiorczy i anonimowy, tj. nie zawierają cech identyfikujących (danych osobowych) osoby odwiedzające Stronę Internetową. Administrator korzystając z powyższych usług na Stronie Interetowej gromadzi takie dane jak źródła i medium pozyskania odwiedzających Stronę Internetową oraz sposób ich zachowania na Stronie, informacje na temat urządzeń i przeglądarek z których odwiedzają stronę, IP oraz domenę, dane geograficzne oraz dane demograficzne (wiek, płeć) i zainteresowania.
- Możliwe jest zablokowanie w łatwy sposób przez daną osobę udostępniania Google Analytics informacji o jej aktywności na Stronie Internetowej - w tym celu można zainstalować dodatek do przeglądarki udostępniany przez firmę Google Inc. dostępny tutaj: https://tools.google.com/dlpage/gaoptout?hl=pl
Całość dokumentacji dotyczącej informacji w tym danych osobowych znajduje się w teczce w zamykanej szafie w gabinecie psychologa.