Polityka Ochrony Danych

KRAKOWSKIE CENTRUM FIZJOTERAPII I OSTEOPATII OSTEOHELP

1. Wprowadzenie

1.1.       Cel dokumentu: Niniejsza Polityka Ochrony Danych określa zasady i procedury przetwarzania danych osobowych w Krakowskim Centrum Fizjoterapii i Osteopatii Osteohelp, zgodnie z Rozporządzeniem o Ochronie Danych Osobowych (RODO).

1.2.       Zakres stosowania: Polityka ma zastosowanie do wszystkich pracowników, współpracowników i podwykonawców Krakowskiego Centrum Fizjoterapii i Osteopatii Osteohelp, którzy mają dostęp do danych osobowych.

1.3.       Definicje:

  1. Dane osobowe: wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  2. Przetwarzanie: operacja lub zestaw operacji wykonywanych na danych osobowych.

1.4.       Administrator danych: 3xZ Spółka z o.o., adres: ul. Bolesława Limanowskiego 15 / U1, 30-551 Kraków.

2. Zasady przetwarzania danych osobowych

2.1.       Legalność, rzetelność i przejrzystość: Przetwarzamy dane osobowe zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

2.2.       Ograniczenie celu: Zbieramy dane osobowe wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach.

2.3.       Minimalizacja danych: Ograniczamy zakres przetwarzanych danych do niezbędnego minimum.

2.4.       Prawidłowość: Dbamy o aktualność i poprawność przetwarzanych danych osobowych.

2.5.       Ograniczenie przechowywania: Przechowujemy dane osobowe przez okres nie dłuższy, niż jest to niezbędne.

2.6.       Integralność i poufność: Zapewniamy odpowiednie bezpieczeństwo danych osobowych.

2.7.       Rozliczalność: Jesteśmy w stanie wykazać przestrzeganie powyższych zasad.

3. Cele i podstawy prawne przetwarzania

3.1.       świadczenie usług zdrowotnych – Podstawa prawna: Art. 9 ust. 2 lit. h RODO

3.2.       Marketing produktów i usług – Podstawa prawna: Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora)

3.3.       Rekrutacja pracowników – Podstawa prawna: Art. 6 ust. 1 lit. b RODO (podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy)

3.3.       Realizacja umów z klientami – Podstawa prawna: Art. 6 ust. 1 lit. b RODO

4. Zakres przetwarzanych danych

4.1.       Dane identyfikacyjne: imię, nazwisko, PESEL

4.2.       Dane kontaktowe: adres e-mail, numer telefonu, adres korespondencyjny

4.3.       Dane dotyczące zatrudnienia: stanowisko, staż pracy, wykształcenie

5. Obowiązki pracowników

5.1.       Zapoznanie się i przestrzeganie niniejszej Polityki

5.2.       Uczestnictwo w szkoleniach z zakresu ochrony danych organizowanych przez firmę co najmniej raz w roku

5.3.      Zgłaszanie incydentów związanych z bezpieczeństwem danych do Inspektora Ochrony Danych niezwłocznie po ich wykryciu

5.4.       Stosowanie zasady „czystego biurka” i „czystego ekranu”:

  1. Blokowanie komputera przy każdorazowym odejściu od stanowiska pracy
  2. Niepozostawianie dokumentów zawierających dane osobowe na biurku po zakończeniu pracy
  3. Przechowywanie dokumentów w zamykanych szafkach

6. Prawa osób, których dane dotyczą

6.1.       Prawo dostępu do danych

6.2.       Prawo do sprostowania danych

6.3.       Prawo do usunięcia danych

6.4.       Prawo do ograniczenia przetwarzania

6.5.       Prawo do przenoszenia danych

6.6.       Prawo do sprzeciwu

6.7.       Procedura realizacji praw osób, których dane dotyczą:

  1. Przyjęcie wniosku (ustnego lub pisemnego) od osoby, której dane dotyczą
  2. Weryfikacja tożsamości wnioskodawcy
  3. Realizacja prawa lub odmowa z uzasadnieniem (w ciągu miesiąca od otrzymania żądania)
  4. Dokumentacja podjętych działań

7. Środki bezpieczeństwa

7.1.      Środki techniczne:

  1. Szyfrowanie danych przesyłanych drogą elektroniczną
  2. Systemy firewall i antywirus na wszystkich urządzeniach firmowych
  3. Kontrola dostępu do systemów IT poprzez indywidualne loginy i hasła
  4. Szafki i sejf zamykane na klucz

7.2.   Środki organizacyjne:

  1. Regularne szkolenia pracowników z zakresu ochrony danych
  2. Procedura nadawania i odbierania uprawnień do systemów IT
  3. Zasady korzystania z urządzeń poza placówką

8. Procedury w przypadku naruszenia ochrony danych

8.1.       Identyfikacja naruszenia: Każdy pracownik, który zauważy potencjalne naruszenie, jest zobowiązany do niezwłocznego zgłoszenia tego faktu do Inspektora Ochrony Danych.

8.2.       Zgłaszanie naruszenia wewnątrz organizacji: IOD informuje zarząd firmy o naruszeniu w ciągu 24 godzin od jego wykrycia.

8.3.       Ocena ryzyka naruszenia: IOD wraz z zespołem IT oceniają skalę naruszenia i potencjalne skutki dla osób, których dane dotyczą.

8.4.       Zgłaszanie naruszenia do organu nadzorczego: W przypadku stwierdzenia ryzyka naruszenia praw i wolności osób fizycznych, IOD zgłasza naruszenie do UODO w ciągu 72 godzin od jego wykrycia.

8.5.       Zawiadamianie osób, których dane dotyczą: Jeśli naruszenie może powodować wysokie ryzyko dla praw i wolności osób fizycznych, firma bez zbędnej zwłoki zawiadamia o tym osoby, których dane dotyczą.

8.6.   Dokumentowanie naruszeń: IOD prowadzi rejestr wszystkich naruszeń, zawierający opis naruszenia, jego skutki oraz podjęte działania zaradcze.

9. Przekazywanie danych osobowych

9.1.       Administrator danych nie przekazuje danych osobowych do Państwa trzeciego lub organizacji międzynarodowej.

9.2.       Umowy powierzenia przetwarzania danych: Zawierane ze wszystkimi podmiotami przetwarzającymi dane w imieniu 3xZ Spółka z o.o. (np. dostawcy usług chmurowych).

9.4.       Rejestrowanie dokumentacji medycznej: Dokumentacja medyczna jest rejestrowana w systemach informatycznych prowadzonych przez Krajową Izbę Fizjoterapeutów lub inne podmioty uprawnione zgodnie z obowiązującymi przepisami prawa. Rejestracja odbywa się zgodnie z zasadami ochrony danych osobowych oraz standardami bezpieczeństwa wymaganymi dla przetwarzania dokumentacji medycznej.

10. Rejestr czynności przetwarzania

10.1.       Prowadzenie rejestru: IOD jest odpowiedzialny za prowadzenie i aktualizację rejestru czynności przetwarzania.

10.2.       Zawartość rejestru:

  1. Nazwa czynności przetwarzania
  2. Cel przetwarzania
  3. Kategorie osób i danych osobowych
  4. Kategorie odbiorców
  5. Informacje o przekazywaniu danych do państw trzecich
  6. Planowane terminy usunięcia danych
  7. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa

10.3.       Aktualizacja rejestru: Rejestr jest aktualizowany przy każdej zmianie w procesach przetwarzania danych, nie rzadziej niż raz na kwartał.

11. Ocena skutków dla ochrony danych (DPIA)

11.1.       DPIA przeprowadza się w przypadku:

  1. Przetwarzania szczególnych kategorii danych osobowych (gromadzenie dokumentacji medycznej)

11.2.       Procedura przeprowadzania DPIA:

  1. Opis planowanych operacji przetwarzania
  2. Ocena niezbędności i proporcjonalności przetwarzania
  3. Ocena ryzyka dla praw i wolności osób, których dane dotyczą
  4. Środki planowane w celu zaradzenia ryzyku

11.3.       Konsultacje z organem nadzorczym: W przypadku wysokiego ryzyka, którego nie można zminimalizować, firma konsultuje się z UODO przed rozpoczęciem przetwarzania.

12. Inspektor Ochrony Danych (IOD)

12.1.       Dane kontaktowe IOD: Tomasz Okopień, [email protected], tel. 884 055 955

12.2.       Zadania i obowiązki IOD:

  1. Informowanie i doradzanie w zakresie ochrony danych
  2. Monitorowanie przestrzegania RODO i polityk ochrony danych
  3. Szkolenie personelu
  4. Przeprowadzanie audytów
  5. Współpraca z organem nadzorczym

12.3.   Niezależność IOD: IOD podlega bezpośrednio zarządowi i nie może być karany ani odwoływany za wykonywanie swoich zadań.

13. Audyty i szkolenia

13.1.      Audyty:

  1. Częstotliwość: raz w roku
  2. Zakres: zgodność z RODO i niniejszą polityką
  3. Osoby odpowiedzialne: IOD lub zewnętrzny audytor
  4. Raportowanie: wyniki przedstawiane zarządowi w ciągu 2 tygodni od zakończenia audytu
  5. Harmonogram: szkolenie wstępne dla nowych pracowników, coroczne szkolenie przypominające
  6. Tematyka: podstawy RODO, polityka ochrony danych firmy, procedury bezpieczeństwa
  7. Formy: e-learning, warsztaty stacjonarne
  8. Weryfikacja wiedzy: test po każdym szkoleniu

13.3.   Ewaluacja i aktualizacja programów szkoleniowych: Coroczny przegląd i aktualizacja materiałów szkoleniowych przez IOD.

14. Zarządzanie dokumentacją

14.1.   Przechowywanie dokumentacji: W zabezpieczonym archiwum fizycznym i elektronicznym.

14.2.       Okresy retencji:

  1. Dokumenty kadrowe: 10 lat od zakończenia zatrudnienia
  2. Dokumenty księgowe: 5 lat od końca roku obrotowego
  3. Dokumentacja medyczna: 20 lat – licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu w dokumentacji
  4. Umowy: 3 lata od wygaśnięcia lub rozwiązania

14.3.       Bezpieczne niszczenie dokumentów: Przy użyciu niszczarki lub specjalistycznej firmy zajmującej się niszczeniem dokumentów.

15. Aktualizacja polityki

15.1.       Okresowy przegląd polityki: Raz w roku lub częściej w przypadku istotnych zmian w przepisach lub działalności firmy.

15.2.       Procedura wprowadzania zmian:

  1. Propozycja zmian przygotowana przez IOD
  2. Konsultacje z zarządem i działem prawnym
  3. Zatwierdzenie zmian przez zarząd
  4. Publikacja nowej wersji polityki

15.3.  Informowanie pracowników o zmianach: Poprzez e-mail oraz podczas najbliższego szkolenia z zakresu ochrony danych.

Data ostatniej aktualizacji: 19/01/2025

KLAUZULA INFORMACYJNA RODO
STANDARDY OCHRONY MAŁOLETNICH
Umów wizytę u specjalisty
Sprawdź dostępne terminy i wybierz najbardziej dogodny dla Ciebie!
Umów wizytę
Osteohelp - Krakowskie Centrum Fizjoterapii i Rehabilitacji

Centrum Fizjoterapii i Osteopatii

ul. Limanowskiego 15,

30-551 Kraków

Wirtualny spacer
+48 884 055 955 E-mail Rejestracja online Klauzula informacyjna RODO Standardy Ochrony Małoletnich
Oferty pracy Regulamin Polityka Prywatności Podmit Leczniczy
Pamiętaj, że informacje zawarte na tej stronie nie są poradą medyczną i nie mogą zastąpić konsultacji z lekarzem lub fizjoterapeutą. Zawsze należy skonsultować się z lekarzem w przypadku jakichkolwiek wątpliwości dotyczących stanu zdrowia. Treści zawarte na tej stronie mają wyłącznie charakter informacyjny i nie stanowią fachowej porady ani oferty.

© 2025 Prywatne Centrum Rehabilitacji Kraków I Fizjoterapia I Osteopatia I Tlenoterapia