Polityka prywatności

POLITYKA PRYWATNOŚCI

Prywatny Gabinet Stomatologiczny Izabela Matusz

 

Administrator Danych Osobowych: Prywatny Gabinet Stomatologiczny Izabela Matusz, ul. Kolista 27 lok. 2, 40-486 Katowice, NIP: 6341119509, REGON: 272718927

Kontakt: tel. 601 420 327, e-mail: izuni@op.pl, strona internetowa: http://matusz.katowice.pl

1. Przetwarzanie danych

Administrator przetwarza dane osobowe pacjentów zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) oraz przepisami krajowymi dotyczącymi ochrony danych osobowych, w szczególności Ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta.

Zasada Minimalizacji Danych

Administrator przetwarza tylko te dane, które są niezbędne do realizacji określonych celów. Oznacza to, że dane są adekwatne, stosowne oraz ograniczone do tego, co niezbędne w celach, w których są przetwarzane.

2. Cele i Podstawy Przetwarzania

Cel przetwarzania

Kategoria danych

Podstawa prawna (RODO)

Podstawa prawna (prawo krajowe)

Świadczenie usług medycznych (leczenie, diagnostyka, prowadzenie dokumentacji medycznej)

Dane zwykłe: identyfikacyjne, kontaktowe. Dane wrażliwe: dane o stanie zdrowia, informacje z wywiadów medycznych, wyniki badań.

Art. 9 ust. 2 lit. h (przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego).

Art. 24 i 25 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz Rozporządzenie Ministra Zdrowia w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej.

Realizacja umowy o świadczenie usług zdrowotnych

Dane identyfikacyjne i kontaktowe.

Art. 6 ust. 1 lit. b (przetwarzanie jest niezbędne do wykonania umowy).

Realizacja obowiązków prawnych (rozliczenia, podatki, księgowość)

Dane identyfikacyjne, dane rozliczeniowe, dane dotyczące usług.

Art. 6 ust. 1 lit. c (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, np. ustawy o rachunkowości, ordynacji podatkowej).

Ustawa o rachunkowości, przepisy podatkowe.

Kontaktowanie się z pacjentem (potwierdzanie wizyt, umawianie kolejnych terminów, odwoływanie wizyt)

Dane kontaktowe (numer telefonu, e-mail).

Art. 6 ust. 1 lit. f (prawnie uzasadniony interes Administratora – efektywne zarządzanie czasem i harmonogramem pracy gabinetu, minimalizacja strat wynikających z nieodwołanych wizyt).

Obrona i dochodzenie roszczeń związanych z prowadzoną działalnością

Wszystkie dane przetwarzane w ramach udzielania świadczeń.

Art. 6 ust. 1 lit. f (prawnie uzasadniony interes Administratora – ustalenie, dochodzenie lub obrona roszczeń).

Monitoring wizyjny

Wizerunek (nagrania).

Art. 6 ust. 1 lit. f (prawnie uzasadniony interes Administratora – ochrona mienia i zapewnienie bezpieczeństwa osób).

Przepisy Kodeksu Pracy (dla pracowników), Art. 222 Kodeksu Cywilnego (dla mienia)

3. Przekazywanie danych podmiotom trzecim (Odbiorcy Danych)

Dane osobowe pacjentów mogą być przekazywane następującym kategoriom podmiotów:

  1. Podmioty przetwarzające (Procesorzy): Dostawcy usług IT i systemów informatycznych służących do prowadzenia elektronicznej dokumentacji medycznej (na podstawie umowy powierzenia przetwarzania danych), podmioty świadczące usługi księgowe i prawne.
  2. Inne podmioty lecznicze: W celu zapewnienia ciągłości leczenia lub diagnostyki (na wniosek pacjenta lub jego upoważnienia).
  3. Organy uprawnione: Na podstawie obowiązujących przepisów prawa (np. ZUS, Urząd Skarbowy, sądy, prokuratura, Rzecznik Praw Pacjenta, organy kontrolne).

4. Okres przechowywania danych

Dane osobowe są przechowywane przez okres niezbędny do realizacji celów przetwarzania, a w szczególności:

  1. Dokumentacja Medyczna: Przez okres co najmniej 20 lat od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, z wyjątkiem:
    • dokumentacji w przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia – 30 lat,
    • zdjęć rentgenowskich – 10 lat,
    • skierowań na badania lub do specjalisty – 5 lat (od końca roku kalendarzowego).
  2. Dane do celów rozliczeniowych i podatkowych: Przez okres 5 lat liczony od końca roku kalendarzowego, w którym upłynął termin płatności podatku.
  3. Dane do celów obrony roszczeń: Przez okres przedawnienia roszczeń wynikających z prawa cywilnego. Po upływie okresu retencji dane podlegają zniszczeniu w sposób uniemożliwiający ich odtworzenie.

5. Prawa pacjentów (Podmiotów Danych)

Każdy pacjent ma prawo do:

  1. Dostępu do danych (art. 15 RODO): Uzyskania informacji o przetwarzanych danych oraz otrzymania ich kopii.
  2. Sprostowania danych (art. 16 RODO): Żądania niezwłocznego poprawienia nieprawidłowych danych oraz uzupełnienia niekompletnych.
  3. Usunięcia danych („prawo do bycia zapomnianym”) (art. 17 RODO): Żądania usunięcia danych, o ile ich przetwarzanie nie jest niezbędne do celów związanych z leczeniem (np. prawny obowiązek prowadzenia dokumentacji medycznej).
  4. Ograniczenia przetwarzania (art. 18 RODO): Ograniczenia przetwarzania danych, co oznacza, że mogą być one wyłącznie przechowywane.
  5. Przeniesienia danych (art. 20 RODO): Przeniesienia danych przetwarzanych na podstawie zgody i w sposób zautomatyzowany do innego administratora.
  6. Wniesienia sprzeciwu (art. 21 RODO): Sprzeciwu wobec przetwarzania danych opartego na prawnie uzasadnionym interesie Administratora (art. 6 ust. 1 lit. f RODO).
  7. Wniesienia skargi do organu nadzorczego: Prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa), jeżeli przetwarzanie danych narusza przepisy RODO.

6. Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne mające na celu ochronę danych osobowych przed:

  1. Środki techniczne:
    • Szyfrowanie danych w systemie elektronicznej dokumentacji medycznej.
    • Stosowanie silnych haseł dostępu.
    • Zabezpieczenie sieci informatycznej (firewall, antywirus).
    • Regularne tworzenie zaszyfrowanych kopii zapasowych.
  2. Środki organizacyjne:
    • Udzielanie imiennych upoważnień do przetwarzania danych wyłącznie uprawnionym pracownikom.
    • Szkolenie personelu z zakresu RODO i tajemnicy medycznej.
    • Kontrola dostępu do pomieszczeń, w których przetwarzane są dane.

7. Procedury związane z przetwarzaniem

Administrator prowadzi wymaganą prawem dokumentację wewnętrzną:

  1. Rejestr Czynności Przetwarzania (RCP): Dokument wewnętrzny opisujący kategorie przetwarzanych danych, cele, podstawy prawne i kategorie odbiorców.
  2. Rejestr Naruszeń Ochrony Danych Osobowych: Dokument służący do ewidencjonowania wszelkich incydentów związanych z bezpieczeństwem danych.
  3. Procedura postępowania w przypadku naruszenia: W przypadku stwierdzenia naruszenia ochrony danych osobowych, Administrator podejmuje działania określone w procedurze: dokonuje oceny ryzyka, a w razie konieczności, zgłasza naruszenie do Prezesa UODO (w ciągu 72 godzin) oraz informuje osoby, których dane dotyczą.

8. Dane osób małoletnich

W przypadku pacjentów, którzy nie ukończyli 18 lat lub są całkowicie ubezwłasnowolnieni, Administrator przetwarza dodatkowo dane ich przedstawiciela ustawowego (rodzica/opiekuna), w tym: imię i nazwisko, adres zamieszkania/korespondencyjny oraz numer telefonu/e-mail (w celu kontaktu i uzyskania prawnie wymaganej zgody na leczenie). Podstawą prawną jest Art. 6 ust. 1 lit. c RODO w związku z przepisami prawa medycznego dotyczącymi wyrażania zgody na świadczenia zdrowotne.

9. Informacja o monitoringu wizyjnym

Informujemy, że teren Gabinetu jest objęty systemem monitoringu wizyjnego. Nagrania są przetwarzane w celu ochrony mienia i zapewnienia bezpieczeństwa personelu oraz pacjentów, na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO). Nagrania są przechowywane przez okres nie dłuższy niż 30 dni. Osobom nagranym przysługują prawa wynikające z RODO, z ograniczeniem prawa dostępu do wizerunku osób trzecich. Pełna informacja o monitoringu jest dostępna w Recepcji.

Data wprowadzenia Polityki Prywatności: 15.10.2025  Podpis Administratora Danych Osobowych: Izabela Matusz