W CM5 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ
z siedzibą w Lublinie

1. PODSTAWA PRAWNA POLITYKI
§ 1.

Polityka została opracowana w oparciu i przy uwzględnieniu następujących przepisów:
1) rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.). (dalej jako: RODO).,
2) ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781),
3) ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (t.j. Dz. U. z 2021 r. poz. 666 z późn. zm.),
4) ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzecznik Praw Pacjenta (t.j. Dz. U. z 2020 r. poz. 849 z późn. zm.),
5) rozporządzenie Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. poz. 666 z późn. zm.),
6) ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej (t.j. Dz. U. z 2021 r. poz. 711 z późn. zm.),
7) ustawa z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (t.j. Dz. U. z 2021 r. poz. 790 z późn. zm.),

2. DEFINICJE
§ 2.

Użyte w niniejszym dokumencie określenia oznaczają:
1) RODO- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).,
2) Polityka- niniejsza Polityka ochrony danych osobowych, o ile co innego nie wynika wyraźnie z kontekstu;
3) Administrator – CM5 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ z siedzibą w Lublinie;
4) Centrum Medyczne- CM5 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ z siedzibą w Lublinie;
5) Dane- dane osobowe, o ile co innego nie wynika wyraźnie z kontekstu;
6) Dane osobowe - informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
7) Dane dotyczące zdrowia - dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej - w tym o korzystaniu z usług opieki zdrowotnej - ujawniające informacje o stanie jej zdrowia; do danych o stanie zdrowia należą także informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, takie jak w szczególności: numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych;
8) Dane szczególnych kategorii- dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej;
9) Cele zdrowotne:
a) profilaktyka zdrowotna - w szczególności informowanie pacjentów o możliwości pobierania świadczeń zdrowotnych, przekazywanie materiałów edukacyjnych,
b) diagnoza medyczna oraz leczenie - w szczególności udzielanie świadczeń zdrowotnych oraz prowadzenie dokumentacji medycznej,
c) zapewnienie opieki zdrowotnej oraz zarządzanie systemami opieki zdrowotnej - w szczególności rejestracja pacjenta do usług Administratora, odbieranie oraz archiwizacja oświadczeń pacjentów wynikających z realizacji ich praw pacjenta, wykorzystywanie i utrzymywanie infrastruktury informatycznej służącej wspieraniu procesu leczenia, rozliczanie udzielonych świadczeń, wymiana danych osobowych pacjenta z innym podmiotem leczniczym w ramach zachowania ciągłości leczenia. 
10) Osoba- osoba, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu;
11) Odbiorca - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią; nie są odbiorcami organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego;
12) Podmiot przetwarzający - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora (np. usługodawca IT, zewnętrzna księgowość);
13) Przetwarzanie - operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taki jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
14) Profilowanie- dowolna formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
15) naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
16) ADO- Administrator Danych Osobowych;

3. CEL POLITYKI
§ 3.

1. Polityka ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w CM5 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ z siedzibą w Lublinie (dalej jako: Centrum Medyczne).
2. Celem Polityki jest ochrona danych osobowych przetwarzanych w związku z prowadzoną działalnością leczniczą, w szczególności ochrona przed ich udostępnieniem osobom nieuprawnionym, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed ich nieuprawnionymi zmianami, uszkodzeniem lub zniszczeniem.
3. Polityka stanowi środek o charakterze organizacyjnym, pozwalający na wykazanie zgodności przetwarzania danych osobowych z RODO.

4. FILARY I ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
§ 4.

Filarami ochrony danych osobowych w Centrum Medycznym są:
1) Legalność – Centrum Medyczne dba o ochronę prywatności i przetwarza dane zgodnie z prawem;
2) Bezpieczeństwo – Centrum Medyczne zapewnia odpowiedni poziom bezpieczeństwa danych, podejmując stale działania w tym zakresie;
3) Prawa jednostki – Centrum Medyczne umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje.
4) Rozliczalność – Centrum Medyczne dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili moc wykazać zgodność.


§ 5.

Centrum Medyczne przetwarza dane osobowe:
1) w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
2) rzetelnie i uczciwie (rzetelność);
3) w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
4) w konkretnych celach i nie „na zapas” (minimalizacja);
5) nie więcej niż potrzeba (adekwatność);
6) z dbałością o prawidłowość danych (prawidłowość);
7) nie dłużej niż potrzeba (czasowość);
8) zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).

§ 6.

1. Centrum Medyczne jako podmiot leczniczy przetwarza dane osobowe w celach zdrowotnych na podstawie art. 9 ust. 2 lit. h Rozporządzenia.
2. W zakresie wykraczającym poza cele zdrowotne Centrum Medyczne przetwarza dane na podstawie:
1) art. 6 ust. 1 lit. a) RODO) - zgody pacjenta
2) art. 6 ust. 1 lit. f) RODO - prawnie uzasadnionego interesu administratora w celu dochodzenia roszczeń i obrony przed roszczeniami,
3) art. 6 ust. 1 lit. b) RODO to jest dla zawarcia umowy i jej realizacji.
3. Zgoda, o której mowa w ust. 2 pkt 1 jest dobrowolna i jej wyrażenie jest świadomym działaniem pacjenta. Nieudzielenie zgody nie powoduje dla pacjenta żadnych negatywnych konsekwencji, w szczególności nie skutkuje odmową udzielenia świadczenia zdrowotnego ani nie warunkuje udzielenia tego świadczenia.

§ 7.

1. Centrum Medyczne wypełnia obowiązek informacyjny, wobec osób, których dane są przetwarzane zgodnie z art. 12-14 RODO, wzór „Klauzuli Informacyjnej” stanowi załącznik nr 1 do Polityki.
2. Obowiązek informacyjny wobec pacjentów jest wykonywany poprzez umieszczenie na tablicy informacyjnej przy okienku rejestracyjnym, w poczekalni oraz na stronie internetowej stosownych informacji.

5. REJESTR PRZETWARZANIA
§ 8.

1. Administrator prowadzi rejestr czynności przetwarzania. Rejestr ten prowadzony jest w formie elektronicznej lub papierowej.
2. Rejestr czynności przetwarzania administratora zawiera:
1) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także przedstawiciela administratora oraz inspektora ochrony danych (jeżeli dotyczy);
2) określenie celu przetwarzania;
3) opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
4) opis kategorii odbiorców, który dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach poza Unią Europejską lub w organizacjach międzynarodowych;
5) jeżeli dane przekazywane są do państw poza Unię Europejską lub do organizacji międzynarodowych - nazwę tego państwa lub organizacji oraz dokumentację odpowiednich zabezpieczeń;
6) planowane terminy usunięcia poszczególnych kategorii danych (jeżeli możliwe jest ich wskazanie);
7) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
3. Rejestr czynności przetwarzania jest na bieżąco aktualizowany i udostępniany przez administratora na każde żądanie Urzędu Ochrony Danych Osobowych.
4. „Wzór Rejestru czynności przetwarzania” stanowi załącznik nr 2 do Polityki.


6. OCHRONA DANYCH OSOBOWYCH
§ 9.

1. Centrum Medyczne stosuje środki techniczne oraz organizacyjne w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych, z uwzględnieniem stanu wiedzy technicznej, kosztu wdrożenia, charakteru, zakresu, kontekstu i celu przetwarzania, ryzyka naruszenia praw lub wolności o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. W szczególności Centrum Medyczne stosuje w tym celu:
1) pseudonimizację oraz szyfrowanie danych;
2) środki zapewniające poufność, integralność, dostępność danych oraz odporność systemów i usług przetwarzania;
3) środki zapewniające szybkie przywrócenie dostępności danych osobowych i dostęp do nich w razie incydentu fizycznego lub technicznego;
4) regularne testowanie, mierzenie i ocenę skuteczności tych środków.
2. Do elementów zabezpieczenia danych osobowych przez Centrum Medyczne zalicza się:
1) stosowane metody ochrony pomieszczeń, w których przetwarzane są dane osobowe (zabezpieczenia fizyczne),
2) odpowiednie środki zabezpieczenia danych w systemach informatycznych (zabezpieczenia techniczne),
3) nadzór administratora danych nad wprowadzonymi zasadami i procedurami zabezpieczenia danych (zabezpieczenie organizacyjne),
4) bezpieczeństwo osobowe.


§ 10.

Zabezpieczenia fizyczne stosowane przez Centrum Medyczne obejmują:
1) wydzielenie obszaru przetwarzania danych, obszar przetwarzania danych osobowych przez Centrum Medyczne został określony w „Wykazie budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe“ stanowiące załącznik” nr 3 do Polityki,
2) dostęp do pomieszczeń, w których przetwarzane są dane osobowe objęty jest systemem kontroli dostępu,
3) samodzielny dostęp do pomieszczeń jest możliwy wyłącznie dla osób upoważnionych, wstęp osób postronnych jest możliwy jedynie podczas obecności osób upoważnionych,
4) przechowywanie akt w wersji papierowej w specjalnie do tego celu przeznaczonych pomieszczeniach, w zamykanych na klucz szafach.

§ 11.

Zabezpieczenia techniczne stosowane przez Centrum Medyczne obejmują:
1) spełnianie przez systemy informatyczne wykorzystywane do przetwarzania danych osobowych wymagań określonych w RODO,
2) obowiązywanie w systemach informatycznych w Centrum Medycznym zabezpieczeń na poziomie wysokim, 
3) zastosowanie mechanizmów kontroli dostępu do systemów informatycznych i ich zasobów; udzielanie różnych uprawnień dostępu dla różnych grup użytkowników,
4) stosowanie odpowiednich i regularnie aktualizowanych narzędzi ochronnych, w tym oprogramowania antywirusowego, które jest regularnie aktualizowane,
5) ochronę systemu informatycznego służącego do przetwarzania danych osobowych przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych i logicznych zabezpieczeń przed nieuprawnionym dostępem,
6) regularnie tworzenie kopii zapasowych zbiorów danych przetwarzanych w systemach informatycznych oraz kopie programów służących do przetwarzania danych osobowych,
7) zabezpieczenie systemu przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.

§ 12.

Zabezpieczenia organizacyjne stosowane przez Centrum Medyczne obejmują:
1) prowadzenie regularnych szkoleń personelu posiadającego dostęp do danych, każdy pracownik/współpracownik, przed przystąpieniem do pracy na zbiorach danych osobowych musi zostać przeszkolony w zakresie przepisów związanych z ochroną danych osobowych, szkolenia przeprowadzane są w miarę potrzeb, nie rzadziej jednak niż raz na 12 miesięcy.
2) dopuszczanie do przetwarzania danych osobowych jedynie osób upoważnionych przez Administratora, które złożyły oświadczenie o zachowaniu danych oraz sposobu ich zabezpieczeń w poufności, wzór „Upoważnienia do przetwarzania danych osobowych” stanowi załącznik nr 4 do Polityki, Administrator prowadzi „Rejestr osób upoważnionych” zgodnie we wzorem stanowiącym załącznik nr 5 do Polityki,
3) stosowanie klauzul o zachowaniu poufności danych osobowych w umowach o pracę oraz w umowach ze zleceniobiorcami, z którymi związane jest przetwarzanie danych osobowych,
4) obowiązek raportowania przez personel do Administratora wszelkich naruszeń (incydentów), zauważonych podatności i innych słabych punktów oraz przypadków błędnego działania sprzętu i oprogramowania.

§ 13.

Zabezpieczenia osobowe stosowane w Centrum Medycznym obejmują:
1)zobowiązanie personelu Administratora do:
a) zapoznania się oraz stosowania przepisów prawa w zakresie ochrony danych osobowych, w tym Rozporządzenia;
b) ochrony przetwarzanych danych osobowych przed nieuprawnionym dostępem do tych danych, ich nieuzasadnioną modyfikacją lub zniszczeniem;
c) niszczenia w bezpieczny sposób wszelkich nośników zawierających dane osobowe (w formie papierowej jak i elektronicznej);
d) korzystania z zasobów informatycznych oraz sprzętu w sposób zgodny z ich przeznaczeniem i w sposób bezpieczny, m.in. poprzez okresową zmianę haseł, zachowanie poufności loginów i haseł oraz niepozostawianie sprzętu bez nadzoru;
e) niezwłocznego informowania przełożonych o zaobserwowanych nieprawidłowościach, które mogą mieć wpływ na bezpieczeństwo przetwarzanych danych osobowych;
f) przechowywania dokumentacji zawierającej dane osobowe w przeznaczonych do tego miejscach, z ograniczonym dostępem osób trzecich, zwłaszcza dokumentacji medycznej pacjentów;
g) niepozostawiania stanowisk recepcyjnych/punktów rejestracji pacjenta bez nadzoru.

§ 14.

1. Administrator opracował i wdrożył procedury postępowania w przypadku naruszeń lub podejrzeń naruszeń ochrony danych osobowych.
2. Centrum Medyczne prowadzi „Rejestr naruszeń ochrony danych osobowych”., którego wzór stanowi załącznik nr 6 do Polityki oraz dokumentuje wszystkie okoliczności związane z naruszeniami.
3. W przypadku naruszeń ochrony danych osobowych mogących skutkować naruszeniem praw lub wolności pacjenta, Administrator dokonuje zgłoszenia takiego naruszenia Urzędowi Ochrony Danych Osobowych w terminie 72 godzin od stwierdzenia naruszenia.
4. W przypadku, jeżeli naruszenie skutkowałoby wysokim ryzykiem naruszenia praw i wolności osoby, której dane dotyczą, Administrator bez zbędnej zwłoki zawiadamia również tą osobę i informuje ją jasnym i prostym językiem o okolicznościach naruszenia oraz podjętych środkach mających na celu zapobieżenie jego negatywnym skutkom.

7. OCENA SKUTKÓW DLA OCHRONY DANYCH
§ 15.

1. Administrator dokonuje oceny skutków dla ochrony danych i dokumentuje fakt dokonania tej oceny. 
2. Wykonanie oceny skutków dla ochrony danych jest konieczne, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw i wolności pacjentów. Dla podobnych operacji przetwarzania wiążących się z podobnym wysokim ryzykiem ocena skutków dla ochrony danych wykonywana jest pojedynczo.
3. Wykonanie oceny skutków dla ochrony danych osobowych wymaga w szczególności:
1) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie wykorzystującego elementy rozpoznawania cech lub właściwości obiektów znajdujących się w monitorowanej przestrzeni, z użyciem danych pacjentów, prowadzonego przez szpital, podmiot prowadzący badania kliniczne lub pobierający materiał genetyczny do badań;
2) przetwarzania na dużą skalę informacji o stanie zdrowia, w szczególności dokonywane przez szpital lub placówkę medyczną.
4. Administrator monitoruje wykaz rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych opublikowany przez Urząd Ochrony Danych Osobowych i dokonuje oceny skutków czynności przetwarzania wskazanych w tym wykazie jako rekomendowanych do poddania tej ocenie.
5. Ocena skutków dla ochrony danych osobowych zawiera co najmniej:
1) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
2) ocenę czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celu, w jakim dane zostały pozyskane;
3) ocenę ryzyka naruszenia praw i wolności pacjentów;
4) środki planowane w celu mitygacji ryzyka, w tym zabezpieczenia, środki i mechanizmy bezpieczeństwa zapewniające ochronę danych oraz wykazanie przestrzegania przepisów Rozporządzenia.
6. Administrator dokonuje bieżącego przeglądu czynności przetwarzania, celem weryfikacji, czy przetwarzanie to odbywa się w sposób zgodny z dokonaną oceną skutków dla ochrony danych osobowych.
7. Administrator konsultuje się z Urzędem Ochrony Danych Osobowych, jeżeli dokonana ocena skutków dla ochrony danych będzie wskazywała na występowanie wysokiego ryzyka dla praw i wolności pacjentów, jeżeli nie zastosowane zostałyby środki mitygujące ryzyko. Konsultacje z UODO dokonywane są przed rozpoczęciem przetwarzania danych osobowych.
Inspektor ochrony danych
8. Administrator jako podmiot leczniczy zobowiązany jest do wyznaczenia inspektora ochrony danych osobowych, w szczególności, jeżeli:
1) jego główna działalność polega na przetwarzaniu na dużą skalę danych szczególnej kategorii (danych o stanie zdrowia);
2) jest podmiotem publicznym (w szczególności samodzielnym publicznym zakładem opieki zdrowotnej).
9. Administrator z uwagi na brak przesłanek nakładających obowiązek wyznaczenia inspektora ochrony danych osobowych, nie dokonał tego wyznaczenia i wykonuje jego obowiązki samodzielnie.
10. Zadania inspektora ochrony danych obejmują w szczególności:
1) podnoszenie świadomości wśród personelu przetwarzającego dane osobowe oraz podmiotów przetwarzających dane osobowe na zlecenie administratora, poprzez realizację szkoleń oraz informowanie o obowiązkach spoczywających na tych osobach i podmiotach;
2) monitorowanie przestrzegania przez Administratora przepisów Rozporządzenia i innych przepisów prawa ochrony danych osobowych oraz regulacji wewnętrznych przyjętych u administratora regulujących kwestie związane z przetwarzaniem danych osobowych;
3) wykonywanie audytów w kwestiach związanych z przetwarzaniem danych osobowych;
4) uczestniczenie oraz wspieranie administratora w dokonywaniu oceny skutków dla ochrony danych oraz monitorowanie wykonania oceny tych skutków;
5) współpraca z Urzędem Ochrony Danych Osobowych;
6) sprawowanie funkcji punktu kontaktowego dla pacjentów w kwestiach związanych z przetwarzaniem danych osobowych.

8. POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
§16.

1. Centrum Medyczne może korzystać z usług podmiotów zewnętrznych w celu wspierania Administratora w jego bieżącej działalności, w szczególności polegających na dostarczeniu oraz/lub utrzymaniu infrastruktury teleinformatycznej, w tym narzędzi wspierających administratora w prowadzeniu dokumentacji medycznej w formie elektronicznej.
2. Administrator korzysta wyłącznie z usług takich dostawców usług, którzy zapewniają odpowiednie gwarancje bezpieczeństwa danych osobowych i zgodności przetwarzania danych z RODO.
3. Administrator dokonuje weryfikacji podmiotu przetwarzającego przed dokonaniem wyboru takiego podmiotu, jak również dokonuje jego późniejszej, okresowej weryfikacji.
4. Centrum Medyczne zawiera z podmiotem przetwarzającym umowę powierzenia przetwarzania danych osobowych lub reguluje okoliczność powierzenia przetwarzania danych innym instrumentem prawnym, w której określone zostają obowiązki podmiotu przetwarzającego wynikające z faktu powierzenia. 


9. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
§ 17.

1. Administrator przetwarza dane osobowe z poszanowaniem praw pacjenta oraz praw osób, których dane dotyczą wynikających z RODO. 
2. Administrator prowadzi „Rejestr zgłoszonych żądań, przez osoby, których danych dotyczą”, którego wzór stanowi załącznik nr 7 do Polityki oraz „Ewidencję udostępnianej dokumentacji medycznej” w trybie art. 26 i 27 ustawy o prawach pacjenta i rzeczniku praw pacjenta, której wzór stanowi załącznik nr 8 do Polityki.
3. Przed wykonaniem praw osoby, której dane dotyczą Administrator dokonuje weryfikacji tożsamości osoby zgłaszającej żądanie, celem ustalenia czy żądanie pochodzi od osoby uprawnionej.
4. Administrator zapewnia odpowiednie zaplecze techniczne oraz kadrowe w celu terminowej oraz rzetelnej realizacji praw osoby, której dane dotyczą. Zgłoszone żądania realizowane są przez administratora niezwłocznie, nie później niż w terminie miesiąca od otrzymania żądania. W przypadku niemożności wykonania żądania w w/w terminie, z uwagi na skomplikowany charakter sprawy, administrator kontaktuje się z pacjentem i informuje go o przyczynie wydłużenia tego terminu oraz przewidywanym terminie realizacji żądania pacjenta.


§ 18.

Administrator udostępnia dane osobowe podmiotom trzecim jedynie na podstawie obowiązujących przepisów prawa.
2. Dane osobowe pacjentów, które znajdują się w dokumentacji medycznej są udostępniane na zasadach, w trybie i na sposób określony w przepisach art. 26 i 27 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.3. W szczególności administrator udostępnia dane osobowe pacjenta (poprzez udostępnienie dokumentacji medycznej lub udzielenie informacji o stanie zdrowia pacjenta i udzielonych mu świadczeniach zdrowotnych) osobom upoważnionym przez pacjenta.
3. Przed udostępnieniem danych osobowych pacjenta administrator podejmuje niezbędne czynności mające na celu ustalenie tożsamości pacjenta, osoby upoważnionej oraz zakres upoważnienia.
4. Na żądanie pacjenta administrator udostępnia mu nieodpłatnie pierwszą kopię jego danych osobowych, w tym zawierającą jego dokumentację medyczną; za każdą kolejną kopię administrator może pobrać opłatę w rozsądnej wysokości (w tym za wydanie kopii w formie papierowej pobierana jest opłata zgodnie z przepisami regulującymi stawki za każdą wydaną stronę dokumentacji medycznej).


§ 19.

1. Na żądanie osoby dotyczące dostępu do jej danych Centrum Medyczne informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących. 
2. Centrum Medyczne na żądanie wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych. Centrum Medyczne wprowadza i utrzymuje cennik kopii danych, zgodnie z którym pobiera opłaty za kolejne kopie danych. Cena kopii danych skalkulowana jest na podstawie oszacowanego jednostkowego kosztu obsługi żądania wydania kopii danych.
3. Centrum Medyczne dokonuje sprostowania nieprawidłowych danych na żądanie osoby, której dane dotyczą. Spółka ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych Administrator informuje osobę o odbiorcach danych, na żądanie tej osoby.
4. Administrator może żądać od osoby, której dane dotyczą okazania stosownych dokumentów w celu ustalenia zasadności oraz zgodności z prawem dokonywanej zmiany danych osobowych.
5. Administrator usuwa bez zbędnej zwłoki dane osobowe osoby, której dane dotyczą, jeżeli na Administratorze nie spoczywają obowiązki nakazujące dalsze przetwarzanie danych osobowych.
6. Administrator odmawia realizacji prawa do bycia zapomnianym, jeżeli została wytworzona dokumentacja medyczna pacjenta i nie upłynął okres jej przechowywania wynikający z przepisów regulujących sposób oraz okres prowadzenia oraz przechowywania dokumentacji medycznej.
7. Odmowa realizacji prawa do usunięcia danych jest przekazywana przez Administratora wraz z uzasadnieniem przyczyny odmowy zawierającym podstawy prawne odmowy.
8. Z uwagi na fakt, iż realizacja prawa do ograniczenia przetwarzania danych znacznie utrudniłaby realizację celów zdrowotnych, pomimo zgłoszonego żądania ograniczenia przetwarzania danych, Administrator jest uprawniony do ich przetwarzania w dalszym zakresie (w szczególności zawartych w dokumentacji medycznej lub innych danych, przetwarzanych w oparciu o art. 9 ust. 2 lit. h Rozporządzenia).
9. Dla danych osobowych przetwarzanych w oparciu o podstawę prawną - art. 9 ust. 2 lit. h, wobec administratora będącego podmiotem leczniczym, prawo do przenoszenia danych nie znajduje zastosowania.
10. W sytuacji odmowy realizacji żądania prawa do przenoszenia danych, Administrator informuje pacjenta o przyczynie odmowy i instruuje pacjenta jakie kroki może podjąć w celu przekazania dokumentacji medycznej do innego podmiotu leczniczego.
11. Dla danych osobowych przetwarzanych przez administratora będącego podmiotem leczniczym, w oparciu o podstawę prawną - art. 9 ust. 2 lit. h Rozporządzenia, prawo do sprzeciwu nie znajduje zastosowania.

6 POSTANOWIENIA KOŃCOWE
§ 20.

1. Niniejsza polityka poddawana jest bieżącej aktualizacji, nie rzadziej niż raz do roku.
2. Za zarządzanie Polityką, w tym jego rozpowszechnianiem, aktualizacją, utrzymywaniem spójności z innymi dokumentami, jest odpowiedzialny administrator danych.
3. Z treścią niniejszego dokumentu powinni być zapoznani powinny zostać zapoznane wszystkie osoby upoważnione do przetwarzania danych osobowych, które z racji wykonywanych obowiązków i czynności mają dostęp do danych osobowych.
4. Integralną część niniejszej Polityki Bezpieczeństwa stanowią następujące załączniki:
1) „Wzór Klauzuli informacyjnej”,
2) „Wzór Rejestru czynności przetwarzania”
3)„Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe”,
4) „Upoważnienie do przetwarzania danych osobowych”, 
5) „Rejestr osób upoważnionych”,
6) „Rejestr naruszeń ochrony danych osobowych”,
7) „Rejestr zgłoszonych żądań, przez osoby, których danych dotyczą”,
8)„Ewidencja udostępnianej dokumentacji medycznej”.