Szpital Specjalistyczny im. Świętej Rodziny SPZOZ

§1 Zasady Ogólne

1. Niniejsza procedura określa zasady stosowane w Szpitalu Specjalistycznym im. Świętej Rodziny SP ZOZ w Warszawie, ul. A. J. Madalińskiego 25, 02 – 544 Warszawa (zwanym dalej jako „Administrator”)w celu zapewnienia realizacji praw osób, których dane osobowe są przetwarzane przez Administratora w szczególności praw wskazanych w art. 15 – 21 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (), (dalej „RODO”).
2. Każda osoba, której dane dotyczą, jest uprawniona do wniesienia żądania do Administratora o zrealizowanie praw, o których mowa w art. 15 – 21 RODO, tj.:

1. prawo dostępu do treści swoich danych, na podstawie art. 15 RODO,
2. prawo do sprostowania swoich danych, na podstawie art. 16 RODO,
3. prawo do usunięcia swoich danych, („prawo do bycia zapomnianym”), na podstawie art. 17 RODO (prawo to nie może pozostawać w sprzeczności z obowiązującymi w Polsce aktami prawnymi),
4. prawo do ograniczenia przetwarzania swoich danych, na podstawie art. 18 RODO,
5. prawo do wniesienia sprzeciwu wobec przetwarzania danych, na podstawie art. 21 RODO,
6. prawo do przenoszenia swoich danych, na podstawie art. 20 RODO.

3. Administrator rozpatruje żądania osób, których dane dotyczą, z należytą starannością, uwzględniając stosowane przepisy prawa oraz prawa i wolności innych osób, których dane mogą dotyczyć.

§2 Składanie wniosku

1. Osoby zainteresowane (osoby, których dane dotyczą) mogą zgłaszać wnioski o realizację przysługujących im praw drogą:

1. pisemną – papierowe wnioski można składać w Sekretariacie Dyrektora Administratora lub przesłać na adres siedziby Administratora, tj.: Szpital Specjalistyczny im. Świętej Rodziny SPZOZ w Warszawie, ul. A. J. Madalińskiego 25, 02 – 544 Warszawa; wniosek powinien być podpisany własnoręcznie czytelnym podpisem, pełnym imieniem i nazwiskiem
3. elektroniczną – na adres e-mailowy Administratora: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.;wniosek powinien być podpisany podpisem kwalifikowanym lub potwierdzony profilem zaufanym e-PUAP, jeśli wniosek wpłynie „zwykłym mailem” można zażądać ponownego złożenia wniosku w dopuszczonym trybie;
4. osobiście w Sekretariacie Dyrektora Administratora - osoba przyjmująca wniosek powinna zweryfikować tożsamość wnioskodawcy i/lub pełnomocnika w celu jej potwierdzenia zgodnie z § 3 Procedury i sporządzić stosowną adnotację na składanym wniosku.

2. Z uwagi na obowiązek weryfikacji tożsamości, Administrator nie dopuszcza składania wniosków drogą telefoniczną.
3. Wniosek, o którym mowa w§2pkt.1, powinien zawierać przede wszystkim:

• imię i nazwisko wnioskodawcy,
• adres do korespondencji lub wskazanie innej formy realizacji wniosku i danych z tym związanych (np. odbiór osobisty,) i numer telefonu kontaktowego w celu potwierdzenia otrzymania korespondencji lub umówienia terminu odbioru odpowiedzi na wniosek,
• wskazanie z jakiego prawa i w jakim zakresie wnioskodawca chce skorzystać.

4. Przykładowy wzór wniosku stanowiący Załącznik nr 1 do Procedury jest dostępny do pobrania na stronie www Administratora, przy czym skorzystanie ze wzoru nie jest obowiązkowe i ma na celu jedynie ułatwienie złożenia wniosku.
5. Rozpoznanie żądania zgłoszonego przez pełnomocnika wnioskodawcy możliwe jest pod warunkiem, że przedstawia on pełnomocnictwo (upoważnienie),z którego jednoznacznie wynika umocowanie do zgłoszenia żądania i zakres żądania.
6. W przypadku braku możliwości jednoznacznego określenia faktycznej treści żądania wnioskodawcy Administrator może żądać od wnioskodawcy i/lub pełnomocnika dodatkowych wyjaśnień.
7. Wnioski o realizacje praw, o których mowa w § 2 pkt 1 są realizowane przez Inspektora Ochrony Danych Osobowych Administratora (dalej: „IOD”).Osoba przyjmująca wniosek przekazuje go niezwłocznie, lecz nie później niż do końca następnego dnia roboczego do IOD.
8. IOD rejestruje każde otrzymane żądanie/wniosek w rejestrze, którego wzór określony został w Załączniku 2 do Procedury.

§3 Identyfikacja i weryfikacja wnioskodawcy

1. Przed udzieleniem odpowiedzi na żądanie zgłoszone we wniosku Administrator zobowiązany jest do weryfikacji tożsamości wnioskodawcy i/lub pełnomocnika.
2. W przypadku braku możliwości identyfikacji wnioskodawcy i/lub pełnomocnika lub zaistnienia wątpliwości co do jego tożsamości, w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych, IOD może zażądać dodatkowych informacji do potwierdzenia tożsamości osoby, której dane dotyczą.
3. Weryfikacja tożsamości wnioskodawcy i/lub pełnomocnika powinna każdorazowo odbywać się zgodnie
z poniższymi zasadami:

1. w przypadku żądania od wnioskodawcy i/lub pełnomocnika podania dodatkowych danych w celu jednoznacznego potwierdzenia tożsamości należy pozyskiwać jedynie dane w zakresie niezbędnym dla osiągnięcia zamierzonego celu,
2. w przypadku żądania od wnioskodawcy i/lub pełnomocnika podania dodatkowych danych w celu jednoznacznego potwierdzenia tożsamości należy niezwłocznie, lecz nie później niż
3. w ciągu miesiąca, poinformować wnioskodawcę, że termin udzielenia odpowiedzi na żądanie będzie liczony od dnia udzielenia informacji umożliwiających jednoznaczną identyfikację,
4. w przypadku okazania przez wnioskodawcę i/lub pełnomocnika dokumentu w celu umożliwienia jednoznacznego potwierdzenia tożsamości dokument powinien być pozyskiwany wyłącznie do wglądu, tzn. nie powinna być wykonywana jego kopia ani skan.

4. Administrator odmawia podjęcia działań na żądanie osoby której dane dotyczą, chcącej skorzystać z przysługującej jej prawa na mocy art. 15-22 RODO gdy wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą i/lub wnioskodawcy jeśli wnioskodawcą nie jest osoba, której dane dotyczą (np. przedstawiciel ustawowy w przypadku osób małoletnich) lub pełnomocnik.

§4 Rozpatrywanie i udzielanie odpowiedzi na wniosek

1. Administrator niezwłocznie, a w każdym razie w terminie miesiąca od daty wpłynięcia wniosku, informuje osobę której dane dotyczą o działaniach podjętych w związku z realizacją praw. W przypadku skomplikowanego charakteru żądania lub dużej liczby żądań termin ten może zostać przedłużony o kolejne dwa miesiące. Osoba, której dane dotyczą zostanie poinformowana o takim przedłużeniu, wraz z podaniem przyczyn opóźnienia, w terminie miesiąca od daty wpłynięcia wniosku.
2. W przypadkach otrzymania żądania, w związku z którym konieczne jest ustalenie lub weryfikacja tożsamości Wnioskodawcy czy ustalenie lub doprecyzowanie przedmiotu żądania, miesięczny termin dotyczy podjęcia przez Administratora czynności w celu uzyskania informacji niezbędnych do ustalenia powyższych okoliczności. W takim przypadku termin na udzielenie odpowiedzi na żądanie wynosi miesiąc od dnia uzyskania przez Administratora wszystkich informacji niezbędnych do realizacji żądania.
3. Informacje przekazywane w formie elektronicznej muszą być opatrzone kryptografią (zaszyfrowane) celem uniknięcia zdarzeń niepożądanych w zakresie zasad przetwarzania danych osobowych, w tym tzw. „wycieku danych”.
4. Administrator nie dopuszcza przekazania udzielonej odpowiedzi na nośnikach danych (np. USB, płyta CD itp.).
5. Jeżeli Administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie, a w każdym razie w terminie miesiąca od daty wpłynięcia wniosku, informuje ją o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do Prezesa Urzędu Danych Osobowych .
6. Realizacja praw osób, których dane dotyczą jest bezpłatna. Jednakże w przypadku, gdy żądania osoby, której dane dotyczą są nieuzasadnione lub nadmierne, Administrator może pobrać opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań lub odmówić podjęcia działań w związku z żądaniem.
7. Osobami odpowiedzialnymi za dokonanie oceny konieczności i możliwości dokonania sprostowania, usunięcia, ograniczenia przetwarzania, przeniesienia oraz zaprzestania przetwarzania danych osobowych są Dyrektor Szpitala Specjalistyczny im. Świętej Rodziny SPZOZ w Warszawie oraz Inspektor Ochrony Danych po zasięgnięciu opinii Kierownika Działu Informatycznego w przypadku, gdy wniosek dotyczy danych osobowych przetwarzanych w systemach informatycznych Administratora., w tym kopii zapasowych.

§5 Realizacja wniosku w stosunku do danych osobowych przetwarzanych w systemach informatycznych, w tym w kopiach zapasowych

1. W sytuacji, gdy wniosek dotyczy danych osobowych przetwarzanych w systemach informatycznych Administratora, w szczególności realizacji prawa do usunięcia, sprostowania lub przeniesienia danych osobowych, realizacja wniosku następuje po zasięgnięciu opinii Kierownika Działu Informatycznego zgodnie z § 4 ust. 7 Procedury,
2. Z uwagi na konieczność zapewnienia integralności i poufności danych osobowych przetwarzanych w kopiach zapasowych zawierających dane osobowe, których dotyczy wniosek, dane osobowe w nich utrwalone z uwagi na ograniczenie techniczne mogą nie być usuwane, zmieniane lub przenoszone w sposób selektywny lub też realizacja wniosku
w stosunku do danych utrwalonych w kopiach zapasowych może zostać wydłużona.
3. W sytuacji, gdy z uwagi na zapewnienie integralności i poufności danych osobowych przetwarzanych w kopiach zapasowych dane osobowe, których dotyczy wniosek nie mogą zostać usunięte, zmienione, przeniesione w sposób selektywny okres przetwarzania tych danych utrwalonych w kopiach zapasowych może zostać wydłużony o okres przechowywania kopii zapasowych.
2. W sytuacji, o której mowa w § 5 ust.2 i 3 poinformuje wnioskodawcę o okresie przetwarzania danych osobowych, utrwalonych w kopiach zapasowych, których dotyczył wniosek lubo wydłużonym terminie koniecznym na realizację wniosku w stosunku do danych utrwalonych w kopiach zapasowych.

§6 Prawo dostępu do danych przysługujące osobie, której dane dotyczą

1. Osoba, której dane dotyczą, ma prawo uzyskać od Administratora informację, czy przetwarza on dane osobowe jej dotyczące, a w przypadku zaistnienia takiego przetwarzania osoba ta ma prawo dostępu do swoich danych oraz uzyskania informacji o:

• celach przetwarzania, kategoriach odnośnych danych osobowych, odbiorcach lub kategoriach odbiorców, którym zostaną lub zostały ujawnione dane osobowe,
• planowanym okresie przechowywania danych osobowych lub kryteriach ustalania tego okresu,
• prawie do sprostowania danych, usunięcia danych lub ograniczenia przetwarzania oraz p prawie do wniesienia sprzeciwu wobec przetwarzania,
• prawie do wniesienia skargi do organu nadzorczego,
• źródle danych, jeśli dane pochodzą z innego źródła niż od osoby, której dane dotyczą,
• zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, a także znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą,
• odpowiednich zabezpieczeniach związanych z przekazaniem, jeśli dane są przekazywane do państwa trzeciego lub organizacji międzynarodowej.

2. Administrator dostarcza osobie, której dane dotyczą, kopię posiadanych danych osobowych podlegających przetwarzaniu. Za każdą kolejną kopię danych osobowych Administrator może pobrać opłatę w wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie wskaże inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
3. Prawo do uzyskania kopii, o której mowa w pkt. 2, nie może niekorzystnie wpływać na prawa i wolności innych osób.

§8 Prawo do sprostowania danych

1. Osoba, której dane dotyczą może wnieść do Administratora żądanie dotyczące niezwłocznego sprostowania danych jej dotyczących, jeśli stwierdzi, że dane są nieprawidłowe.
2. Osoba, której dane dotyczą może także wnieść (np. w formie dodatkowego oświadczenia) żądanie uzupełnienia danych, jeśli uzna, że są niekompletne.
3. Administrator informuje o sprostowaniu każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

§9 Prawo do usunięcia danych („prawo do bycia zapomnianym”)

1. Osoba, której dane dotyczą ma prawo wniesienia do Administratora żądania usunięcia dotyczących jej danych osobowych, jeśli zachodzi jedna z następujących okoliczności:

• dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
• osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania,
• osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,
• dane osobowe były przetwarzane niezgodnie z prawem,
• dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego, któremu podlega Administrator,
• dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO (usługi oferowane dziecku).

2. Jeśli Administrator upublicznił dane osobowe osoby wnoszącej o usunięcie danych, ma on obowiązek – uwzględniając dostępną technologię oraz koszt realizacji – podjąć działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe o fakcie, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych lub ich replikacje.
3. Prawo do usunięcia danych, zgodnie z art. 17 ust 3 RODO, nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne:

• do korzystania z prawa do wolności wypowiedzi i informacji,
• do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
• z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust.,
  2 lit. h) oraz i) RODO i art. 9 ust. 3 RODO,
• do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że realizacja prawa do usunięcia danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania,
• do ustalenia, dochodzenia lub obrony roszczeń.

4. Administrator informuje o usunięciu danych każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

§10 Prawo do ograniczenia przetwarzania

1. Osoba, której dane dotyczą może wnieść do Administratora żądanie o ograniczenie przetwarzania dotyczących jej danych osobowych w następujących przypadkach:

• osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych,
• przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
• administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
• osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

2. Jeżeli przetwarzanie zostało ograniczone to dane osobowe można przetwarzać, z wyjątkiem przechowywania:

• wyłącznie za zgodą osoby, której dane dotyczą,
• w celu ustalenia, dochodzenia lub obrony roszczeń,
• w celu ochrony praw innej osoby fizycznej lub prawnej,
• z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

3. Przed uchyleniem ograniczenia przetwarzania Administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia.
4. Administrator informuje o ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

§11 Prawo do przenoszenia danych

1. Osoba, której dane dotyczą, jest uprawniona do wniesienia żądania przeniesienia danych jej dotyczących.
2. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony Administratora, jeżeli:

• przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych osobowych w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO lub na podstawie umowy w myśl art. 6 ust. 1 lit. b) RODO

oraz

• przetwarzanie odbywa się w sposób zautomatyzowany.

3. Wykonując prawo do przenoszenia danych osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez Administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
4. Wykonanie prawa do przeniesienia danych nie wyklucza wniesienia żądania o usunięcie danych osobowych.
5. Prawo do przeniesienia danych nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
6. Prawo do przenoszenia danych nie może niekorzystnie wpływać na prawa i wolności innych osób.

§12 Prawo do sprzeciwu

1. Osoba, której dane dotyczą, może w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych, jeśli przetwarzanie jest oparte na art. 6 ust. 1 lit. e) RODO (przetwarzanie w interesie publicznym lub w ramach sprawowania władzy publicznej) lub art. 6 ust. 1 lit. f) RODO (prawnie uzasadnione interesy realizowane przez administratora).
2. Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych, osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

§ 13 Postanowienia końcowe

1. Niniejsza procedura obowiązuje od dnia stycznia 2024 r.

 Załączniki:
1. Przykładowy wzór wniosku;
2. Rejestr żądań podmiotów danych