Polityka Ochrony Danych Osobowych
- Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej jako Polityka stanowi mapę wymogów, zasad i regulacji ochrony danych osobowych w Gabinecie Psychologicznym „DAR” Monika Kiliańska-Szok. Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu – RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (DZ. Urz. UE L 119, s.1).
- Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest Administrator Gabinetu Psychologicznego „DAR” Monika Kiliańska-Szok, będący równocześnie jego właścicielem i prowadzący działalność gospodarczą Gabinet Psychologiczny „DAR” Monika Kiliańska-Szok.
- Za stosowanie niniejszej Polityki odpowiedzialny jest jedynie Administrator, a zarazem właściciel Gabinetu Psychologicznego „DAR” Monika Kiliańska-Szok.
- Skróty i definicje: – Polityka oznacza niniejszą politykę ochrony danych osobowych. – RODO oznacza rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnie rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s.1). – Dane oznaczają dane osobowe. – Dane wrażliwe oznaczają dane specjalne i dane karne. – Dane specjalne oznaczają dane wymienione w art. 9. ust. 1 RODO, tj., dane osobowe ujawniające pochodzenie rasowe lub etniczne, podglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej. – Osoba oznacza osobę, której dane dotyczą. – Podmiot przetwarzający oznacza zewnętrzną organizację lub osobę, której Gabinet Psychologiczny „DAR” Monika Kiliańska-Szok powierzyłby przetwarzanie danych osobowych (np. Sąd Biskupi w Toruniu, z którym współpracuje Gabinet Psychologiczny „DAR” Monika Kiliańska-Szok) 2 na podstawie odrębnego zlecenia do świadczenia usług wykonania opinii psychologicznej, z jednoczesnym dostępem do danych osobowych. – Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji i zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. – Eksport danych oznacza przekazanie danych oznacza przekazanie danych do państwa trzeciego lub organizacji międzynarodowej. – RCPD lub Rejestr Czynności Przetwarzania Danych Osobowych, – Gabinet, oznacza Gabinet Psychologiczny „DAR” Monika Kiliańska-Szok.
- Filary ochrony danych osobowych w Gabinecie:
a) legalność – Gabinet dba o ochronę prywatności i przetwarza dane zgodnie z prawem,
b) bezpieczeństwo – Gabinet zapewnia odpowiedni poziom bezpieczeństwa danych podejmując stale działania w tym zakresie,
c) prawa jednostki – Gabinet umożliwia osobom, których dane przetwarza, wykazywanie swoich praw i te prawa realizuje,
d) rozliczalność – Gabinet dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność. - Zasady ochrony danych. Gabinet przetwarza dane osobowe z poszanowaniem następujących zasad: a) w oparciu o podstawę prawną i zgodnie z prawem (legalizm), b) rzetelnie i uczciwie (rzetelność), c) w sposób przejrzysty dla osoby, której dane dotyczą (transparentność), d) w konkretnych celach i nie na „zapas” (minimalizacja), e) nie więcej niż potrzeba (adekwatność), f) z dbałością o prawidłowość danych (prawidłowość), g) nie dłużej niż potrzeba (czasowość), h) zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo),
- Gabinet zapewnia odpowiedni poziom bezpieczeństwa danych, w tym: 3
a) dokonuje inwentaryzacji zasobów danych osobowych w Gabinecie według określonej kategorii –np. badania indywidualne, badania grupowe, diagnozy psychologiczne, wywiady, opisy sesji),
b) dokonuje określonego przeglądu ilości przetwarzanych danych z zakresu ich przetwarzania nie rzadziej niż raz na rok, w szczególności w zakresie pozyskiwanych danych, ich przetwarzania i ilości przetwarzanych danych pod kątem adekwatności do celów przetwarzania,
c) przeprowadza analizę ryzyka dla czynności przetwarzanych danych lub ich kategorii,
d) przeprowadza ocenę skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie, e) ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa ich przydatności oraz ocenia koszt ich wdrażania np. – ograniczenie dostępu do danych osobowych: prawne zobowiązanie do poufałości, zakresy upoważnień), – fizyczne (zamykanie pomieszczeń, szaf), – logiczne (ograniczanie uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których znajdują się te dane osobowe), – stosowanie pseudominimalizacji (np. użycia zamiast imienia i nazwiska osoby – liczby), – szyfrowanie danych osobowych (np. drzwi wejściowych do budynku, drzwi do pomieszczeń biurowych), – zamykanie szaf na klucz (zawierających dane osobowe), – zgłaszanie do Krajowego Biura Ochrony „Asekuracja_Maxpol” – stosowanie adekwatnych środków zabezpieczających, składających się na zdolność do ciągłego zapewniania poufności, integralności, dostępności i odporności systemów i usług przetwarzania, – monitoruje zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych. - Gabinet prowadzi Rejestr Czynności Przetwarzania Danych, w których inwentaryzuje i monitoruje przetwarzanie danych i jest jednym z kluczowych elementów umożliwiających realizacje fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności. – Rejestr jest jednym z podstawowych narzędzi umożliwiających Gabinetowi rozliczanie większości obowiązków ochrony danych – W Rejestrze, dla każdej czynności przetwarzania danych, którą Gabinet uznało za odrębną dla potrzeb Rejestru, Gabinet odnotowuje, co najmniej:
a) nazwę czynności
b) cel przetwarzania
c) opis kategorii osób
d) opis kategorii danych
e) podstawę prawną przetwarzania
f) opis kategorii odbiorców danych
g) informację o przekazaniu danych do kraju trzeciego bądź organizacji 4 międzynarodowej
h) ogólny opis technicznych i organizacyjnych środków ochrony danych (jeśli jest to możliwe) - Gabinet spełnia obowiązki informacyjne względem osób, których dane przetwarza oraz zapewnia obsługę i realizację ich praw. – Gabinet przekazuje osobom prawnym wymagane informacje przy zbieraniu danych i w innych sytuacjach oraz sygnalizuje i zapewnia udokumentowanie realizacji tych obowiązków, – Gabinet zarządza zgodami w celu rejestracji i weryfikacji posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu, zgody na komunikację na odległość (e-mail, telefin, sms, inne) oraz rejestracji odnowy zgody, cofnięcia zgody, czynności (sprzeciw, ograniczenie itp.), – Gabinet bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, – Gabinet po zidentyfikowaniu naruszenia danych osobowych zgłasza je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie poniżej niż w terminie 72 godzin po stwierdzeniu naruszenia.
- Gabinet nie przetwarza danych osobowych osób w sposób zautomatyzowany, w tym również w formie profilowania.
- Gabinet nie dokonuje eksportu danych, czyli nie przekazuje danych osobowych do państwa trzeciego (poza Europejski Obszar Gospodarczy)
- Postanowienia kluczowe: – Administrator, a zarazem właściciel Gabinetu i wykonawca wszystkich usług jest zobowiązany:
a) znać i stosować Politykę Ochrony Danych Osobowych
b) uczestniczyć w organizowanych szkoleniach z zakresu RODO
c) niezwłocznie zgłaszać naruszenia danych