Załącznik nr 8 Polityki Bezpieczeństwa do Zarządzenia nr 1/2024 Dyrektora OLU SP ZOZ w Lublinie Z dnia 17.01.2024 r. zmieniające Zarządzenie nr 12/2019 Dyrektora OLU SP ZOZ w Lublinie z dnia 27.12.2019 r. w sprawie wprowadzenia Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w OLU SP ZOZ w Lublinie
Informacja Administratora Danych Osobowych - Ośrodka Leczenia Uzależnień SP ZOZ w Lublinie – udzielanie świadczeń medycznych
Zgodnie z art. 13 i 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27
kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(dalej „RODO”):
1. Administratorem danych jest OŚRODEK LECZENIA UZALEŻNIEŃ Samodzielny Publiczny Zakład Opieki Zdrowotnej w Lublinie, ul. M. Karłowicza 1, 20-027 Lublin, tel. +48 (81) 532 29 79 NIP: 9462171491, REGON: 431018822, www: http://www.olu.lublin.pl/.
2. Kontakt z Inspektorem Ochrony Danych możliwy jest pod adresem e-mail: IOD@olu.lublin.eu lub pisemnie na adres Administratora danych.
3. Cel przetwarzania danych osobowych - udzielanie świadczeń zdrowotnych na podstawie art. 6 ust. 1 lit c) oraz art. 9 ust. 2 lit. h) RODO w związku z przepisami regulującymi proces udzielania świadczeń zdrowotnych, w szczególności przepisami ustawy o działalności leczniczej, ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, ustawy o systemie informacji w ochronie zdrowia, ustawy o służbie medycyny pracy oraz innymi właściwymi przepisami prawa krajowego:
a) zapewnienie opieki zdrowotnej oraz zarządzanie udzielaniem świadczeń zdrowotnych, w tym w celu rejestracji, zapewnienia jakości i ciągłości opieki zdrowotnej, weryfikacji uprawnień do uzyskania świadczeń opieki zdrowotnej oraz rozliczania zrealizowanych świadczeń zdrowotnych, diagnozy medycznej i leczenia, w tym prowadzenia dokumentacji medycznej,
b) profilaktyka zdrowotna, w tym informowaniu o możliwości skorzystania ze świadczeń zdrowotnych, przesyłania zaproszeń na badania, szczepienia lub przekazywania materiałów edukacyjnych,
c) zapewnienie zabezpieczenia społecznego, w tym wystawiania zaświadczeń lekarskich oraz
d) na podstawie art. 9 ust. 2 lit a) RODO tj na podstawie zgody (dane osobowe szczególnych kategorii) – wyłącznie w celu wskazanym w treści udzielonej zgody. Jeżeli dane osobowe przetwarzane są na podstawie odrębnie wyrażonej zgody w celu, który określa ta zgoda, osoba uprawniona ma prawo do wycofania zgody w każdym czasie. Cofnięcie zgody nie ma wpływu na legalność przetwarzania przed jej wycofaniem,
e) na podstawie art. 6 ust. 1 lit a) RODO tj. na podstawie zgody - dane osobowe zwykłe w postaci numeru telefonu oraz adresu e-mail w celu nawiązania i utrzymania kontaktu w sprawach związanych z udzielaniem świadczeń medycznych. Podanie tych danych jest całkowicie dobrowolne, ich nie podanie w żaden sposób nie wpłynie negatywnie na osobę, której dane dotyczą. Wyrażenie zgody na przetwarzanie danych odbywa się poprzez wyraźne działanie potwierdzające, zgodnie z motywem 32 RODO poprzez zachowanie, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych tj. poprzez osobiste podanie numeru telefonu i adresu e-mail lub poprzez przesłanie wiadomości e-mail na adres Ośrodka. Zgodę można odwołać w każdym czasie, zaś jej odwołanie nie ma wpływu na legalność przetwarzania danych przed jej odwołaniem. Odwołanie zgody następuje poprzez złożenie oświadczenia o odwołaniu w rejestracji lub wysłanie takiej informacji na adres Ośrodka.
4. Rodzaj danych osobowych przetwarzanych przez administratora: Na potrzeby udzielanych świadczeń zdrowotnych oraz prowadzenia dokumentacji medycznej, Administrator pozyskuje i przetwarza dane osobowe następujących kategorii osób w podanym zakresie:
a) dane Pacjenta – w postaci imion, nazwiska, imion i nazwisk rodziców, oznaczenie płci, numeru PESEL (a gdy nie posiada numeru PERSEL - paszportu lub innego dokumentu tożsamości), adresu zamieszkania, daty urodzenia, numeru telefonu, adresu e-mail, danych dotyczących zdrowia, obywatelstwa oraz narodowości,
b) dane przedstawiciela ustawowego, opiekuna prawnego, opiekuna faktycznego Pacjenta - w postaci imienia, nazwiska, adresu zamieszkania, numeru telefonu (jeżeli posiada), adresu e-mail (jeżeli posiada), w przypadku konieczności wystawienia min. zaświadczenia lub zwolnienia lekarskiego również PESEL, w przypadku wnioskowania o udostępnienie dokumentacji medycznej również inne dane kontaktowe;
c) dane osoby upoważnionej do działania w imieniu Pacjenta - w postaci imienia, nazwiska, adresu zamieszkania, numeru telefonu, a w przypadku udzielenia upoważnień min. do odbioru dokumentacji medycznej - również inne udostępnione dane kontaktowe,
5. Dane osobowe Pacjenta mogą być pozyskiwane:
a) bezpośrednio od Pacjenta lub od innych podmiotów, w tym od osoby działającej w imieniu Pacjenta, która jest przedstawicielem ustawowym, opiekunem prawnym, opiekunem faktycznym lub osobą bliską dla Pacjenta - osobiście, przez system e-rejestracji lub poprzez infolinię;
b) od innych podmiotów wykonujących świadczenia zdrowotne w związku z prawem do udostępnienia dokumentacji medycznej, jeżeli jest to niezbędne do zapewnienia ciągłości świadczeń zdrowotnych;
c) z oficjalnych, publicznie dostępnych źródeł, prowadzonych przez organy publiczne, d) od podmiotów trzecich np. Rzecznika Praw Pacjenta, Narodowego Funduszu Zdrowia, Ministerstwa Zdrowia, Zakładu Ubezpieczeń Społecznych, Konsultantów Krajowych, Ośrodków Pomocy Społecznej, domów dziecka, placówek opiekuńczo-wychowawczych, sądów, Policji, prokuratury, w ramach postępowań prowadzonych przez te podmioty.
6. Czas przetwarzania danych osobowych:
a) Pacjenta – będą przetwarzane przez czas wykonywania świadczeń zdrowotnych oraz będą przechowywane przez okres archiwizacji, wynikający przepisów dotyczących przechowywania dokumentacji medycznej, księgowej, dokumentacji badań naukowych i dokumentacji postępowań związanych z roszczeniami;
b) przedstawiciela ustawowego, opiekuna prawnego lub opiekuna faktycznego Pacjenta i innej osoby upoważnionej - będą przetwarzane przez czas wykonywania świadczeń zdrowotnych. W zakresie w jakim dane osobowe wyżej wymienionych osób stanowią część dokumentacji medycznej Pacjenta, dokumentacji księgowej, badań naukowych lub postępowań związanych z roszczeniami, będą przetwarzane przez czas wykonywania świadczeń zdrowotnych oraz będą przechowywane przez okres archiwizacji dokumentacji, tj. przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, z wyjątkiem: - w przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia - 30 lat licząc od końca roku kalendarzowego, w którym nastąpił zgon, - skierowań na badania lub zleceń lekarza - 5 lat, licząc od końca roku kalendarzowego, w którym udzielono świadczenia zdrowotnego będącego przedmiotem skierowania lub zlecenia lekarza, lub 2 lat, licząc od końca roku kalendarzowego, w którym wystawiono skierowanie - w przypadku gdy świadczenie zdrowotne nie zostało udzielone z powodu niezgłoszenia się Pacjenta w ustalonym terminie, chyba że, pacjent odebrał skierowanie.
7. Dane osobowe mogą być przekazywane:
a) innym podmiotom leczniczym lub podmiotom wykonującym działalność leczniczą, w celu kontynuacji leczenia lub rozliczenia finansowego udzielonego świadczenia,
b) podmiotom, które na podstawie odrębnie zawartych umów współpracują z Ośrodkiem w celu profesjonalnego wykonania świadczenia zdrowotnego,
c) dostawcom usług zaopatrujących Ośrodek w rozwiązania techniczne oraz organizacyjne, umożliwiające udzielanie świadczeń zdrowotnych oraz zarządzanie Ośrodkiem na podstawie umów powierzenia zgodnie z art. 28 RODO, w tym m.in. podmioty zapewniające obsługę i wsparcie systemów teleinformatycznych, aparatury i urządzeń medycznych, dostawcy usług kurierskich i pocztowych, dostawcy usług związanych z utylizacją dokumentacji oraz innych nośników zawierających dane osobowe,
d) audytorom, uprawnionym organom kontrolnym lub podmiotom upoważnionym z mocy przepisów prawa do dokonywania kontroli udzielonych świadczeń medycznych lub dokumentacji medycznej,
e) kancelariom prawnym współpracującym z Ośrodkiem,
f) osobom upoważnionym przez Pacjenta w ramach realizacji swoich praw pacjenta,
g) innym podmiotom i organom upoważnionym na mocy art. 26 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.
8. Dane osobowe nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji i nie będą podlegać profilowaniu.
9. Prawa osób, których dane dotyczą:
a) na podstawie art. 15 RODO prawo dostępu do danych osobowych,
b) na podstawie art. 16 RODO prawo do sprostowania danych osobowych,
c) na podstawie art. 18 RODO prawo żądania od administratora ograniczenia przetwarzania danych osobowych z zastrzeżeniem przypadków, o których mowa w art. 18 ust. 2 RODO,
d) na podstawie art. 20 RODO prawo do przenoszenia danych osobowych,
e) prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, w przypadku gdy przetwarzanie danych osobowych przez Ośrodek narusza przepisy RODO,
nie przysługuje:
a) w związku z art. 17 ust. 3 lit. b), d) lub e) RODO prawo do usunięcia danych osobowych, chyba, że dane przetwarzane są na podstawie wyrażonej zgody zgodnie z art. 6 ust.1 lit. a) RODO,
b) na podstawie art. 21 RODO prawo sprzeciwu, wobec przetwarzania danych osobowych, gdyż podstawą prawną przetwarzania jest art. 6 ust. 1 lit. c) RODO.