JEDNOSTKI MEDYCZNE

Procedura realizacji praw osób, których dane dotyczą, wskazanych w art. 15-21 RODO

 


  1. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ (art. 15 – 21 RODO)

Każda osoba, której dane dotyczą, jest uprawniona do wniesienia do Uniwersyteckiego Szpitala klinicznego nr 1 w Lublinie żądania o zrealizowanie praw, o których mowa w art. 15 – 21 RODO, tj.: 

    1. prawo dostępu do danych, 
    2. prawo do sprostowania danych, 
    3. prawo do usunięcia danych („prawo do bycia zapomnianym”), 
    4. prawo do ograniczenia przetwarzania, 
    5. prawo do przenoszenia danych, 
    6. prawo do sprzeciwu wobec przetwarzania danych osobowych. 

1. Prawo dostępu do danych przysługujące osobie, której dane dotyczą

  1. Osoba, której dane dotyczą, ma prawo uzyskać od ADO informację, czy przetwarza on dane jej dotyczące, a w przypadku zaistnienia takiego przetwarzania osoba ta ma prawo dostępu do swoich danych oraz uzyskania informacji obejmujących:  
      1. cele przetwarzania,  
      2. kategorie zebranych danych osobowych,  
      3. wyszczególnienie odbiorców, którym zostaną lub zostały ujawnione dane osobowe,  
      4. planowany okres przechowywania danych lub kryteria ustalania tego okresu,  
      5. poinformowanie o prawie do sprostowania danych, usunięcia danych lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu wobec przetwarzania,  
      6. prawie do wniesienia skargi do organu nadzorczego,  
      7. źródła danych, jeśli dane pochodzą z innego źródła niż od osoby, której dane dotyczą,  
      8. poinformowanie o występowaniu zautomatyzowanego podejmowania decyzji, w tym profilowania, a także znaczeniu i przewidywanych konsekwencjach takiego

przetwarzania dla osoby, której dane dotyczą,  

      1. przekazanie informacji o odpowiednich zabezpieczeniach związanych z przekazaniem, jeśli dane są przekazywane do państwa trzeciego lub organizacji międzynarodowej.  
  1. Prawo dostępu do danych obejmuje także uzyskania informacji o zabezpieczeniach
    w przypadku przekazywania danych do państwa trzeciego (art. 15 ust. 2 RODO).
  2. Prawo dostępu do danych obejmuje wszystkie dane które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, łącznie z danymi zaobserwowanymi
    i wywnioskowanymi na jej temat. 
  3. Jeżeli ADO przetwarza duże ilości informacji o osobie, której dane dotyczą, przed podaniem informacji, może żądać aby osoba, której dane dotyczą, sprecyzowała informacje lub czynności przetwarzania, których dotyczy jej żądanie (motyw 63 RODO). 
  4. Jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny (motyw 61 RODO).
  5. Żądanie realizacji praw dotyczy także danych zarchiwizowanych już przez ADO.  
  6. Podmiot danych ma także prawo do uzyskania kopii danych. 
  7. Prawo do uzyskania kopii nie może niekorzystnie wpływać na prawa i wolności innych. Prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji.
  8. USK1 może dostarczyć osobie, której dane dotyczą kopię posiadanych danych osobowych. Za każdą kolejną kopię danych osobowych USK1 może pobrać opłatę w wysokości wynikającej
    z kosztów administracyjnych.

2. Prawo do sprostowania danych

  1. Osoba, której dane dotyczą może wnieść do USK1 żądanie dotyczące niezwłocznego sprostowania danych jej dotyczących, jeśli stwierdzi, że dane są nieprawidłowe.  
  2. Podmiot danych może także wnieść (np. w formie dodatkowego oświadczenia) żądanie uzupełnienia danych, jeśli uzna, że są niekompletne.  
  3. Uzupełnienie danych nie może obejmować danych, które byłyby nadmierne, tj. takich, które nie spełniałyby wskazanej wyżej przesłanki niezbędności – stanowiłoby to naruszenie zasady minimalizacji danych. Przedmiotem uzupełnienia nie mogą być też dane, które są nieprawidłowe. Należy weryfikować czy realizacja prawa z art. 16 RODO nie naruszy innych zasad wskazanych w art. 5 RODO.
  4. ADO ma obowiązek poinformować o sprostowaniu danych osobowych, którego dokonał
    w ramach żądania podmiotu danych, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
  5.  „Ujawnienia” danych należy rozumieć szeroko, jako jakąkolwiek możliwość zapoznania się
    z danymi osobowymi. ADO ma obowiązek informować osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda. W związku z czym należy:
  1. określić i udokumentować krąg odbiorców danych,
  2.   zidentyfikować i udokumentować możliwość informowania odbiorców danych
    o sprostowaniu danych,
  3. określić i udokumentować sposób informowania odbiorców danych o sprostowaniu danych,
  4. określić i udokumentować sposób informowania na żądanie podmiotu danych
    o odbiorcach.

3. Prawo do usunięcia danych („prawo do bycia zapomnianym”)

  1. Osoba, której dane dotyczą ma prawo wniesienia do USK1 żądania usunięcia dotyczących jej danych osobowych, jeśli zachodzi jedna z poniższych okoliczności:  
    1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,  
    2. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania,  
    3. osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania na mocy art. 21 ust. 1 lub ust. 2 RODO,  
    4. dane osobowe były przetwarzane niezgodnie z prawem,  
    5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego, któremu podlega ADO.
  2. Jeśli USK1 upublicznił dane osobowe osoby wnoszącej o usunięcie danych, ma on obowiązek – uwzględniając dostępną technologię oraz koszt realizacji – podjąć działania w celu poinformowania innych administratorów przetwarzających te dane osobowe o fakcie, że osoba, której dane dotyczą, złożyła żądanie o usunięcie przez tych administratorów wszelkich łącz do tych danych, kopie danych lub ich replikacje (powielenia).  
  3. ADO niezwłocznie realizuje prawo osoby do usunięcia danych, chyba że zaistnieje jedna
    z poniżej wyszczególnionych przesłanek:  
    1. przetwarzanie danych osobowych jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji,  
    2. przetwarzanie danych osobowych jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub
      w ramach sprawowania władzy publicznej powierzonej administratorowi,  
    3. przetwarzanie danych osobowych jest niezbędne z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) RODO (profilaktyka zdrowotna lub medycyna pracy) oraz art. 9 ust. 2 i) RODO (ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych) oraz art. 9 ust. 3 RODO (dane przetwarzane w celu profilaktyki zdrowotnej lub medycyny pracy przetwarzane są przez osobę zobowiązaną do zachowania tajemnicy zawodowej),  
    4. przetwarzanie danych osobowych jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że realizacja prawa do usunięcia danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania,  
    5. przetwarzanie danych osobowych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.  
  4. ADO informuje o usunięciu danych każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

4. Prawo do ograniczenia przetwarzania

  1. Osoba, której dane dotyczą może wnieść do Administratora danych żądanie o ograniczenie przetwarzania dotyczących jej danych osobowych w następujących przypadkach:  
    1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych,  
    2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,  
    3. administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,  
    4. osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.  
  2. Jeżeli przetwarzanie zostało ograniczone to dane osobowe można przetwarzać, z wyjątkiem przechowywania:  
    1. wyłącznie za zgodą osoby, której dane dotyczą,  
    2. w celu ustalenia, dochodzenia lub obrony roszczeń,  
    3. w celu ochrony praw innej osoby fizycznej lub prawnej,  
    4. z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.  
  3. Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia.  

5. Prawo do przenoszenia danych

  1. Osoba, której dane dotyczą, jest uprawniona do wniesienia żądania przeniesienia danych jej dotyczących.  
  2. Prawo do przenoszenia danych przysługuje wyłącznie gdy:
    1. przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych osobowych
      w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO lub
    2. na podstawie umowy w myśl art. 6 ust. 1 lit. b) RODO oraz  
    3. przetwarzanie odbywa się w sposób zautomatyzowany.  
  3. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym (np. .csv), powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące.  
  4. Wykonując prawo do przenoszenia danych osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez USK1 bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.  
  5. Wykonanie prawa do przeniesienia danych nie wyklucza wniesienia żądania o usunięcie danych osobowych.  
  6. Prawo do przenoszenia danych nie może niekorzystnie wpływać na prawa i wolności innych.
  7. Należy zdefiniować zakres danych dostarczonych ADO, które podlegać będą przekazaniu.  
  8. Dane wywnioskowane i wywiedzione przez ADO z danych przekazanych przez podmiot danych nie wchodzą w zakres prawa do przenoszenia danych.  
  9. Prawo do przeniesienia danych nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.  

6. Prawo do sprzeciwu

  1. Osoba, której dane dotyczą, może w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych, jeśli przetwarzanie jest oparte na:
    1. art. 6 ust. 1 lit. e) RODO (przetwarzanie w interesie publicznym lub w ramach sprawowania władzy publicznej) lub
    2. art. 6 ust. 1 lit. f) RODO (prawnie uzasadnione interesy realizowane przez administratora).  
  2. Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych, osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.  
  3. Do czasu rozpatrzenia sprzeciwu, nawet jeżeli nie zgłoszono żądania ograniczenia przetwarzania, należy rozważyć taką możliwość i konieczność.  
  4. O prawie do sprzeciwu należy poinformować odrębnie (najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, którym mowa w art. 21 ust. 1 i 2 RODO, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji).
  5. ADO nie może przetwarzać danych osobowych względem, których wniesiono sprzeciw, chyba że wykaże on istnienie ważnych prawnie uzasadnionych postaw do przetwarzania danych, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.  

 

  1. ZASADY REALIZACJI PRAW 

1. Sposób składania wniosków o realizację praw

  1. W celu zapewnienia udostępnienia danych jedynie osobom, których dane dotyczą dopuszcza się trzy kanały komunikacji: 
    1. elektroniczny – z podpisem kwalifikowanym lub potwierdzony profilem zaufanym ePUAP, jeśli wniosek wpłynie „zwykłym mailem” można zażądać ponownego złożenia wniosku w dopuszczonym trybie; 
    2. tradycyjny – w formie papierowej opatrzony własnoręcznym podpisem; 
    3. ustnie (nie dotyczy kontaktu telefonicznego) – należy taką osobę wylegitymować
      w celu potwierdzenia tożsamości i sporządzić notatkę z podpisem wnioskodawcy. Notatka winna być włączona w akta sprawy
  2. Osoba, której dane dotyczą, składa do USK1 wniosek o realizację prawa w formie pisemnej lub elektronicznej z uwzględnieniem wymogów dotyczących korespondencji, tj.:
  1. wskazania imienia, nazwiska wnioskodawcy,  
  2. adresu lub innego kanału komunikacji
  3. innych danych umożliwiających bezsprzeczną identyfikację tożsamości osoby, której dane dotyczą.  
  1. W związku z powołaniem w USK1 Inspektora Ochrony Danych (IOD), który pełni rolę punktu kontaktowego dla osób, których dane dotyczą, osoby te mogą kontaktować się bezpośrednio z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.