Ochrona danych osobowych

2. REALIZACJA UPRAWNIEŃ OSÓB, KTÓRYCH DANE OSOBOWE SĄ PRZETWARZANE

1. Administrator ułatwia osobie, której dane dotyczą wykonanie praw przysługujących jej na
mocy art. 15-22 RODO.

2. Administrator nie zrealizuje ww. praw w przypadku gdy nie będzie w stanie zidentyfikować
osoby, której dane dotyczą.
3. W przypadku gdy administrator ma uzasadnione wątpliwości co do tożsamości osoby
fizycznej składającej żądanie, zażąda od tej osoby dodatkowych informacji potwierdzających
tożsamość.
3. Administrator w terminie miesiąca od otrzymania żądania udzieli informacji osobie, której
dane dotyczą o działaniach podjętych w związku z jej żądaniem.
4. Jeżeli zajdzie potrzeba – z uwagi na skomplikowany charakter żądania lub liczbę żądań –
termin ten zostanie przedłużony o kolejne dwa miesiące, o czym ADO poinformuje
wnioskodawcę (w terminie miesiąca od otrzymania żądania) podając przyczynę opóźnienia.
5. Jeżeli ADO nie podejmie działań w związku z żądaniem osoby, której dane dotyczą –
w terminie miesiąca od otrzymanego żądania poinformuje tą osobę o powodach niepodjęcia
działań oraz o możliwości wniesienia skargi do organu nadzorczego, a także o możliwości
skorzystania ze środków ochrony prawnej przed sądem.
6. Żądane dane będą przekazane w formie określonej przez wnioskodawcę (ustnie,
papierowo lub elektronicznie).
7. W przypadku gdy żądania osoby wnioskującej są ewidentnie nieuzasadnione
lub nadmierne ADO może:
– pobrać opłatę – uwzględniając administracyjne koszty udzielenia informacji, prowadzenia
komunikacji lub podjęcia żądanych działań,
– odmówić podjęcia działań w związku z żądaniem.
W przypadku uznania żądania za ewidentnie nieuzasadnione lub nadmierne ADO uzasadnia
odmowę realizacji żądania, wskazuje powody przemawiające za przyjęciem takiej kwalifikacji
i w formie pisemnej/elektronicznej przekazuje uzasadnienie osobie wnoszącej żądanie.
Informuje także o możliwości wniesienia skargi do Prezesa Urzędu Ochrony Danych
Osobowych (PUODO).
8. ADO gromadzi wszelkie wnioski oraz prowadzi elektroniczną ewidencję osób, których dane
dotyczą – żądających podjęcia działań i/lub wydania informacji.

3. REALIZACJA UPRAWNIEŃ PACJENTA (RODO)

Prawo pacjenta do dostępu do danych (art. 15 RODO)
Pacjent ma prawo swobodnego wyboru podstawy oraz zakresu żądania związanego
z dostępem do informacji na jego temat przetwarzanych przez lek. dent. Adama Wojtczaka.
W przypadku, w którym pacjent jednoznacznie powołuje się na prawo dostępu do danych
osobowych, o którym mowa w art. 15 RODO, w zależności od zakresu wskazanego
w żądaniu jest uprawniony do:
a) uzyskania potwierdzenia czy przetwarza się jego dane osobowe, a jeżeli ma to miejsce:
– uzyskania dostępu do tych danych oraz informacji wskazanych w art. 15 ust. 1 lit. a – h
oraz art. 15 ust. 2 RODO,
– uzyskania od ADO kopii danych osobowych podlegających przetwarzaniu, w tym kopii
danych zawartych w dokumentacji medycznej oraz innych danych osobowych (ale nie
wyciągu lub odpisu). Udostępnianie danych zawartych w dokumentacji medycznej – zgodnie
z art. 15 ust. 3 RODO nie jest równoznaczne z obowiązkiem udostępniania danych
w formacie i strukturze właściwych dla dokumentacji medycznej.

Przed udostępnieniem pacjentowi żądanych informacji, w szczególności – przed udzieleniem
pacjentowi dostępu do danych osobowych lub wydaniu pacjentowi kopii danych osobowych,
weryfikuje się jego tożsamość.
Zgodnie z art. 15 ust. 3 RODO, nieodpłatnemu udostępnieniu podlega pierwsza kopia
przetwarzanych danych. ADO może jednak pobierać opłatę od kolejnych kopii.
Za rozsądną wysokość opłaty, o której mowa w art. 15 ust. 3 RODO uznaje się opłatę nie
wyższą, niż opłaty wskazane w art. 28 ust. 4 ustawy o prawach pacjenta i Rzeczniku Praw
Pacjenta. ADO może pobrać opłatę wyższą jeżeli uzasadniają to udokumentowane, istotne
koszty administracyjne. Kopia dotyczy formy papierowej lub elektronicznej.

Prawo pacjenta do sprostowania i uzupełnienia danych osobowych (art. 16 RODO)

Pacjent ma prawo zażądać w każdym momencie niezwłocznego sprostowania danych
osobowych go dotyczących, które przetwarza ADO. Pacjent ma również prawo żądania
uzupełnienia niekompletnych danych osobowych na jego temat przetwarzanych przez ADO,
w tym poprzez przedstawienie dodatkowego oświadczenia.
Pacjent ma prawo zażądać niezwłocznego sprostowania lub uzupełnienia danych osobowych
zawartych w dokumentacji medycznej wyłącznie w zakresie w jakim nie będzie prowadzić to
do naruszenia autonomii zawodowej osoby wykonującej zawód medyczny, która
dokonywała wpisu do dokumentacji medycznej.
Wraz z wykonaniem żądania pacjenta dotyczącego sprostowania lub uzupełnienia danych
osobowych, ADO dokonuje oceny istotności i charakteru wprowadzonych sprostowań
i uzupełnień:
a) jeżeli niepoinformowanie określonych odbiorców danych o zmianach będzie nieść za sobą
zagrożenie dla życia lub zdrowia pacjenta, ADO niezwłocznie informuje o sprostowaniu
lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie
z art. 16 RODO, każdego z tych odbiorców, którym ujawnił dane osobowe – chyba że okaże
się to niemożliwe. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach,
jeżeli osoba, której dane dotyczą, tego zażąda,
b) jeżeli niepoinformowanie określonych odbiorców danych o zmianach nie będzie niosło za
sobą zagrożenia dla życia i zdrowia pacjenta, ADO informuje każdego z tych odbiorców,
którym ujawnił dane osobowe pacjenta o zakresie dokonanych zmian, chyba
że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
Dla uniknięcia wątpliwości interpretacyjnych, za działania wymagające niewspółmiernie
dużego wysiłku w sytuacji wskazanej w zdaniu poprzednim uważa się w szczególności
następujące działania wobec odbiorców:
– poinformowanie o zmianach odbiorców, z którymi nie jest możliwy jest kontakt drogą
e-mailową, lub;
– poinformowanie o zmianach odbiorców, których tożsamości ADO nie zna w chwili
dokonania sprostowania lub usunięcia zgodnie z art. 16 RODO, lub;
– poinformowanie o zmianach odbiorców, którym udostępniono dane osobowe wcześniej,
niż na rok od chwili dokonania sprostowania lub usunięcia danych.

Prawo pacjenta do usunięcia danych – „bycia zapomnianym” (art. 17 RODO)

Prawo pacjenta do bycia zapomnianym nie znajduje zastosowania wobec danych osobowych
pacjentów przetwarzanych na podstawie art. 9 ust. 2 lit h RODO, w szczególności wobec
danych przetwarzanych w ramach dokumentacji medycznej prowadzonej i przechowywanej

przez okres wskazany w art. 29 ust. 1 ustawy o prawach pacjenta oraz innych przepisach
dotyczących okresu przechowywania dokumentacji medycznej.
ADO odmawia zrealizowania prawa pacjenta do bycia zapomnianym w odniesieniu do
danych osobowych zawartych w dokumentacji medycznej przez cały wymagany przepisami
prawa okres archiwizacji dokumentacji medycznej powołując się na przepis art. 29 ust. 1
ustawy o prawach pacjenta lub inne przepisy dotyczące okresu przechowywania
dokumentacji medycznej w zw. z art. 17 ust. 3 lit. b RODO.
W przypadku gdy przetwarzanie danych osobowych pacjenta odbywa się na podstawie
zgody pacjent może zrealizować prawo do bycia zapomnianym (usunięcia danych) w zakresie
celu, w którym dane osobowe pacjenta są przetwarzane na podstawie tej zgody – pod
warunkiem że zachodzi przynajmniej jedna z przesłanek wskazanych w art. 17 ust. 1 RODO.
W przypadku usunięcia przez ADO danych zawartych w dokumentacji medycznej
w związku z żądaniem pacjenta złożonym po upływie terminu przechowywania dokumentacji
medycznej wskazanego w przepisie art. 29 ust. 1 ustawy o prawach pacjenta lub innych
przepisy dotyczące okresu przechowywania dokumentacji medycznej, przyjmuje się,
że podmioty, którym dokumentacja ta została uprzednio udostępniona posiadają wiedzę
o usunięciu zgodnie z art. 19 RODO.

Prawo pacjenta do żądania ograniczenia przetwarzania danych (art. 18 RODO)

Pacjent ma prawo żądać ograniczenia przetwarzania zgodnie z przesłanką określoną w art.
18 ust. 1 lit a RODO w odniesieniu do danych osobowych pacjentów przetwarzanych na
podstawie art. 9 ust. 2 lit h RODO w tym w szczególności wobec danych przetwarzanych
w ramach dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę.
Ograniczenie przetwarzania ma na celu zabezpieczenie danych przed dalszą możliwością ich
przetwarzania za wyjątkiem przechowywania. Ograniczenie przetwarzania może polegać
m.in. na czasowym przeniesieniu wybranych danych osobowych do innego systemu
przetwarzania lub uniemożliwieniu odbiorcom danych dostępu do wybranych danych.
Prawo pacjenta do żądania ograniczenia przetwarzania danych nie jest jednak absolutne.
ADO może przetwarzać dane osobowe pacjentów m.in. w celu realizacji ważnego interesu
publicznego, za który uznaje się w szczególności:
a) wykonywanie zadań, obowiązków oraz realizacja usług wynikających z ustawy o systemie
informacji w ochronie zdrowia, jeśli ograniczenie przetwarzania może zakłócić wykonywanie
zapisów tej ustawy;
b) wykonywanie obowiązków wynikających z innych przepisów prawa medycznego,
w przypadku gdy ograniczenie przetwarzania może stwarzać ryzyko naruszenia zdrowia
publicznego;
c) wykonywanie zobowiązań wynikających z realizacji umowy z płatnikiem publicznym,
w tym w szczególności prowadzenia sprawozdawczości;
d) udostępniania danych na potrzeby przeprowadzania kontroli przez uprawnione z mocy
prawa organy lub podmioty;
e) realizacji celów archiwalnych, badań naukowych, historycznych lub celów statystycznych.

Prawo pacjenta do przenoszenia danych (art. 20 RODO)

Prawo pacjenta do przenoszenia danych nie znajduje zastosowania wobec danych
osobowych przetwarzanych przez ADO na podstawie art. 9 ust. 2 lit. h RODO, w tym
w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych
przetwarzanych w oparciu o ww. przesłankę.

W przypadku otrzymania żądania Pacjenta związanego z wykonywaniem prawa do
przenoszenia danych w odniesieniu do danych osobowych zgromadzonych w dokumentacji
medycznej, ADO poinformuje pacjenta o braku podstawy prawnej tego prawa
oraz poinformuje o trybie w jakim pacjent może uzyskać dostęp do dokumentacji medycznej.
Prawo pacjenta do przenoszenia danych znajduje zastosowanie wyłącznie wobec operacji
przetwarzania danych osobowych prowadzonych przez jednostki, które mają charakter
zautomatyzowany i które prowadzone są w oparciu o zgodę pacjenta na przetwarzanie
danych osobowych lub w oparciu o umowę, której pacjent jest stroną.
Przetwarzanie danych w sposób zautomatyzowany ma miejsce wyłącznie gdy prowadzone
jest ono z wykorzystaniem urządzeń i systemów informatycznych i nie obejmuje ono żadnych
dokumentów w postaci papierowej.
Prawo do przenoszenia danych nie może negatywnie wpływać na prawa i wolności innych.
Ma to na celu uniknięcie uzyskiwania i przesyłania danych obejmujących dane osobowe
innych osób, których dane dotyczą (tych które nie wyraziły zgody) do nowego administratora
danych w przypadkach, gdy istnieje prawdopodobieństwo, że dane te będą przetwarzane
w sposób, który negatywnie wpłynie na prawa i wolności innych osób, których dane dotyczą.

Prawo pacjenta do sprzeciwu wobec przetwarzania danych osobowych (art. 21 RODO)

Prawo pacjenta do sprzeciwu wobec przetwarzania danych osobowych nie znajduje
zastosowania wobec danych osobowych przetwarzanych przez ADO na podstawie art. 9 ust.
2 lit. h RODO, w szczególności wobec danych przetwarzanych w ramach dokumentacji
medycznej i innych przetwarzanych w oparciu o ww. przesłankę.
Prawo pacjenta do sprzeciwu wobec przetwarzania danych osobowych znajduje
zastosowanie tylko i wyłącznie wobec danych osobowych przetwarzanych przez lek. dent.
Adama Wojtczaka w oparciu o przesłankę tzw. prawnie uzasadnionych interesów (art. 6 ust.
1 lit. f RODO).

Wykonanie praw na podstawie artykułu 34 RODO

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia
praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę,
której dane dotyczą, o takim naruszeniu.
Zawiadomienie jasnym i prostym językiem opisuje charakter naruszenia ochrony danych
osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit.
b, c i d RODO:
– zawiera imię i nazwisko oraz dane kontaktowe Inspektora ochrony danych
lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
– opisuje możliwe konsekwencje naruszenia ochrony danych osobowych;
– opisuje środki zastosowane lub proponowane przez administratora w celu zaradzenia
naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki
w celu zminimalizowania jego ewentualnych negatywnych skutków.
Zawiadomienie nie jest wymagane, w następujących przypadkach:
a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony
i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie,
w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom
nieuprawnionym do dostępu do tych danych osobowych;
b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego
ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.

c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje
publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby,
których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

lek. dent. Adam Wojtczak – Administrator danych osobowych