Obowiązek informacyjny wynikający z ustawy o ochronie danych osobowych

Obowiązek informacyjny wynikający z ogólnego rozporządzenie o ochronie danych osobowych (RODO)

Szanowni Państwo, na podstawie art. 13  rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), tzw. RODO, przekazujemy poniższe informacje dotyczące przetwarzania Państwa danych osobowych w związku z udzielaniem świadczeń zdrowotnych przez Instytut Kardiologii.

Kto jest administratorem Państwa danych osobowych?
Administratorem Państwa danych osobowych jest Instytut Kardiologii im. Prymasa Tysiąclecia Stefana Kardynała Wyszyńskiego, ul. Alpejska 42, 04-628 Warszawa, NIP: 525-000-85-25, REGON: 000837583, KRS: 0000041396.

Jak mogą się Państwo skontaktować z Inspektorem Ochrony Danych?
Administrator Danych wyznaczył Inspektora Ochrony Danych, którym został Pan Mirosław Jeleniewski. Z Inspektorem można się skontaktować poprzez adres e-mail iod@ikard.pl, telefonicznie pod numerem +48 694 413 750 lub pisemnie na adres siedziby Administratora. Z Inspektorem Ochrony Danych można się kontaktować we wszystkich sprawach dotyczących przetwarzania danych osobowych.

Skąd pozyskujemy Państwa dane osobowe?
Co do zasady dane osobowe są przez Państwa podawane bezpośrednio w momencie zgłoszenia - osobiście lub poprzez infolinię. W przypadku usług medycyny pracy dane są przekazywane także przez pracodawcę kierującego Państwa na badania. W przypadku kontynuacji leczenia rozpoczętego w innym miejscu, dane mogą być otrzymywane przez Instytut Kardiologii również od innych placówek medycznych. W szczególnych sytuacjach uzasadnionych stanem zdrowia Państwa dane osobowe mogą być uzyskiwane również od Państwa osób bliskich.

Jaki jest zakres przetwarzanych przez nas danych osobowych?
Na potrzeby umawiania wizyt przetwarzane są Państwa dane obejmujące imię, nazwisko, PESEL lub datę urodzenia (w przypadku braku numeru PESEL), numer telefonu, adres e-mail. Powyższe dane są wykorzystywane także w celu weryfikacji tożsamości przed udzieleniem świadczenia zdrowotnego.
Instytut Kardiologii jako podmiot leczniczy jest zobowiązany do prowadzenia i przechowywania dokumentacji medycznej, której treść i zakres określają obowiązujące przepisy prawa. Dane zawarte w dokumentacji obejmują m.in. opis przebiegu procesu leczenia i diagnostyki.
Jeżeli wyrazili Państwo zgodę na komunikację marketingową, wykorzystywane są również Państwa dane w postaci imienia i nazwiska, adresu e-mail lub numeru telefonu. 
Dane osobowe w postaci wizerunku są rejestrowane przez kamery nagrywające obraz w sposób ciągły. Kamery nie rejestrują dźwięku. Monitoring dostępu rejestruje dane osobowe dotyczące wejścia / wyjścia osób upoważnionych.

Jakie są cele przetwarzania przez nas danych?
Przetwarzanie Państwa danych osobowych jest niezbędne do celów udzielania świadczeń zdrowotnych (diagnostyka, profilaktyka, terapia) oraz zarządzania usługami opieki zdrowotnej np. rozliczeń z płatnikiem, prowadzenia i przechowywania dokumentacji medycznej, weryfikacji tożsamości przed wizytą.
Podstawą prawną przetwarzania danych w tym celu jest art. 9 ust. 2 lit. h RODO w zw. przepisami regulującymi proces udzielania świadczeń zdrowotnych, w szczególności przepisami ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej, ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych.
Państwa dane osobowe mogą być także przetwarzane na potrzeby prowadzenia ksiąg rachunkowych oraz rozliczeń podatkowych. Podstawą prawną przetwarzania danych w tym celu jest art. 6 ust. 1 lit. c RODO w zw. z przepisami ustawy z dnia 29 września 1994 r. o rachunkowości oraz ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług.
Państwa dane osobowe mogą być również przetwarzane w celu ustalenia, dochodzenia lub obrony roszczeń przez Instytut Kardiologii. Podstawą prawną przetwarzania danych w tym celu jest art. 9 ust. 2 lit. f RODO.
Jeżeli wyrazili Państwo zgodę na komunikację marketingową, na  jej podstawie Państwa dane mogą być również wykorzystywane dla celów marketingowych.
Jako że w Instytucie Kardiologii prowadzony jest monitoring wizyjny i monitoring dostępu, Państwa dane osobowe mogą być również przetwarzane w celu zapewnienia bezpieczeństwa osób i mienia. Monitoring wizyjny obejmuje wejścia do budynków, ciągi komunikacyjne, część ciągów komunikacyjnych zewnętrznych.

Przez jaki okres przetwarzamy Państwa dane osobowe?
Państwa dane osobowe będą przechowywane przez czas określony przepisami prawa. Dokumentacja medyczna jest przechowywana co do zasady przez okres 20 lat od końca roku kalendarzowego, w którym dokonano ostatniego wpisu. Po upływie ustawowego czasu przechowywania dokumentacji medycznej będzie ona niszczona w sposób uniemożliwiający identyfikację pacjenta, którego dotyczyła, lub wydana Państwu lub osobie przez Państwa upoważnionej.
Dane służące do celów rozliczania świadczeń zdrowotnych, a także dane służące do dochodzenia roszczeń będą przetwarzane przez okres przedawnienia tych roszczeń zgodnie z przepisami Kodeksu cywilnego.
Dane przetwarzane na potrzeby księgowości i rozliczeń podatkowych są przetwarzane przez okres 5 lat od końca roku kalendarzowego, w którym powstał obowiązek podatkowy.
Jeżeli wyrazili Państwo zgodę na komunikację marketingową, dane będą przetwarzane do momentu wycofania przez Państwa zgody na przetwarzanie danych osobowych w tych celach.

Kto jest odbiorcą Państwa danych osobowych?
Państwa dane osobowe mogą być udostępnione podmiotom uprawnionym na podstawie przepisów prawa, w szczególności zgodnie z ustawą z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, w tym m.in. podmiotom udzielającym świadczeń zdrowotnych do zapewnienia ciągłości świadczeń zdrowotnych oraz organom władzy publicznej, w tym Rzecznikowi Praw Pacjenta, Narodowemu Funduszowi Zdrowia, organom samorządu zawodów medycznych oraz konsultantom krajowym i wojewódzkim, w zakresie niezbędnym do wykonywania przez te podmioty ich zadań, w szczególności nadzoru i kontroli.
Państwa dane mogą być przekazywane podmiotom przetwarzającym dane osobowe na zlecenie administratora m.in. dostawcom usług IT - przy czym takie podmioty przetwarzają dane na podstawie umowy z administratorem i wyłącznie zgodnie z poleceniami administratora.
Ponadto, jeśli wyrazili Państwo zgodę na komunikację marketingową, Państwa dane mogą być przekazywane podmiotom przetwarzającym dane osobowe na zlecenie administratora m.in. agencjom marketingowym - przy czym takie podmioty przetwarzają dane na podstawie umowy z administratorem i wyłącznie zgodnie z poleceniami administratora.

Czy Państwa dane osobowe będą przekazywane poza Unię Europejską?
Państwa dane osobowe potencjalnie mogą być przekazywane do odbiorców znajdujących się poza Unią Europejską oraz w państwach poza Europejskim Obszarem Gospodarczym (np. w przypadku kontynuacji leczenia, konsultacji wyników badań z zagranicznymi specjalistami). W takim przypadku przekazanie danych odbywać się będzie w oparciu o stosowną podstawę prawną, np. umowę pomiędzy Instytutem Kardiologii a odbiorcą, która zawierać będzie standardowe klauzule ochrony danych przyjęte przez Komisję Europejską.

Jakie mają Państwo prawa związane z przetwarzaniem danych osobowych?
Przysługuje Państwu prawo:
dostępu do Państwa danych osobowych - uzyskania od Instytutu Kardiologii potwierdzenia, czy przetwarzane są Państwa dane osobowe, a jeżeli ma to miejsce, uzyskania dostępu do nich oraz przekazania Państwu informacji w zakresie wskazanym w art. 15 RODO.
sprostowania Państwa danych osobowych - żądania od Instytutu Kardiologii niezwłocznego sprostowania danych osobowych, które są nieprawidłowe, uzupełnienia niekompletnych danych osobowych. Prawo do sprostowania danych może zostać ograniczone ze względu na obowiązki administratora danych związane z prowadzeniem dokumentacji medycznej.
usunięcia Państwa danych osobowych - żądania od Instytutu Kardiologii niezwłocznego usunięcia danych osobowych, jeżeli spełniona została jedna z przesłanek określonych w art. 17 RODO, m.in. dane osobowe nie są już niezbędne do celów, w których zostały zebrane. Prawo do usunięcia danych może zostać ograniczone ze względu na obowiązki administratora danych związane z prowadzeniem dokumentacji medycznej.
ograniczenia przetwarzania Państwa danych osobowych w przypadkach wskazanych w art. 18 RODO, m.in. kwestionowania prawidłowość danych osobowych. Prawo do ograniczenia przetwarzania danych może zostać ograniczone ze względu na obowiązki administratora danych związane z prowadzeniem dokumentacji medycznej.  
przenoszenia danych osobowych - otrzymania od Instytutu Kardiologii Państwa danych osobowych, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, jeżeli Państwa dane są przetwarzane na podstawie zgody oraz przetwarzanie odbywa się w sposób zautomatyzowany. Mogą Państwo przesłać te dane innemu administratorowi danych lub żądać, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
wniesienia sprzeciwu wobec przetwarzania danych osobowych w przypadkach określonych w art. 21 RODO.
Przysługuje Państwu również prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych.
W celu skorzystania z powyższych praw należy skontaktować się z Instytutem Kardiologii lub z Inspektorem Ochrony Danych. Dane kontaktowe wskazane są wyżej.

Czy podanie danych osobowych jest dobrowolne?
Podanie danych osobowych jest warunkiem niezbędnym do udzielenia świadczeń zdrowotnych ze względu na wymogi prawne nałożone na Instytut Kardiologii, w tym m.in. konieczność prowadzenia dokumentacji medycznej. Odmowa podania danych może być podstawą do odmowy udzielenia świadczenia zdrowotnego.
Podanie danych jest również niezbędne do wystawienia rachunku lub faktury.
Podanie danych osobowych w celach marketingowych jest całkowicie dobrowolne, brak zgody na komunikację marketingową nie może być podstawą do odmowy udzielenia świadczenia zdrowotnego.

Czy dane osobowe będą podstawą zautomatyzowanego podejmowania decyzji?
Państwa dane osobowe nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji.


Podstawa prawna przetwarzania danych osobowych:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO)
  • Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz.U. z 2018 r. poz. 1000)
  • Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz.U. 2011 nr 113 poz. 657)
  • Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta  (. Dz. U. z .2017 r., poz. 1318 z późn. zm.)
  • Ustawa z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych ( Dz. U. 2017 r., poz. 1938 z późn. zm.)
  • Ustawa z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty ( Dz.U. 2017 r., poz. 125 z późn. zm.)
  • Ustawa z dnia 15 lipca 2011 r. o zawodach pielęgniarki i położnej (Dz.U. 2018 r., poz. 123 z późn. zm.)
  • Ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej ( Dz.U. z 2018 r , poz. 160 z późn. zm.)
  • Ustawa z dnia 30 kwietnia 2010 r. o instytutach badawczych (Dz.U. 2010 nr 96 poz. 618 z późn. zm.)
  • Ustawa z dnia 30 kwietnia 2010 r. o zasadach finansowania nauki (Dz.U. 2010 nr 96 poz. 615 z późn. zm.)