Polityka ochrony danych osobowych
w gabinecie Psychoterapeuty i Coacha.
§ 1 – Postanowienia ogólne
- Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej: Polityka) ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w gabinecie Psychoterapeuty i Coacha: Piotra Borwina (dalej oznaczanego także jako: „gabinet Psychoterapeuty/Coacha” lub w skrócie „Psychoterapeuta/Coach”).
- Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
§ 2 – Polityka zawiera:
- Opis zasad ochrony danych obowiązujących w gabinecie Psychoterapeuty/Coacha,
- Odwołania do załączników uszczegóławiających (wzorcowe procedury lub instrukcje dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach).
§ 3
- Psychoterapeuta/Coach jest odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki.
- Psychoterapeuta/Coach zapewnia ponadto zgodność postępowania współpracowników Psychoterapeuty/Coacha z niniejszą Polityką w odpowiednim zakresie, gdy dochodzi do przekazania im danych osobowych przez Psychoterapeutę/Coacha w niezbędnym zakresie, np. w ramach współpracy z biurem rachunkowym.
§ 4 – Skróty i definicje
- Polityka – oznacza niniejszą Politykę ochrony danych osobowych, o ile co innego nie wynika wyraźnie z kontekstu.
- RODO – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).
- Dane – oznaczają dane osobowe, o ile co innego nie wynika wyraźnie z kontekstu.
- Dane szczególnych kategorii – oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu w gabinecie Psychoterapeuty/Coacha jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
- Dane karne – oznaczają dane wymienione w art. 10 RODO, tj. dane dotyczące wyroków skazujących i naruszeń prawa.
- Dane dzieci – oznaczają dane osób poniżej 16. roku życia.
- Osoba – oznacza osobę, której dane dotyczą w szczególności klient/pacjent Psychoterapeuty/Coacha, o ile co innego nie wynika wyraźnie z kontekstu.
- Podmiot przetwarzający – oznacza organizację lub osobę, której Psychoterapeuta/Coach powierzył przetwarzanie danych osobowych (np. usługodawca IT, zewnętrzna księgowość).
- Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
- Eksport danych – oznacza przekazanie danych do państwa trzeciego lub organizacji międzynarodowej.
- IOD lub Inspektor – oznacza Inspektora Ochrony Danych Osobowych.
- RCPD lub Rejestr – oznacza Rejestr Czynności Przetwarzania Danych Osobowych.
§ 5 – Ochrona danych osobowych w gabinecie Psychoterapeuty/Coacha – Zasady ogólne
- Ochrona danych osobowych w gabinecie Psychoterapeuty/Coacha opiera się o reguły:
- legalności – Psychoterapeuta/Coach dba o ochronę prywatności i przetwarza dane zgodnie z prawem.
- bezpieczeństwa – Psychoterapeuta/Coach zapewnia odpowiedni poziom bezpieczeństwa danych, podejmując stale działania w tym zakresie.
- poszanowania praw jednostki – Psychoterapeuta/Coach umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje.
- rozliczalności – Psychoterapeuta/Coach dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność z wytycznymi RODO.
- Psychoterapeuta/Coach przetwarza dane osobowe z poszanowaniem następujących zasad:
- w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
- rzetelnie i uczciwie (rzetelność);
- w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
- w konkretnych celach i nie „na zapas” (minimalizacja);
- nie więcej niż potrzeba (adekwatność);
- z dbałością o prawidłowość danych (prawidłowość);
- nie dłużej niż potrzeba (czasowość);
- zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
- System ochrony danych osobowych w gabinecie Psychoterapeuty/Coacha składa się z następujących elementów:
- Inwentaryzacji danych, przez co należy rozumieć że Psychoterapeuta/Coach dokonuje identyfikacji zasobów danych osobowych w gabinecie Psychoterapeuty/Coacha, klas danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych (tzw. inwentaryzacja), w tym:
- przypadków przetwarzania danych szczególnych kategorii i danych karnych;
- przypadków przetwarzania danych osób, których Psychoterapeuta/Coach nie identyfikuje (tzw.
dane niezidentyfikowane); - przypadków przetwarzania danych dzieci;
- profilowania;
- współadministrowania danymi.
- Rejestru, przez co należy rozumieć że Psychoterapeuta/Coach opracowuje, prowadzi i utrzymuje Rejestr Czynności Danych Osobowych w gabinecie Psychoterapeuty/Coach (tzw. Rejestr). Rejestr jest narzędziem rozliczania zgodności z ochroną danych w gabinecie Psychoterapeuty/Coacha.
- Podstaw prawnych działania, przez co należy rozumieć że Psychoterapeuta/Coach zapewnia, identyfikuje, weryfikuje podstawy prawne przetwarzania danych i rejestruje je w Rejestrze, w tym:
- utrzymuje system zarządzania zgodami na przetwarzanie danych i komunikację na odległość,
- inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy Psychoterapeuta/Coach przetwarza dane na podstawie prawnie uzasadnionego interesu Psychoterapeuty/Coach.
- Obsługi praw jednostki, przez co należy rozumieć że Psychoterapeuta spełnia obowiązki informacyjne względem osób, których dane przetwarza, oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania, w tym:
- obowiązki informacyjne, gdyż Psychoterapeuta/Coach przekazuje osobom prawem wymagane informacje przy zbieraniu danych i w innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków;
- możliwość wykonania żądań prawem wymaganych, gdyż Psychoterapeuta/Coach weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania przez siebie i swoich dalszych przetwarzających;
- obsługa żądań, gdyż Psychoterapeuta/Coach zapewnia odpowiednie nakłady i procedury, aby żądania osób były realizowane w terminach i w sposób wymagany RODO i dokumentowane;
- zawiadamianie o naruszeniach, gdyż Psychoterapeuta/Coach stosuje procedury pozwalające na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych.
- Minimalizacji, przez co należy rozumieć że Psychoterapeuta/Coach posiada zasady i metody zarządzania minimalizacją (tzw. privacy by default), a w tym:
- zasady zarządzania adekwatnością danych;
- zasady reglamentacji i zarządzania dostępem do danych;
- zasady zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności.
- Odpowiedniego poziomu bezpieczeństwa, przez co należy rozumieć że Psychoterapeuta/Coach zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
- przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii;
- przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie;
- dostosowuje środki ochrony danych do ustalonego ryzyka;
- posiada system zarządzania bezpieczeństwem informacji;
- stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Prezesowi Urzędu Ochrony Danych, w tym zarządza incydentami.
- Odpowiedniego poziom doboru podmiotów przetwarzających, przez co należy rozumieć że Psychoterapeuta/Coach posiada zasady doboru przetwarzających dane na rzecz Psychoterapeuty/Coach, a także wymogów co do warunków przetwarzania (umowa powierzenia), jak również zasad weryfikacji wykonywania umów powierzenia.
- Dbania o odpowiedni eksport danych, przez co należy rozumieć że Psychoterapeuta posiada zasady weryfikacji, czy Psychoterapeuta/Coach nie przekazuje danych do państw trzecich (czyli poza UE, Norwegię, Liechtenstein, Islandię) lub do organizacji międzynarodowych oraz zapewnienia zgodnych z prawem warunków takiego przekazywania, jeśli ma ono miejsce.
- Troski o tzw. privacy by design, przez co należy rozumieć że Psychoterapeuta/Coach zarządza zmianami wpływającymi na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji w gabinecie Psychoterapeuty/Coach uwzględniają konieczność oceny wpływu zmiany na ochronę danych, analizę ryzyka, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.
- Dbania o bezpieczne przetwarzanie transgraniczne, przez co należy rozumieć że Psychoterapeuta/Coach posiada zasady weryfikacji, kiedy zachodzą przypadki przetwarzania transgranicznego oraz zasady ustalania wiodącego organu nadzorczego i głównej jednostki organizacyjnej w rozumieniu RODO dla takich przypadków
- Inwentaryzacji danych, przez co należy rozumieć że Psychoterapeuta/Coach dokonuje identyfikacji zasobów danych osobowych w gabinecie Psychoterapeuty/Coacha, klas danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych (tzw. inwentaryzacja), w tym:
§ 6 – Inwentaryzacja
- Dane szczególnych kategorii i dane karne – tutaj Psychoterapeuta/Coach identyfikuje przypadki, w których przetwarza lub może przetwarzać dane szczególnych kategorii lub dane karne, oraz utrzymuje dedykowane mechanizmy zapewnienia zgodności z prawem przetwarzania takich danych. W przypadku zidentyfikowania przypadków przetwarzania danych szczególnych kategorii lub danych karnych Psychoterapeuta/Coach postępuje zgodnie z przyjętymi zasadami w tym zakresie.
- Dane niezidentyfikowane – tutaj Psychoterapeuta/Coach identyfikuje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane, i utrzymuje mechanizmy ułatwiające realizację praw osób, których dotyczą dane niezidentyfikowane.
- Profilowanie – tutaj Psychoterapeuta/Coach identyfikuje przypadki, w których dokonuje profilowania przetwarzanych danych, i utrzymuje mechanizmy zapewniające zgodność tego procesu z prawem. W przypadku zidentyfikowania przypadków profilowania i zautomatyzowanego podejmowania decyzji Psychoterapeuta/Coach postępuje zgodnie z przyjętymi zasadami w tym zakresie.
- Współadministrowanie – tutaj Psychoterapeuta/Coach każdorazowo identyfikuje przypadki współadministrowania danymi i postępuje w tym zakresie zgodnie z przyjętymi zasadami.
§ 7 – Rejestr czynności przetwarzania danych
- Rejestr Czynności Przetwarzania Danych (w skrócie oznaczany także jako: „Rejestr” lub „RCPD”) stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
- Psychoterapeuta/Coach prowadzi Rejestr Czynności Przetwarzania Danych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
- Rejestr jest jednym z podstawowych narzędzi umożliwiających Psychoterapeucie/Coachowi rozliczanie większości obowiązków ochrony danych.
- W Rejestrze dla każdej czynności przetwarzania danych, którą Psychoterapeuta/Coach uznała za odrębną dla potrzeb Rejestru, Psychoterapeuta/Coach odnotowuje co najmniej:
- nazwę czynności,
- cel przetwarzania,
- opis kategorii osób,
- opis kategorii danych,
- podstawę prawną przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu Psychoterapeuty, jeśli podstawą jest uzasadniony interes,
- sposób zbierania danych,
- opis kategorii odbiorców danych (w tym przetwarzających),
- informację o przekazaniu poza EU/EOG;
- ogólny opis technicznych i organizacyjnych środków ochrony danych.
- Rejestr zawiera także kolumny nieobowiązkowe. W kolumnach nieobowiązkowych Psychoterapeuta/Coach rejestruje informacje w miarę potrzeb i możliwości, z uwzględnieniem tego, że pełniejsza treść Rejestru ułatwia zarządzanie zgodnością ochrony danych i rozliczenie się z niej.
§ 8 – Podstawy przetwarzania
- Psychoterapeuta/Coach dokumentuje w Rejestrze podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania.
- Wskazując w dokumentach ogólną podstawę prawną: zgoda, umowa, obowiązek prawny, żywotne interesy, zadanie publiczne/władza publiczna, uzasadniony cel Psychoterapeuty/Coacha, Psychoterapeuta/Coach dookreśla podstawę w precyzyjny i czytelny sposób, gdy jest to potrzebne. Na przykład dla przesłanki „zgody”, wskazując jej zakres, a gdy podstawą jest „prawo” wskazując konkretny przepis i inne dokumenty, np. zawartą umowę, porozumienie administracyjne, a gdy powołuje się na tzw. „żywotne interesy” wskazując kategorie zdarzeń, w których się zmaterializują, a powołując się na tzw. „uzasadniony cel” wskazując konkretny cel, np. marketing własny, czy dochodzenie roszczeń.
- Psychoterapeuta/Coach wdraża metody zarządzania zgodami umożliwiające rejestrację i weryfikację posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu, zgody na komunikację na odległość np. poprzez email, telefon, wiadomości sms, oraz rejestrację odmowy zgody, cofnięcia zgody i podobnych czynności jako choćby wniesiony sprzeciw co do przetwarzania.
§ 9 – Sposób obsługi praw jednostki
- Psychoterapeuta/Coach dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza.
- Psychoterapeuta/Coach dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób.
- Psychoterapeuta/Coach wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych.
- W celu realizacji praw jednostki Psychoterapeuta/Coach zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez Psychoterapeutę/Coacha, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany
- Psychoterapeuta/Coach dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.
§ 10 – Wykonywane obowiązki informacyjne
- Psychoterapeuta/Coach określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.
- Psychoterapeuta/Coach informuje osobę o przedłużeniu ponad jeden miesiąc terminu na rozpatrzenie żądania tej osoby.
- Psychoterapeuta/Coach informuje osobę o przetwarzaniu jej danych, przy pozyskiwaniu danych od tej osoby.
- Psychoterapeuta/Coach informuje osobę o przetwarzaniu jej danych, przy pozyskiwaniu danych o tej osobie niebezpośrednio od niej.
- Psychoterapeuta/Coach określa sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, tam, gdzie to jest możliwe, np. tabliczka z adnotacją o objęciu danego obszaru monitoringiem wizyjnym.
- Psychoterapeuta/Coach informuje osobę o planowanej zmianie celu przetwarzania danych.
- Psychoterapeuta/Coach informuje osobę przed uchyleniem ograniczenia przetwarzania.
- Psychoterapeuta/Coach informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe.
- Psychoterapeuta/Coach informuje osobę o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą.
- Psychoterapeuta/Coach bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.
§ 11 – Sposoby reagowania na żądania osób
- Prawa „osób trzecich”, w tym przypadku, realizując prawa osób, których dane dotyczą, Psychoterapeuta/Coach wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste), Psychoterapeuta/Coach może się zwrócić do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
- „Nieprzetwarzanie”, w tym przypadku, Psychoterapeuta/Coach informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.
- „Odmowa”, w tym przypadku Psychoterapeuta/Coach informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.Żądanie „dostępu do danych” przez osobę której dane dotyczą, w tym przypadku Psychoterapeuta/Coach informuje osobę, czy przetwarza jej dane, oraz informuje osobę o szczegółach przetwarzania, a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych, z zastrzeżeniem, że kopii danych wydanej w wykonaniu prawa dostępu do danych Psychoterapeuta/Coach nie uzna za pierwszą nieodpłatną kopię danych dla potrzeb opłat za kopie danych.
- Żądanie „kopii danych” przez osobę której dane dotyczą, w tym przypadku Psychoterapeuta/Coach wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych. Psychoterapeuta/Coach wprowadza i utrzymuje cennik kopii danych, zgodnie z którym pobiera opłaty za kolejne kopie danych. Cena kopii danych skalkulowana jest na podstawie oszacowanego jednostkowego kosztu obsługi żądania wydania kopii danych.
- Żądanie „sprostowania danych” przez osobę której dane dotyczą, w tym przypadku Psychoterapeuta/Coach dokonuje sprostowania nieprawidłowych danych na żądanie właściwej osoby. Psychoterapeuta/Coach ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych Psychoterapeuta/Coach informuje osobę o odbiorcach danych, na żądanie tej osoby.
- Żądanie „uzupełnienia danych” przez osobę której dane dotyczą, w tym przypadku Psychoterapeuta/Coach uzupełnia i aktualizuje dane na żądanie osoby. Psychoterapeuta/Coach ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych, np. Psychoterapeuta/Coach nie musi przetwarzać danych, które są Psychoterapeucie/Coachowi zbędne). Psychoterapeuta/Coach może polegać na oświadczeniu osoby co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Psychoterapeutę/Coacha procedur, np. co do pozyskiwania takich danych, bądź niewystarczające z uwagi na przepisy prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.
- Żądanie „usunięcia danych” przez osobę której dane dotyczą, w tym przypadku Psychoterapeuta/Coach usuwa dane, gdy:
- dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach,
- zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,
- osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
- dane były przetwarzane niezgodnie z prawem,
- konieczność usunięcia wynika z obowiązku prawnego,
- żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, np. udział w konkursie na stronie internetowej.
Psychoterapeuta/Coach określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki przewidziane w art. 17 ust. 3 RODO.
W razie gdy dane podlegające usunięciu zostały upublicznione przez Psychoterapeutę/Coacha, Psychoterapeuta/Coach podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe o potrzebie usunięcia danych i dostępu do nich. W przypadku usunięcia danych Psychoterapeuta/Coach informuje osobę o odbiorcach danych, na żądanie tej osoby.
- Żądanie „ograniczenia przetwarzania” przez osobę której dane dotyczą, w tym przypadku Psychoterapeuta/Coach dokonuje ograniczenia przetwarzania danych na wniosek osoby, gdy:
- osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
- Psychoterapeuta nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
- osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Psychoterapeuty/Coacha zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
W trakcie ograniczenia przetwarzania Psychoterapeuta/Coach przechowuje dane, natomiast nie przetwarza ich, czyli ani ich nie wykorzystuje, ani ich nie przekazuje, bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego. Psychoterapeuta/Coach informuje osobę przed uchyleniem ograniczenia przetwarzania. W przypadku ograniczenia przetwarzania danych Psychoterapeuta/Coach informuje osobę o odbiorcach danych, na żądanie tej osoby.
- Żądanie „przenoszenia danych” zgłoszone przez osobę której dane dotyczą, w tym przypadku Psychoterapeuta/Coach wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Psychoterapeucie/Coachowi, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej w systemach informatycznych Psychoterapeuty.
- Zgłoszenie „sprzeciwu w szczególnej sytuacji” przez osobę której dane dotyczą, w tym przypadku jeżeli osoba zgłosi umotywowany, jej szczególną sytuacją, sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Psychoterapeutę/Coachowi w oparciu o uzasadniony interes Psychoterapeuty/Coacha lub w oparciu o powierzone Psychoterapeucie/Coachowi zadanie w interesie publicznym, Psychoterapeuta/Coach uwzględni sprzeciw, o ile nie zachodzą po stronie Psychoterapeuty/Coacha ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
- Zgłoszenie „sprzeciwu przy badaniach naukowych, historycznych lub celach statystycznych” przez osobę której dane dotyczą, w tym przypadku jeżeli Psychoterapeuta/Coach prowadzi badania naukowe, historyczne lub przetwarza dane w celach statystycznych, a osoba wniesie umotywowany, jej szczególną sytuacją, sprzeciw względem takiego przetwarzania, wówczas Psychoterapeuta/Coach uwzględni taki sprzeciw, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
- Zgłoszenie „sprzeciwu względem marketingu bezpośredniego” przez osobę której dane dotyczą, w tym przypadku Psychoterapeuta/Coach uwzględni sprzeciw i zaprzestanie takiego przetwarzania.
- Jeżeli Psychoterapeuta/Coach przetwarza dane w sposób automatyczny, w tym w szczególności profiluje osoby, i w konsekwencji podejmuje względem osoby decyzje wywołujące skutki prawne lub inaczej istotnie wpływające na osobę, Psychoterapeuta/Coach zapewnia możliwość odwołania się do interwencji i decyzji wynikłych po stronie Psychoterapeuty/Coacha, chyba że taka automatyczna decyzja:
- jest niezbędna do zawarcia lub wykonania umowy między odwołującą się osobą a Psychoterapeutą/Coachem,
- jest wprost dozwolona przepisami prawa,
- opiera się na wyraźnej zgodzie odwołującej osoby.
§ 12 – Minimalizacja przetwarzania danych
- Psychoterapeuta/Coach dba o minimalizację przetwarzania danych pod kątem: adekwatności danych do celów przetwarzania, w tym pod kątem ich ilości i zakresu, jak również pod kątem dostępu do danych, a także czasu przechowywania danych.
- „Minimalizacja zakresu” oznacza, że Psychoterapeuta/Coach zweryfikował zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO.
Psychoterapeuta/Coach dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok. Psychoterapeuta/Coach przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych w ramach procedur zarządzania zmianą, tzw. privacy by design. - „Minimalizacja dostępu” oznacza, że Psychoterapeuta/Coach stosuje ograniczenia dostępu do danych osobowych: prawne (zobowiązania do poufności, zakresy upoważnień), fizyczne (strefy dostępu, zamykanie pomieszczeń) i logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe). Psychoterapeuta/Coach stosuje kontrolę dostępu fizycznego.
Psychoterapeuta/Coach dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób oraz zmianach podmiotów przetwarzających.
Psychoterapeuta/Coach dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok. Szczegółowe zasady kontroli dostępu fizycznego i logicznego zawarte są w procedurach bezpieczeństwa fizycznego i bezpieczeństwa informacji Psychoterapeuty/Coacha. - „Minimalizacja czasu” oznacza, że Psychoterapeuta/Coach wdraża mechanizmy kontroli cyklu życia danych osobowych w gabinecie Psychoterapeuty/Coacha, w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w Rejestrze. Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu, są usuwane z systemów produkcyjnych Psychoterapeuty/Coacha, jak też z akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez Psychoterapeutę/Coacha. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystania kopii zapasowych uwzględniają wymagania kontroli nad cyklem życia danych, a w tym wymogi usuwania danych.
§ 13 – Bezpieczeństwo przetwarzania danych
- Psychoterapeuta/Coach zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez Psychoterapeutę.
- Psychoterapeuta/Coach przeprowadza oraz dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych, a w tym celu:
- Psychoterapeuta/Coach zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania – wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych.
- Psychoterapeuta/Coach kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają.
- Psychoterapeuta/Coach przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii. Psychoterapeuta/Coach analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych, uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
- Psychoterapeuta/Coach ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania, jak również Psychoterapeuta/Coach ustala przydatność oraz stosuje takie środki jak:
- pseudonimizacja,
- szyfrowanie danych osobowych,
- środki cyberbezpieczeństwa wpływające na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
- środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
Psychoterapeuta/Coach dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizą ryzyka ryzyko naruszenia praw i wolności osób jest wysokie. Psychoterapeuta/Coach stosuje metodykę oceny skutków przyjętą w gabinecie Psychoterapeuty/Coacha.
- Psychoterapeuta/Coach stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych. Środki bezpieczeństwa danych osobowych stanowią element środków bezpieczeństwa informacji i zapewnienia cyberbezpieczeństwa w gabinecie Psychoterapeuty/Coacha i są bliżej opisane w procedurach przyjętych przez Psychoterapeutę/Coacha dla tych obszarów.
- Psychoterapeuta/Coach stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie maksymalnie siedemdziesięciu dwóch godzin od ustalenia naruszenia.
§ 14 – Dalsi przetwarzający
- Psychoterapeuta/Coach posiada zasady doboru i weryfikacji dalszych przetwarzających dane na rzecz Psychoterapeuty/Coach, a opracowane w celu zapewnienia, aby owi przetwarzający dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na Psychoterapeucie/Coachowi.
- Psychoterapeuta/Coach przyjął minimalne wymagania co do umowy powierzenia przetwarzania danych.
- Psychoterapeuta/Coach rozlicza przetwarzających z wykorzystania podprzetwarzających, jak też z innych wymagań wynikających z Zasad powierzenia danych osobowych.
§ 15 – Eksport danych poza europejski obszar gospodarczy
- Psychoterapeuta/Coach rejestruje w Rejestrze przypadki eksportu danych, czyli przekazywania danych poza Europejski Obszar Gospodarczy (EOG w 2017 r. to: Unia Europejska, Islandia, Liechtenstein i Norwegia), o ile taki eksport danych następuje.
- Aby uniknąć sytuacji nieautoryzowanego eksportu danych w szczególności w związku z wykorzystaniem publicznie dostępnych usług chmurowych, Psychoterapeuta/Coach okresowo weryfikuje zachowania w sieci internet.
§ 16 – Dbanie o prywatność w razie planowania zmian organizacyjnych
- Psychoterapeuta/Coach zarządza planowaną zmianą w gabinecie Psychoterapeuty/Coacha mającą wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizacji ich przetwarzania. W tym celu zasady prowadzenia projektów i inwestycji przez Psychoterapeutę/Coacha odwołują się do zasad bezpieczeństwa danych osobowych i zasad minimalizacji przetwarzania danych, wymagając oceny wpływu na prywatność i ochronę danych, uwzględnienia i zaprojektowana bezpieczeństwa i minimalizacji przetwarzania danych od samego początku projektu lub inwestycji.
§ 17 – Obowiązywanie
- Niniejsza Polityka ochrony danych osobowych obowiązuje od dnia 01.03.2024.