W wypełnieniu obowiązku przewidzianego w art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej zwane „RODO”, podmiot wykonujący działalność leczniczą informuje:

1. Administratorem danych osobowych czy podmiotem decydującym o celach i sposobach ich przetwarzania jest NZOZ CENTRUM LECZENIA OTYŁOŚCI S.C.

2. Dane kontaktowe Administratora: ul. Gancarska 4, 31-115 Kraków, tel. 12 423 02 38, adres e-mail: biuro@zdroweodchudzanie.pl.

3. W sprawach dotyczących danych osobowych mogą się Państwo kontaktować z inspektorem ochrony danych pod adresem e-mail: mgross@kodo.info.pl.

4. Dane osobowe przetwarzane przez Administratora pozyskiwane są tylko od pacjenta.

5. Administrator, jako podmiot wykonujący działalność leczniczą, jest zobowiązany do prowadzenia dokumentacji medycznej w sposób określony przepisami prawa w tym do oznaczenia tożsamości pacjenta z wykorzystaniem jego danych osobowych. W takim przypadku niepodanie danych może skutkować odmową udzielenia świadczenia zdrowotnego bądź wystawienia zaświadczenia, o które pacjent wnioskuje. Jeżeli pacjent podaje Administratorowi swój numer telefonu czy adres e-mail, to odbywa się to na zasadzie dobrowolności. Niepodanie informacji w tym zakresie nie będzie skutkowało odmową udzielenia świadczenia zdrowotnego, lecz może negatywnie wpłynąć na sprawne wykonanie usługi, a w niektórych wypadkach może powodować zagrożenie dla zdrowia pacjenta, gdy będzie istnieć konieczność szybkiego przekazania mu istotnych informacji o jego stanie zdrowia.

6. Podczas świadczenia usług zdrowotnych tworzona jest dokumentacja medyczna pacjenta, w której odnotowywane są informacje dotyczące procesu leczenia. Znajdują się w niej informacje o stanie zdrowia. W dokumentacji medycznej mogą znaleźć się także informacje o nałogach pacjenta; dane te zbierane są tylko w zakresie niezbędnym do postawienia diagnozy i ustalenia właściwego toku procesu leczenia.

7. Dane osobowe przetwarzane przez Administratora przetwarzane są w następujących celach:

a) ustalenia tożsamości pacjenta przed udzieleniem świadczenia (zgodnie z art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. h RODO w zw. z art. 25 pkt 1 Ustawy o prawach pacjenta oraz art. 10 ust. 1 pkt 2 Rozporządzenia Ministra Zdrowia z dnia 9.11.2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania),

b) prowadzenia i przechowywania dokumentacji medycznej pacjenta (zgodnie z art. 9 ust. 2 lit. h RODO w zw. z art. 24 ust. 1 Ustawy o prawach pacjenta oraz Rozporządzenia MZ z dnia 9.11.2015 r.),

c) realizacji praw pacjenta, np. do udzielania innym osobom informacji o stanie zdrowia lub udostępniania dokumentacji medycznej (zgodnie z art. 6 ust. 1 lit. c RODO w zw. z art. 9 ust. 3 oraz art. 26 ust. 1 Ustawy o prawach pacjenta oraz art. 8 ust. 1 Rozporządzenia MZ z 9.11.2015 r.),

d) właściwej organizacji procesu udzielania świadczeń zdrowotnych, co wiąże się np. z kontaktem telefonicznym lub mailowym dot. ustalania czasu wizyty czy możliwości odbioru wyników badań lub innych dokumentów (zgodnie z art. 6 ust. 1 lit. a, b oraz f RODO),

e) dochodzenia ewentualnych roszczeń, jakie przysługują Administratorowi jako przedsiębiorcy z tytułu prowadzonej działalności gospodarczej (art. 6 ust. 1 lit. b oraz f RODO),

f) realizacji obowiązków podatkowych, np. wystawiania rachunków za wykonane usługi, co może się wiązać z przetwarzaniem danych osobowych usługobiorców (zgodnie z art. 6 ust. 1 lit. c RODO w zw. z art. 74 ust. 2 ustawy z dnia 29.09.1994 r. o rachunkowości),

g) prowadzenia korespondencji elektronicznej z pacjentem (zgodnie z art. 6 ust. 1 lit. a RODO),

h) monitoringu wizyjnego w celu ochrony osób i mienia (zgodnie z art. 6 ust. 1 lit. f RODO).

8. W ramach przetwarzania danych osobowych Administrator nie stosuje zautomatyzowanego przetwarzania, w tym profilowania (zgodnie z art. 22 RODO).

9. Dane osobowe pacjenta mogą być przekazywane następującym kategoriom odbiorców:

a) innym podmiotom wykonującym działalność leczniczą w celu zapewnienia ciągłości leczenia,

b) dostawcom usług, z których korzysta Administrator celem zapewnienia możliwości udzielania świadczeń (np. dostawcom specjalistycznego oprogramowania, dostawcom usług teleinformatycznych, podmiotom serwisującym sprzęt diagnostyczny, operatorom pocztowym itp.),

c) dostawcom usług księgowych, prawnych i doradczych wspierających Administratora w szczególności w przypadku ewentualnych sporów i roszczeń związanych z udzielaniem świadczeń zdrowotnych,

d) osobom upoważnionym przez pacjenta w ramach realizacji jego praw,

e) podmiotom i organom, którym Administrator zobligowany jest przekazać dokumentację medyczną pacjenta, określonych w art. 26 ust. 3 ustawy o prawach pacjenta, w zakresie jakim dotyczy to Administratora.

10. Dane pacjentów nie są przekazywane poza obszar Unii Europejskiej.

11. W zakresie dotyczącym danych zawartych w dokumentacji medycznej Administrator zobowiązany jest do przechowywania tejże dokumentacji przez okres co najmniej 20 lat od dnia dokonania w niej ostatniego wpisu (art. 29 ustawy o prawach pacjenta). Jeżeli dane były przetwarzane w celu dochodzenia roszczeń przetwarzane są one w tym celu przez okres przedawnienia roszczeń, wynikający z przepisów kodeksu cywilnego. Dane przetwarzane na potrzeby rachunkowości i wypełnienia obowiązków podatkowych przetwarzane są prze okres 5 lat liczonych od końca roku kalendarzowego, w którym powstał obowiązek podatkowy. Jeżeli dane przetwarzane są na podstawie udzielonej przez pacjenta zgody, to Administrator przetwarza je od chwili wyrażenia zgody do czasu jej cofnięcia, a w przypadku rejestracji pacjenta, do czasu realizacji wizyty. Po upływie wskazanych okresów dane będą usuwane lub poddane anonimizacji. Dane osobowe w postaci wizerunku będą przechowywane przez okres 14 dni od nagrania z monitoringu wizyjnego, po tym okresie zostaną trwale usunięte.

12. Administrator informuje, iż pacjentowi przysługują prawa:

a) do uzyskania od Administratora potwierdzenia, że przetwarza jego dane, a jeżeli ma to miejsce, to pacjent jest uprawniony do uzyskania dostępu do nich (art. 15 RODO),

b) wnioskowania o sprostowanie danych (w zakresie zgodnym z art.16 RODO), żądania ich usunięcia (w zakresie zgodnym z art. 17 RODO), żądania ograniczenia ich przetwarzania (w zakresie zgodnym z art. 18 RODO), złożenia sprzeciwu wobec przetwarzania danych (w zakresie zgodnym z art.21 RODO), wnioskowania o ich przeniesienie (w zakresie zgodnym z art.20 RODO) – w celu realizacji tych praw pacjent powinien skontaktować się z Administratorem w sposób wskazany powyżej w ust. 3,

c) wniesienia skargi do organu nadzorującego przestrzegania przepisów ochrony danych osobowych to jest do Prezesa Urzędu Ochrony Danych Osobowych.