Polityka Prywatności CALMED Sp. z o.o.
Calmed Sp. z o.o. z siedzibą w Sopocie
Informacje wstępne
Szanując prawo do prywatności osób, które powierzyły Calmed Sp. z o.o. z siedzibą w Sopocie (dalej: Calmed Sp. z o.o. lub Administrator) swoje dane osobowe, pragniemy zadeklarować, że pozyskane dane przetwarzamy zgodnie z krajowymi i europejskimi przepisami prawa oraz w warunkach zapewaniających ich bezpieczeństwo. Chcąc zapewnić transparentność realizowanych przez siebie procesów przetwarzania przedstawiamy obowiązujące w Calmed Sp. z o.o. zasady ochrony danych osobowych, ustanowione na gruncie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: RODO).
Niniejsza Polityka prywatności nie zastępuje Polityki ochrony danych osobowych, przyjętej i stosowanej w Spółce, która obejmuje wszystkie dane osobowe przetwarzane przez Calmed Sp. z o.o. w jakiejkolwiek formie, zarówno elektronicznej, jak i papierowej.
Administrator danych
Administratorem, czyli podmiotem decydującym o celach i środkach przetwarzania danych osobowych jest Calmed Sp. z o.o. z siedzibą w Sopocie przy ul. Armii Krajowej 72/3, 81-844 Sopot. Kontakt z Administratorem jest możliwy poprzez adres e-mail: biuro@calmed.pl lub adres korespondencyjny: Calmed Sp. z o.o. ul. Armii Krajowej 72/3, 81-844 Sopot
Administrator wyznaczył Inspektora Ochrony Danych, z którym można skontaktować się w każdej sprawie dotyczącej przetwarzania danych osobowych poprzez adres e-mail: biuro@calmed.pl lub listownie na adres: Calmed Sp. z o.o. ul. Armii Krajowej 72/3, 81-844 Sopot (z dopiskiem „IOD”).
Przetwarzanie danych przez Administratora
W związku z prowadzoną przez siebie działalnością gospodarczą – świadczeniem usług medycznych, Administrator zbiera i przetwarza dane osobowe zgodnie z właściwymi przepisami, w tym w szczególności z RODO i przepisami regulującymi świadczenie usług medycznych, przestrzegając wynikających z tych przepisów zasad.
Administrator zapewnia przejrzystość przetwarzania danych, w szczególności informuje o przetwarzaniu danych w momencie ich zbierania, w tym o celu i podstawie prawnej przetwarzania. Administrator dba o to, by dane były zbierane tylko w zakresie niezbędnym do wskazanego celu i przetwarzane tylko przez okres, w jakim jest to niezbędne.
Przetwarzając dane, Administrator zapewnia ich bezpieczeństwo i poufność oraz dostęp do informacji o tym przetwarzaniu dla osób, których dane dotyczą. W przypadku, gdyby pomimo stosowanych środków bezpieczeństwa, doszło do naruszenia ochrony danych osobowych (np. „wycieku” danych lub ich utraty), Administrator informuje o takim zdarzeniu osoby, których dane dotyczą, w sposób zgodny z przepisami.
Bezpieczeństwo danych osobowych
W celu zapewnienia integralności i poufności danych, Administrator wdrożył procedury umożliwiające dostęp do danych osobowych jedynie osobom upoważnionym i jedynie w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania. Administrator stosuje rozwiązania organizacyjne i techniczne w celu zapewnienia, że wszystkie operacje na danych osobowych są dokonywane tylko przez osoby uprawnione. Administrator wdrożył Politykę Ochrony Danych Osobowych, Instrukcję dla personelu w sprawie udzielania informacji o stanie zdrowia, Procedurę analizy i zgłaszania naruszeń ochrony danych, które są dokumentami powiązanymi z Polityką Prywatności, stanowiąc razem spójny opisujący zarządzaniem bezpieczeństwem informacji w Calmed Sp. z o.o.
Administrator podejmuje ponadto wszelkie niezbędne działania, by także jego podwykonawcy i inne podmioty współpracujące dawały gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają dane osobowe na zlecenie Administratora.
Administrator prowadzi na bieżąco analizę ryzyka i monitoruje adekwatność stosowanych zabezpieczeń danych do identyfikowanych zagrożeń. W razie konieczności, Administrator wdraża dodatkowe środki służące zwiększeniu bezpieczeństwa danych.
Cele oraz podstawy prawne przetwarzania danych przez Administratora
Administrator realizując swoje funkcje biznesowe przetwarza dane:
- osób kontaktujących się z Calmed Sp. z o.o. w celu uzyskania informacji o ofercie i podzielenia się uwagami dotyczącymi usług z Calmed Sp. z o.o., a także korzystania z usług z Calmed Sp. z o.o. (pacjentów),
- kontrahentów, ich przedstawicieli, współpracowników i pracowników Calmed Sp. z o.o. w następujących celach i na podstawie poniższych podstaw prawnych:
- pacjentów którym świadczone są usługi medyczne.
Administrator jako podmiot medyczny przetwarza dane osobowe pacjentów takie jak: imię i nazwisko pacjenta; imiona rodziców (w przypadku osób nieletnich); PESEL; dane adresowe; dane kontaktowe (telefon, e-mail); podleganie ubezpieczeniu zdrowotnemu i chorobowemu; historia choroby w tym m.in. przebieg leczenia, nałogi i życie seksualne; płatności za świadczenia usług medycznych, nr rachunku bankowego, imię, nazwisko i numer telefonu osoby upoważnionej do dostępu do dokumentacji medycznej (na podstawie zawartych w nimi umów) i jest zobowiązany do prowadzenia i przechowywania dokumentacji medycznej pacjentów, której cel i zakres określają obowiązujące przepisy prawa.
Dlatego też chociaż podanie przez danych osobowych pacjenta jest dobrowolne, jednak niepodanie danych skutkuje brakiem możliwości wykonania usług medycznych (świadczeń zdrowotnych). Administrator jako podmiot medyczny ma obowiązek oznaczenia tożsamości pacjenta z wykorzystaniem jego danych osobowych, przetwarzanie danych w tym celu następuje na podstawie art. 6 ust. 1 lit c) i d) oraz art. 9 ust. 2 lit. c) i h) RODO w związku z przepisami regulującymi proces udzielania świadczeń zdrowotnych, w szczególności przepisami ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej, ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych.
Dane osobowe pacjentów przetwarzane są tylko przez osoby upoważnione przez Administratora, w celach związanych z udzielaniem świadczeń zdrowotnych, w związku z zawartą z Administratorem umową o świadczenie tych usług, w tym:
- ustalenia tożsamości przed udzieleniem świadczeń zdrowotnych (w chwili zgłoszenia, w czasie weryfikacji danych podczas umawiania wizyty za pomocą rejestracji telefonicznej, w rejestracji w siedzibie Administratora, w gabinecie lekarskim),
- diagnozy medycznej i leczenia, w tym prowadzenia dokumentacji medycznej oraz zarządzania udzielaniem świadczeń zdrowotnych, w tym rozpatrywania skarg i wniosków pacjentów,
- zapewnienia zabezpieczenia społecznego, w tym wystawiania zaświadczeń i zwolnień lekarskich;
- w celach archiwalnych, statystycznych i analitycznych;
- w celach związanych z ustaleniem, dochodzeniem lub obroną roszczeń;
- w celach związanych z prowadzeniem ksiąg rachunkowych i dokumentacji podatkowej.
- Korespondencja e-mailowa oraz tradycyjna:
W przypadku kierowania do Administratora korespondencji e-mailowej lub drogą tradycyjną, niezwiązanej z usługami świadczonymi na rzecz nadawcy lub inną zawartą z nim umową, dane osobowe zawarte w tej korespondencji tj. m.in. imię i nazwisko, adres mailowy są przetwarzane wyłącznie w celu komunikacji i załatwienia sprawy, której dotyczy ta korespondencja. Podstawą prawną przetwarzania jest uzasadniony interes Administratora (art. 6 ust. 1 lit f RODO), zgoda osoby wyrażona przez użytkownika lub cel w postaci wykonania umowy (realizacji żądania) polegający na prowadzeniu korespondencji kierowanej do niego w związku z prowadzoną działalnością gospodarczą. Administrator przetwarza jedynie dane osobowe istotne dla sprawy, której dotyczy korespondencja. Całość korespondencji jest przechowywana w sposób zapewniający bezpieczeństwo zawartych w niej danych osobowych oraz innych informacji i ujawniana jedynie osobom upoważnionym.
- Kontakt telefoniczny:
W przypadku kontaktowania się z Administratorem drogą telefoniczną, w sprawach niezwiązanych z zawartą umową lub świadczonymi usługami, możemy żądać podania danych osobowych tj. m.in. imienia i nazwiska, numeru telefonu, adresu e-mail, zajmowanego stanowiska tylko wówczas, gdy będzie to niezbędne do obsługi sprawy, której dotyczy kontakt. Podstawą prawną jest w takim wypadku uzasadniony interes Administratora (art. 6 ust. 1 lit f RODO), polegający na konieczności załatwienia zgłoszonej sprawy związanej z prowadzoną działalnością gospodarczą, zgoda osoby wyrażona przez użytkownika lub cel w postaci wykonania umowy (realizacji żądania).
- Media społecznościowe:
Dane członków społeczności w mediach społecznościowych, uzyskane bezpośrednio z portali mogą być przetwarzane przez Administratora w celach statystycznych i analitycznych bądź w celu dochodzenia roszczeń i obrony przed roszczeniami. Podstawą prawną przetwarzania Twoich danych osobowych jest w tym wypadku uzasadniony interes Administratora (art. 6 ust. 1 lit f RODO).
- Zbieranie danych w związku ze świadczeniem usług lub wykonywaniem innych umów, w tym zawarcie i wykonywanie umowy z pacjentami:
Administrator w związku z działaniami podjętymi w celu realizacji umowy o świadczenie usług medycznych kontaktuje się w uzasadnionych przypadkach z pacjentami (np. w celu poinformowania o możliwości zmiany terminu wizyty lub o konieczności jej odwołania).
Rozpatrywanie skarg i reklamacji:
Administrator w związku z rozpatrywaniem reklamacji (skarg) kontaktuje się w uzasadnionym celu z pacjentami, współpracownikami lub przedstawicielami kontrahentów.
- Dochodzenie roszczeń lub obrona przed roszczeniami prawnymi:
Administrator w związku z dochodzeniem roszczeń lub obrony przed roszczeniami prawnymi w uzasadnionym celu może przetwarzać dane pacjentów, pracowników/współpracowników kontrahentów. Przetwarzanie danych trwa przez czas trwania postępowań w zakresie dochodzonych roszczeń, tj. do czasu ich prawomocnego zakończenia, a w przypadku postępowań egzekucyjnych do czasu ostatecznego zaspokojenia dochodzonych roszczeń.
- Zbieranie danych w relacjach biznesowych:
- w związku z prowadzoną działalnością, Administrator zbiera dane osobowe także w innych przypadkach, np. podczas spotkań biznesowych, na eventach branżowych czy poprzez wymianę wizytówek – w celach związanych z nawiązywaniem i utrzymywaniem kontaktów biznesowych. Podstawą prawną przetwarzania jest w tym wypadku uzasadniony interes Administratora (art. 6 ust. 1 lit f RODO), polegający na tworzeniu sieci kontaktów w związku z prowadzoną działalnością;
- w związku ze współpracą Administratora z partnerami biznesowymi, m.in. klientami biznesowymi i dostawcami, Administrator przetwarza dane kontaktowe osób wskazanych jako kontakty biznesowe w relacji z Administratorem. Administrator przetwarza dane kontaktowe takich osób w celu bieżącej komunikacji z partnerami biznesowymi oraz podtrzymania kontaktów z nimi. Podstawą prawną przetwarzania jest w tym wypadku uzasadniony interes Administratora (art. 6 ust. 1 lit f RODO), polegający na komunikacji z partnerami biznesowymi.
- Dane osobowe zebrane w takich przypadkach przetwarzane są wyłącznie w celu dla jakiego zostały zebrane, a Administrator zapewnia ich odpowiednią ochronę.
- Przetwarzanie danych w systemach informatycznych:
Dane osobowe są przetwarzane w środowisku informatycznym, co oznacza, że mogą być także przechowywane i przetwarzane w celu zapewnienia bezpieczeństwa i poprawnego funkcjonowania systemów informatycznych, np. w związku z wykonywaniem kopii bezpieczeństwa, testami zmian w systemach informatycznych, wykrywania nieprawidłowości lub ochroną przed nadużyciami i atakami.
Calmed Sp. z o.o. zapewnia pacjentom możliwość rejestracji wizyt za pośrednictwem systemów teleinformatycznych (zapewniających bezpieczeństwo informacji) tj.: Znany Lekarz.pl i MyDr.pl. Wybór sposobu kontaktu z Calmed Sp. z o.o. jest uzależniony od woli pacjenta. Rejestracja możliwa tej telefonicznie, osobiście w siedzibie Calmed Sp. z o.o. lub za pośrednictwem ww. systemów, ale także pocztą elektroniczną i tradycyjną.
- Przechowywanie i archiwizowanie dokumentów: dokumentacji medycznej, umów i dokumentów rozliczeniowych:
Dane osobowe pacjentów są przechowywane przez wymagany przepisami prawa okres przechowywania dokumentacji medycznej, zgodnie z przepisami prawa, w szczególności art. 29 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. Przy czym co do zasady, dokumentacja medyczna jest przechowywana przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu.
W przypadku przetwarzania danych osobowych w celu prowadzenia ksiąg rachunkowych i dokumentacji podatkowej dane osobowe będą przechowywane przez wymagany przepisami prawa okres przechowywania dokumentacji księgowej i podatkowej.
W przypadku przetwarzania danych osobowych w celach związanych z ustaleniem, dochodzeniem lub obroną roszczeń dane te będą przechowywane przez okres przedawnienia roszczeń określony w przepisach prawa.
COOKIES
Praktycznie każda strona internetowa korzysta obecnie z tzw. plików cookies, czyli plików, który służą do automatycznego zbierania danych osobowych od użytkowników strony internetowej („Cookies”). Nie inaczej jest w przypadku strony Calmed Sp. z o.o. Sp. z o.o. Sp. z o.o. .pl. Pozyskane w ten sposób informacje zapisywane są na komputerze bądź innym urządzeniu mobilnym użytkownika, który z niej korzysta.
Podstawowe cele dla wykorzystywania Cookies są dwa: utrzymanie sesji użytkownika i jej zapisanie oraz zapewnienie bezpieczeństwa (np. przy wykrywaniu nadużyć). W tym zakresie korzystanie z plików Cookies jest niezbędne.
W dalszym zakresie Cookies może nie są niezbędne, ale w znacznym stopniu ułatwiają korzystanie ze strony. Wykorzystuje się je m.in. w celu:
- zapamiętania określonych wyborów użytkownika co do wyświetlania określonego komunikatu lub wyświetlanie go określoną liczbę razy,
- monitorowania aktywności użytkownika na stronie,
- zbierania anonimowych, zbiorczych statystyk pozwalających na poprawianie funkcjonalności strony.
W tym zakresie Administrator korzysta z usług podmiotów zewnętrznych, których lista ewoluuje
w zależności od ukształtowania rynku oraz możliwości technicznych. Do tych podmiotów zalicza się:
- Google Analytics (Polityka Prywatności Google) – za jego pośrednictwem Administrator weryfikuje użytkownika, który już wcześniej korzystał ze strony, obserwuje ruch oraz zachowanie użytkowników na stronie.
Należy podkreślić, że na żadnym etapie użytkownik nie jest zobowiązany do akceptacji Cookies. Za pośrednictwem przeglądarki internetowej istnieje możliwość wprowadzenia takiej konfiguracji, która uniemożliwi przechowywanie Cookies na komputerze, bądź innym urządzeniu mobilnym użytkownika. Istnieje także możliwość usunięcia obecnych Cookies. Brak akceptacji Cookies może jednak negatywnie wpłynąć na działanie strony, a w niektórych przypadkach nawet uniemożliwić korzystanie z określonych funkcji.
Logi dostępowe
W oparciu o analizę logów dostępu Administrator zbiera informacje dotyczące korzystania ze strony przez użytkowników oraz ich adresy IP. Celem pozyskiwania tych danych jest ewentualna diagnoza problemów związanych z pracą serwera, ocena ryzyka ewentualnych naruszeń bezpieczeństwa oraz zarządzanie stroną.
Powyższe informacje umożliwiają stworzenie zbiorczych zestawień statystycznych, które mogą być ujawniane osobom trzecim (kwestie związane np. z oglądalnością strony).
Niekiedy także uprawniony organ państwa, w związku z prowadzonymi postępowaniami także może zobowiązać Administratora do ujawnienia informacji o IP konkretnego użytkownika.
Przetwarzanie danych osobowych w sposób zautomatyzowany
Dane osobowe nie będą przetwarzane w oparciu o zautomatyzowane podejmowanie decyzji, w tym nie będą podlegały profilowaniu.
Odbiorcy danych
Dane osobowe pacjentów mogą zostać udostępnione innym podmiotom leczniczym udzielającym świadczeń zdrowotnych na ich rzecz na podstawie ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku praw pacjenta a także podwykonawcom wykonującym usługi na rzecz Administratora, w związku, z którymi niezbędny jest dostęp do danych osobowych (min. podmiotom świadczącym usługi księgowe, prawne, dostawcom usług IT, podmiotom przechowującym dokumentację, zapewniającym teleinformatyczne systemy rejestracji wizyt, świadczącym usługi pocztowe itp.), na podstawie umów zawartych z Administratorem, o których mowa w art. 28 RODO.
Dane osobowe innych osób (kontrahentów, podwykonawców, współpracujących, pracowników) mogą zostać udostępnione (jako odbiorcom) podwykonawcom wykonującym usługi na rzecz Administratora, w związku, z którymi niezbędny jest dostęp do tych danych osobowych (min. podmiotom świadczącym usługi księgowe, prawne, dostawcom usług IT, podmiotom przechowującym dokumentację, zapewniającym teleinformatyczne systemy rejestracji wizyt, świadczącym usługi pocztowe itp.), na podstawie umów zawartych z Administratorem, o których mowa w art. 28 RODO.
Dane osobowe mogą być przekazane także innym podmiotom (organom publicznym) posiadającym umocowanie do ich pozyskania w powszechnie obowiązujących przepisach prawa (podmioty te jednak nie są uważane za odbiorców danych (zgodnie z motywem 31 RODO)).
Przekazywanie danych do państw trzecich
Czy musisz podawać swoje dane osobowe?
Podanie danych jest niezbędne do zawarcia umów dotyczących świadczenia usług medycznych, rozliczenia prowadzonej działalności oraz wywiązania się przez Calmed Sp. z o.o. z wymogów prawa. Oznacza to, że chcąc np. skorzystać z usług oferowanych przez Calmed Sp. z o.o. musisz podać swoje dane osobowe.
Uprawnienia w zakresie przetwarzanych danych i dobrowolności podania danych
Każdej osobie, której dane są przetwarzane przez Calmed Sp. z o.o. przysługuje, na podstawie i na zasadach określonych w RODO, prawo do:
- dostępu do swoich danych osobowych,
- sprostowania/ zmiany swoich danych osobowych,
- usunięcia swoich danych osobowych (wycofania zgody),
- ograniczenia przetwarzania swoich danych osobowych,
- wniesienia sprzeciwu wobec przetwarzania swoich danych osobowych,
- żądania usunięcia danych i przenoszenia swoich danych osobowych.
Nadto, osobie, której dane są przetwarzane przez Calmed Sp. z o.o. przysługuje prawo wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych, więcej informacji pod adresem: https://uodo.gov.pl/pl/p/skargi
INFORMACJA DODATKOWE O PRZETWARZANIU DANYCH OSOBOWYCH
Calmed Sp. z o.o. pracowników, współpracowników i osób współpracujących B2B.
Przetwarzamy dane osobowe pracowników i współpracowników przede wszystkim w celu:
- przygotowania a następnie wykonania umowy o pracę lub umów o współpracę na podstawie art. 6 ust. 1 lit. b) RODO,
- wywiązania się z obowiązków prawnych nałożonych na Administratora jako pracodawcę, na podstawie art. 6 ust. 1 lit. c) RODO w zakresie przepisów prawa pracy, w szczególności ustawy z dnia 26 czerwca 1974 r. Kodeks pracy(art. 22 1 kodeksu pracy),
- nadzoru nad prawidłowym wykonywaniem obowiązków służbowych w czasie pracy i prawidłowym wykorzystywaniem narzędzi pracy udostępnionych przez Calmed Sp. z o.o. , na podstawie art. 6 ust. 1 pkt f RODO jako prawnie uzasadniony interes Administratora.
- Przetwarzamy dane w następujących celach wynikających z ciążących na Calmed Sp. z o.o. prawnych obowiązków, a wynikających z przepisów prawa pracy, ubezpieczeń społecznych oraz o świadczeniu usług opieki zdrowotnej:
- zgłoszenia (i ewentualnie zgłoszenia członków rodziny) do ubezpieczeń społecznych i zdrowotnych;
- wysyłania na okresowe badania lekarskie, zapewnienia warunków BHP;
- prowadzenia akt pracowniczych;
- realizacji obowiązków i praw wynikających ze stosunku pracy (jak np. realizacji wypłat wynagrodzeń);
- raportowania i odpowiedzi na zapytania od właściwych organów władzy publicznej np. PIP
Po rozwiązaniu umowy o pracę dane osobowe będą archiwizowane w zakresie i przez okres wynikający z przepisów prawa pracy.
Przetwarzamy dane osobowe kandydatów na pracowników/wykonawców (B2B) w celu przeprowadzenia obecnej oraz (w przypadku wyrażenia zgody) przyszłej rekrutacji na określone stanowiska.
Przetwarzamy dane osobowe współpracowników Administratora (kontrahentów na B2B) przede wszystkim w celu wykonania umowy o świadczenie usług łączącej współpracownika, kontrahenta z Administratorem lub podjęcia działań niezbędnych do zawarcia umowy czy rozpoczęcia świadczenia takich usług (na podstawie art. 6 ust. 1 lit. b RODO, w przypadku lub na podstawie art. 6 ust. 1 lit. f RODO). Dodatkowo, Administrator może również przetwarzać dane osobowe w celu wypełnienia prawnych obowiązków ciążących na nim jako Administratorze (art. 6 ust. 1 lit. c RODO), np. w zakresie udzielania odpowiedzi na żądanie organów władzy publicznej takich, jak Urząd Skarbowy.