Шановні пацієнти,
Нижче ви знайдете всю необхідну інформацію щодо опрацювання ваших персональних даних, що пов’язано з отриманням медичної допомоги в OCHO, у зв’язку з початком застосування Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних та про скасування Директиви 95/46/ЄС (далі – «GDPR»).
- Хто є адміністратором персональних даних пацієнтів?
Співадміністратором персональних даних є компанії групи OCHO. Компанії групи – це:
- OCHO sp. z o.o. з місцезнаходженням у Кракові за адресою: ul. Ludwika Solskiego 7C, 31- 216 Kraków, KRS: 0000658544, NIP: 9452201865, REGON: 366358927;
- Ośrodek Chirurgii Oka Prof. Zagórskiego sp. z o.o. з місцезнаходженням у Кракові за адресою: ul. Ludwika Solskiego 7C, 31- 216 Kraków, KRS: 0000292587, NIP: 9452092100, REGON: 120543868;
- Ośrodek Chirurgii Oka Prof. Zagórskiego sp. z o.o. з місцезнаходженням у Наленчуві за адресою: al. Małachowskiego 5, 24-140 Nałęczów, KRS: 000011429, NIP: 7162201554, REGON: 430927391;
- Gabinety Okulistyczne sp. z o.o. з місцезнаходженням у Любліні за адресою: ul. Spokojna 17/9, 20-066 Lublin, KRS: 0000134724, NIP: 7122761749, REGON: 432525449;
- Ośrodek Chirurgii Oka Prof. Zagórskiego sp. z o.o. з місцезнаходженням у Новому Сончі за адресою: Aleje Stefana Batorego 88, 33- 300 Nowy Sącz, KRS: 0000541439, NIP: 7343529838, REGON: 360669253;
- Ośrodek Chirurgii Oka Prof. Zagórskiego sp. z o.o. з місцезнаходженням у Жешуві за адресою: ul. Moniuszki 8, 35-017 Rzeszów, KRS: 0000173102, NIP: 8133423399, REGON: 180067243;
- Ośrodek Chirurgii Oka Prof. Zagórskiego sp. z o.o. sp. komandytowa з місцезнаходженням у Жешуві за адресою: ul. Moniuszki 8, 35-017 Rzeszów, KRS: 0000660608, NIP: 8133736460, REGON: 366463759;
- До кого я можу звернутися з питань, пов’язаних з опрацюванням моїх персональних даних?
З усіх питань, пов’язаних з опрацюванням ваших персональних даних Співадміністраторами OCHO, ви можете звернутися до нашого Інспектора з питань захисту даних за адресою електронної пошти: iod@ocho.pl. - Який обсяг персональних даних опрацьовує OCHO?
OCHO опрацьовує такий набір даних: ім’я, прізвище, номер PESEL, стать і дату народження (у випадку осіб без PESEL), основне місце надання допомоги, адресу проживання, адресу електронної пошти і номер телефону, зображення (записи з камер спостереження). Крім того, при отриманні медичної допомоги OCHO опрацьовує всю інформацію, що стосується процесу лікування, зокрема інформацію про стан здоров’я. - Яка мета опрацювання персональних даних?
OCHO опрацьовує персональні дані як медична установа і метою цього опрацювання є надання медичної допомоги та управління системами і послугами в галузі охорони здоров’я,
під якими ми розуміємо:
- встановлення особи пацієнта перед наданням допомоги, перевірку даних під час дистанційного запису на візит (наприклад, через Інтернет або по телефону), в реєстратурі або в кабінеті лікаря,
- надання медичних послуг і лікування пацієнтів з метою виконання договору, укладеного з пацієнтом,
- ведення і зберігання медичної документації,
- реалізацію права пацієнта, наприклад, отримання та архівування заяв, що дозволяють іншим особам мати доступ до медичної документації пацієнта і надання їм інформації про стан здоров’я пацієнта,
- зв’язок з пацієнтом за вказаним номером телефону або адресою електронної пошти з метою, наприклад, підтвердження запису або скасування дати медичної консультації, нагадування пацієнту про консультацію, інформування про необхідність підготовки до запланованої операції, а також щоб повідомити про можливість отримання результатів аналізів,
- виконання законодавчо обґрунтованої мети OCHO – проведення моніторингу на території підприємства, розвиток підприємства і його працівників, планування та організація роботи, виконання аналізів, звітів, статистики і програм або ділових чи персональних стратегій, отримання відгуків про якість наданих медичних послуг (анкети), охорона та захист майна OCHO, захист прав або встановлення і пред’явлення претензій OCHO,
- або необхідність виконання іншого конкретного юридичного зобов’язання, покладеного на OCHO чинним законодавством (податкові питання, питання бухгалтерського обліку тощо).
- На якій підставі OCHO опрацьовує персональні дані?
Відповідно до GDPR передумовами для опрацювання персональних даних можуть бути: а) згода особи, чиї персональні дані опрацьовуються, б) необхідність виконання договору, укладеного OCHO з особою, чиї персональні дані опрацьовуються, c ) конкретне юридичне зобов’язання, покладене на OCHO відповідними положеннями чинного законодавства d) необхідність захисту життєво важливих інтересів особи, чиї персональні дані опрацьовуються, e) необхідність OCHO виконувати завдання, що здійснюється в публічних інтересах, або f) необхідність виконання
законодавчо обґрунтованої мети OCHO або інші особливі випадки у сфері опрацювання
даних щодо здоров’я.
У зв’язку з вищезазначеним персональні дані, необхідні OCHO з метою, описаною:
- в літ. D 1), D 4) і D 7) вище, ми опрацьовуємо на основі конкретного юридичного зобов’язання, покладеного на OCHO чинним законодавством (ст. 6, п. 1, літ. c GDPR),
- в літ. D 2) i D 5) вище, ми опрацьовуємо, оскільки це необхідно для виконання укладеного з пацієнтом договору (ст. 6, п. 1, літ. b GDPR),
- в літ. D 3) вище, ми опрацьовуємо, оскільки це необхідно з метою профілактики здоров’я, медичної діагностики та надання медичної допомоги (ст. 9, п. 2, літ. h GDPR),
- в літ. D 6) вище, ми опрацьовуємо як так званий законодавчо обґрунтований інтерес адміністратора (ст. 6, п. 1, літ. f GDPR).
- Чи здійснює OCHO профілювання персональних даних?
OCHO не проводить автоматизованого аналізу даних, що призводить до автоматизованого прийняття будь-яких рішень щодо пацієнтів. - Кому передаються персональні дані?
Як медичний заклад, OCHO піклується про конфіденційність персональних даних своїх пацієнтів. У зв’язку з необхідністю забезпечення належної організації, наприклад, у сфері ІТ-інфраструктури або повсякденних питань, пов’язаних з нашою діяльністю як підприємця, а також реалізації прав пацієнта, персональні дані можуть
передаватися таким категоріям одержувачів:
- іншим закладам охорони здоров’я, які співпрацюють з OCHO для забезпечення безперервності лікування та доступності медичної допомоги у вигляді наших власних закладів і закладів, що співпрацюють з OCHO в Польщі, включаючи заклади, що входять до складу холдингу OCHO,
- надавачам послуг, які забезпечують OCHO технічними та організаційними рішеннями для надання медичних послуг і управління нашою компанією (зокрема, постачальникам ІКТ-послуг, постачальникам діагностичного обладнання, кур’єрським і поштовим компаніям),
- надавачам юридичних і консультаційних послуг, а також тим, які здійснюють підтримку OCHO у стягненні заборгованості (зокрема, юридичним конторам, колекторським компаніям).
- Чи передаються дані за межі Європейської економічної зони (ЄЕЗ)?
Через те, що OCHO користується послугами інших постачальників, наприклад, у сфері обслуговування діагностичного обладнання, персональні дані можуть передаватися за межі ЄЕЗ відповідно до стандартних положень про захист даних, прийнятих Європейською Комісією.
Протягом якого часу опрацьовуються персональні дані?
Якщо OCHO створила медичну документацію пацієнта, вона зобов’язана зберігати її протягом щонайменше 20 років з дати останнього запису в ній. Враховуючи цей строк, якщо дані опрацьовувались OCHO з метою пред’явлення претензій (наприклад, у провадженнях про стягнення заборгованості), вони опрацьовуються з цією метою протягом строку позовної давності за позовами відповідно до положень Цивільного кодексу.
Будь-які дані, що опрацьовуються для цілей бухгалтерського обліку та оподаткування, опрацьовуються протягом 5 років, рахуючи з кінця календарного року, в якому виникло податкове зобов’язання. Після закінчення вищезазначених строків персональні дані видаляються або анонімізуються.
- Чи надання даних є обов’язком пацієнта?
Користування послугами OCHO є добровільним, однак OCHO, як заклад охорони здоров’я, зобов’язаний вести медичну документацію в порядку, встановленому законодавством, а ненадання даних може призвести до відмови у наданні медичної допомоги. Надання даних, необхідних для виконання бухгалтерських або податкових зобов’язань, потрібне для того, щоб виставити рахунок-фактуру або персоніфікований рахунок. Надання номера телефону і/або адреси електронної пошти є добровільним, але без такої згоди OCHO не зможе забезпечити користування деякими послугами або можливостями, що надаються OCHO своїм пацієнтам (підтвердження запису на візит тощо). - Які права мають пацієнти стосовно опрацювання даних?
Пацієнти мають такі права:
- право на доступ до змісту своїх персональних даних (подання запиту про інформацію про дані, що опрацьовуються, та на отримання їх копії, зокрема копії власних персональних даних, які передаються до третьої країни) і право на їх виправлення (внесення змін), видалення даних, які опрацьовувались безпідставно, обмеження орацювання (призупинення операції з даними або невидалення даних відповідно до поданого запиту), а також право на передачу цих даних іншому адміністратору даних або пацієнту (в обсязі, визначеному ст. 20 GDPR).
- право відкликати згоду на опрацювання персональних даних в будь-який час без впливу на законність опрацювання, яке здійснювалось на підставі згоди, наданої до її відкликання.
- в окремих ситуаціях пацієнт може у будь-який час заперечити проти опрацювання OCHO персональних даних, якщо підставою використання цих даних є законний інтерес OCHO або публічний інтерес. У такій ситуації після розгляду заперечення OCHO не зможе опрацьовувати персональні дані, на які поширюється заперечення, на цій підставі, якщо тільки OCHO не доведе, що існують:
- вагомі обґрунтовані підстави для опрацювання, які законодавством
- визнані такими, що переважають інтереси, права і свободи цієї особи, або підстави для встановлення, пред’явлення або захисту претензій.
Обсяг кожного з цих прав і ситуації, в яких можна їх реалізовувати, визначаються законом.
Пацієнт також має право подати скаргу Голові Управління з питань захисту персональних даних, якщо буде виявлено, що опрацювання персональних даних компанією OCHO порушує положення GDPR.