1/ Podstawa prawna przetwarzania danych osobowych w zatrudnieniu

Transkrypt

1 1/ Podstawa prawna przetwarzania danych osobowych w zatrudnieniu Rozporządzenie Parlamentu Europejskiego i Rady (UE) Nr 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego w dalszej części RODO Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych Dz.U z dnia Ustawa z dnia 26 czerwca 1974 roku Kodeks pracy Dz.U t.j. z dnia Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 roku w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika Dz.U t.j. z dnia Rozporządzenie RODO jest stosowane od 25 maja 2018 roku. Każde z państw członkowskich było zobowiązane do zapewnienia jego skutecznego wprowadzenia do swojego porządku prawnego poprzez przyjęcie właściwych przepisów wewnętrznych. W Polsce przyjęto dotąd nową wersją ustawy o ochronie danych osobowych, która przede wszystkim reguluje zasady działania Prezesa Urzędu Ochrony Danych Osobowych, który zastąpił GIODO. Nie wprowadzono jednak zasadniczych zmian w ustawach sektorowych. Dopiero teraz zaczyna się proces legislacyjny dotyczący projektu ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych. Na podstawie przepisów art. 24 RODO Dyrektor Szpitala Specjalistycznego w Brzozowie Podkarpackiego Ośrodka Onkologicznego wprowadził zarządzeniem Nr 65/2018 z dnia 25 maja 2018 roku Regulamin przetwarzania i ochrony danych osobowych zwany w dalszej części Regulaminem, określający ogólne zasady obowiązujące przy przetwarzaniu danych osobowych we wszystkich zbiorach danych osobowych administrowanych przez Szpital Specjalistyczny w Brzozowie. Wraz z Regulaminem wdrożone zostały Procedury dotyczące stosowania Regulaminu przetwarzania i ochrony danych osobowych uregulowania te stanowią zbiór ogólnych i szczegółowych zasad postępowania, których przestrzeganie jest niezbędne do zapewnienia bezpiecznego przetwarzania danych osobowych. Jednocześnie regulacje te będą ulegać ciągłej modyfikacji, Strona 1 z 23

2 z uwagi na konieczność dostosowania zapisów w nich zawartych do stanu rzeczywistego oraz do zmieniających się przepisów prawa. Regulamin przetwarzania i ochrony danych osobowych oraz wszelka dokumentacja dotycząca przetwarzania danych osobowych w Szpitalu Specjalistycznym w Brzozowie dostępna jest dla wszystkich pracowników Szpitala w formacie PDF na stronie internetowej Szpitala pod adresem: w zakładce Strefa Pracownika. Zawartość tej zakładki mogą przeglądać wszystkie osoby przetwarzające dane osobowe na potrzeby Szpitala po zalogowaniu się i wpisaniu odpowiedniego hasła. Zawartość tej zakładki podlega ochronie treści tam zawarte objęte są tajemnicą przedsiębiorstwa i przeznaczone są wyłącznie dla Pracowników Szpitala Specjalistycznego w Brzozowie oraz osób wykonujących na rzecz Szpitala pracę na podstawie zawartej ze Szpitalem umowy cywilnoprawnej. 2/ Szkolenia w zakresie ochrony danych osobowych Osoby dopuszczone do przetwarzania danych osobowych w Szpitalu Specjalistycznym w Brzozowie podlegają obowiązkowemu przeszkoleniu w tym zakresie szkolenie obejmuje w szczególności treść obowiązujących przepisów dotyczących ochrony danych osobowych oraz wewnętrzne uregulowania. Nowo przyjmowani pracownicy, a także stażyści, studenci i wolontariusze podlegają obowiązkowemu przeszkoleniu przez Inspektora ochrony danych przed dopuszczeniem do pracy (w dniu przyjęcia do pracy lub w dniu rozpoczęcia stażu, praktyki lub wolontariatu). Po zakończeniu szkolenia osoby przeszkolone podpisują stosowne Oświadczenie (tzw. Klauzulę poufności ) oraz potwierdzają odbycie szkolenia zgodnie z Kartą szkolenia w zakresie ochrony danych osobowych. 3/ Przetwarzanie danych W Szpitalu Specjalistycznym w Brzozowie przetwarza się dane osobowe w następujących zbiorach danych osobowych: dokumentacja dotycząca pacjentów i byłych pacjentów; dokumentacja dotycząca pracowników i byłych pracowników oraz członków ich rodzin; dokumentacja dotycząca kontrahentów Szpitala; dokumentacja dotycząca osób fizycznych będących stroną umów cywilnoprawnych zawartych ze Szpitalem; dokumentacja dotycząca kandydatów do pracy; dokumentacja dotycząca wolontariuszy, praktykantów i studentów; dokumentacja dotycząca nadawców i odbiorców korespondencji; Strona 2 z 23

3 dokumentacja dotycząca osób przyjmowanych do zakwaterowania do Hoteliku Szpitalnego (pacjenci i ich opiekunowie); dokumentacja dotycząca osób fizycznych składających oferty w związku z postępowaniem prowadzonym w ramach zamówień publicznych; dokumentacja dotycząca wypadków przy pracy i w drodze do lub z pracy; zbiór danych pochodzący z monitoringu wizyjnego; wykaz udostępnionej dokumentacji medycznej. Bezpośredni nadzór nad przetwarzaniem danych osobowych sprawują Administrator Danych, którym jest Szpital Specjalistyczny w Brzozowie, reprezentowany przez Dyrektora Szpitala, oraz wyznaczony przez niego Inspektor Ochrony Danych. W przypadku danych osobowych przetwarzanych w systemach informatycznych, za bezpieczeństwo przetwarzania tych danych odpowiada Administrator Systemów Informatycznych oraz podlegli mu pracownicy Sekcji Obsługi i Konserwacji Urządzeń. 4/ Główne zadania Inspektora Ochrony Danych 1) informowanie Administratora Danych oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich z tytułu przetwarzania danych osobowych i doradzanie im w tej sprawie; 2) monitorowanie przestrzegania przepisów dotyczących przetwarzania danych osobowych oraz polityk Administratora Danych w dziedzinie ochrony danych osobowych (działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty); 3) współpraca z organem nadzorczym, czyli z Prezesem Urzędu Ochrony Danych Osobowych oraz pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach. Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ( osobie, której dane dotyczą ); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej Przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak: Strona 3 z 23

4 1/ zbieranie, 2/ utrwalanie, 3/ organizowanie, 4/ porządkowanie, 5/ przechowywanie, 6/ adaptowanie lub modyfikowanie, 7/ pobieranie, 8/ przeglądanie, 9/ wykorzystywanie, 10/ ujawnianie poprzez przesłanie, 11/ rozpowszechnianie lub innego rodzaju udostępnianie, 12/ dopasowywanie lub łączenie, 13/ ograniczanie, 14/ usuwanie 15/ niszczenie. 5/ Procedura niszczenia materiałów zawierających dane osobowe W przypadku fizycznej likwidacji materiałów zawierających dane osobowe, a także likwidacji sprzętu komputerowego lub innych urządzeń przetwarzających dane osobowe, głównym celem jest zapewnienie bezpiecznej z punktu widzenia ochrony danych osobowych utylizacji. W przypadku fizycznej likwidacji materiałów zawierających dane osobowe oraz nośników danych typu płyty DVD i CD, proces kasacji zostaje przeprowadzony przez Inspektora Ochrony Danych. Niszczenie zbędnej dla danej komórki organizacyjnej dokumentacji odbywa się w przystosowanej do tego celu niszczarce, według następującej procedury: 1/ osoba wyznaczona przez kierownika danej komórki organizacyjnej zawiadamia telefonicznie Inspektora Ochrony Danych o konieczności zniszczenia dokumentacji; 2/ Inspektor Ochrony Danych wyznacza termin niszczenia dokumentacji; 3/ osoba wyznaczona przez kierownika danej komórki organizacyjnej dostarcza Inspektorowi Ochrony Danych dokumentację, która ma zostać zniszczona; 4/ Inspektor Ochrony Danych niszczy tę dokumentację. W przypadku stanowisk samodzielnych lub jednoosobowych stanowisk pracy osoby zajmujące te stanowiska osobiście przedkładają do zniszczenia zbędną dokumentację. W przypadku fizycznej likwidacji urządzeń przetwarzających dane osobowe proces kasacji zostaje przeprowadzony przez Administratora Systemów Informatycznych w obecności osoby zlecającej kasację. Strona 4 z 23

5 6/ Wystąpienie zagrożeń bezpieczeństwa danych osobowych oraz incydentów zagrażających bezpieczeństwu danych osobowych oraz procedury zabezpieczające 1/ Każdy pracownik biorący udział w przetwarzaniu danych osobowych jest odpowiedzialny za bezpieczeństwo tych danych. W szczególności osoba, która zauważyła zdarzenie mogące być przyczyną naruszenia ochrony danych osobowych lub mogące spowodować naruszenie bezpieczeństwa danych, zobowiązana jest do natychmiastowego poinformowania Inspektora Ochrony Danych. 2/ W przypadku stwierdzenia naruszenia bezpieczeństwa danych, Inspektor Ochrony Danych prowadzi postępowanie wyjaśniające, w toku którego: ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały; zabezpiecza ewentualne dowody; ustala osoby odpowiedzialne za naruszenie; podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody); inicjuje działania dyscyplinarne; wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości; dokumentuje czynności podjęte w prowadzonym postępowaniu. O naruszeniu ochrony danych osobowych w systemach informatycznych Szpitala mogą świadczyć następujące symptomy: brak możliwości uruchomienia przez użytkownika aplikacji pozwalającej na dostęp do danych osobowych; brak możliwości zalogowania się do tej aplikacji; ograniczone, w stosunku do normalnej sytuacji, uprawnienia użytkownika w aplikacji (na przykład brak możliwości wykonania pewnych operacji normalnie dostępnych użytkownikowi) lub uprawnienia poszerzone w stosunku do normalnej sytuacji; wygląd aplikacji inny niż normalnie; inny zakres danych niż normalnie dostępny dla użytkownika dużo więcej lub dużo mniej danych; znaczne spowolnienie działania systemu informatycznego; pojawienie się niestandardowych komunikatów generowanych przez system informatyczny; ślady włamania lub prób włamania do obszaru, w którym przetwarzane są dane osobowe; ślady włamania lub prób włamania do pomieszczeń, w których odbywa się przetwarzanie danych osobowych, w szczególności do serwerowni oraz do pomieszczeń, w których przechowywane są nośniki kopii zapasowych; Strona 5 z 23

6 włamanie lub próby włamania do szafek, w których przechowywane są w postaci elektronicznej lub papierowej nośniki danych osobowych; zagubienie bądź kradzież nośnika danych osobowych; kradzież sprzętu informatycznego, w którym przechowywane są dane osobowe; informacja z systemu antywirusowego o zainfekowaniu systemu; fizyczne zniszczenie lub podejrzenie zniszczenia elementów systemu informatycznego przetwarzającego dane osobowe na skutek przypadkowych lub celowych działań albo zaistnienia działania siły wyższej; podejrzenie nieautoryzowanej modyfikacji danych osobowych przetwarzanych w systemie informatycznym. W przypadku wystąpienia powyższych symptomów, jak również innych objawów, które, zdaniem pracownika, mogą wskazywać na zagrożenie bezpieczeństwa danych osobowych, należy natychmiast powiadomić Inspektora Ochrony Danych. Informacja o pojawieniu się zagrożenia jest przekazywana przez pracownika osobiście, telefonicznie lub pocztą elektroniczną. Taka informacja powinna zawierać imię i nazwisko osoby zgłaszającej oraz zauważone symptomy zagrożenia. W przypadku, gdy zgłoszenie o podejrzeniu incydentu otrzyma osoba inna niż Inspektor ochrony danych, jest ona zobowiązana poinformować o tym fakcie Inspektora Ochrony Danych. Użytkownicy systemu informatycznego są zobowiązani do bezwzględnego przestrzegania następującej procedury rozpoczęcia, prowadzenia i zakończenia pracy w systemie informatycznym: rozpoczynając pracę przy komputerze użytkownik loguje się do systemu poprzez wprowadzenie wymaganych identyfikatorów i haseł w sposób uniemożliwiający ich ujawnienie osobom trzecim; w przypadku jakiejkolwiek przerwy w pracy w systemie informatycznym i opuszczenia stanowiska pracy użytkownik jest zobowiązany do wylogowania się z systemu bądź zablokowania stacji roboczej; użytkownik jest zobowiązany do korzystania z systemu informatycznego w sposób uniemożliwiający osobom nieuprawnionym zapoznanie się z danymi osobowymi; po zakończeniu pracy w systemie informatycznym użytkownik jest zobowiązany do zamknięcia aplikacji, wylogowania się z systemu oraz wyłączenia komputera; należy regularnie uaktualniać bazę wirusów zainstalowanego oprogramowania antywirusowego; w celu przesłania w postaci elektronicznej ( ) komunikatów służbowych zawierających dane osobowe należy korzystać wyłącznie ze służbowych skrzynek pocztowych; wiadomość zawierającą dane osobowe należy przed wysłaniem zaszyfrować za pomocą programu 7-zip i zaopatrzyć w odpowiedni klucz (hasło); zaszyfrowaną wiadomość można wysłać jedynie za pomocą służbowej skrzynki pocztowej, natomiast klucz Strona 6 z 23

7 do odszyfrowania wiadomości należy przekazać adresatowi wiadomości telefonicznie; niedozwolone jest bez powiadomienia o tym fakcie Administratora Danych i Inspektora Ochrony Danych zapisywanie czy kopiowanie na nośniki zewnętrzne informacji zawierających dane osobowe. 7/ Procedura postępowania w przypadku naruszenia ochrony danych osobowych 1/ każdy pracownik Szpitala, który stwierdzi fakt naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na bezpieczeństwo danych osobowych jest zobowiązany niezwłocznie zgłosić to Inspektorowi Ochrony Danych; 2/ w razie braku możliwości zawiadomienia Inspektora Ochrony Danych należy zawiadomić bezpośredniego przełożonego; 3/ do czasu przybycia na miejsce Inspektora ochrony danych należy: niezwłocznie podjąć czynności niezbędne do powstrzymania skutków naruszenie ochrony (o ile to jest możliwe); ustalić przyczynę i sprawcę naruszenia ochrony (o ile jest to możliwe); rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia; nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Inspektora Ochrony Danych. 4/ po przybyciu na miejsce naruszenia bezpieczeństwa danych osobowych Inspektor Ochrony Danych podejmuje następujące kroki: zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości pracy Szpitala; może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem; rozważa celowość i potrzebę powiadamiania o zaistniałym naruszeniu administratora; nawiązuje kontakt ze specjalistami spoza Szpitala (jeśli zachodzi taka potrzeba). 5/ Po otrzymaniu zgłoszenia o wystąpieniu symptomów wskazujących na możliwość zaistnienia w Szpitalu naruszenia bezpieczeństwa danych osobowych Inspektor Ochrony Danych, we współpracy z Kierownikiem Sekcji Obsługi i Konserwacji Urządzeń, jest zobowiązany do podjęcia kroków w celu: Strona 7 z 23

8 wyjaśnienia zdarzenia, a w szczególności czy miało miejsce naruszenie ochrony danych osobowych; wyjaśnienia przyczyn naruszenia bezpieczeństwa danych osobowych i zebranie ewentualnych dowodów, a w szczególności, gdy zdarzenie było związane z celowym działaniem pracownika bądź osób trzecich; zabezpieczenia systemu informatycznego przed dalszym rozprzestrzenianiem się zagrożenia; usunięcia skutków incydentu i przywróceniu pierwotnego stanu systemu informatycznego (to jest stanu sprzed incydentu). 6/ Inspektor Ochrony Danych określa w formie raportu, na podstawie zebranych informacji, przyczyny zaistnienia incydentu. Jeżeli incydent był spowodowany celowym działaniem, jest on zobowiązany do pisemnego powiadomienia Administratora Danych, który może poinformować organy uprawnione do ścigania przestępstw o fakcie celowego naruszenia bezpieczeństwa danych osobowych. 7/ Inspektor Ochrony Danych prowadzi ewidencję interwencji związanej z zaistniałymi incydentami w zakresie bezpieczeństwa danych osobowych. Ewidencja taka obejmuje następujące informacje: imię i nazwisko osoby zgłaszającej incydent; imię i nazwisko osoby przyjmującej zgłoszenie incydentu; datę zgłoszenia incydentu; przeprowadzone działania wyjaśniające przyczyny zaistnienia incydentu; wyniki przeprowadzonych działań; podjęte akcje naprawcze i ich skuteczność. 8/ Inspektor Ochrony Danych odpowiedzialny jest za przeprowadzenie przynajmniej raz w roku analizy zaistniałych incydentów w celu: określenia skuteczności podejmowanych działań wyjaśniających i naprawczych; określenie wymaganych działań zwiększających bezpieczeństwo systemu informatycznego i minimalizujących ryzyko zaistnienia incydentów; określenie potrzeb w zakresie szkoleń administratorów systemu i użytkowników systemu informatycznego przetwarzającego dane osobowe. 8/ Odpowiedzialność Za przestrzeganie zasad dotyczących bezpieczeństwa przetwarzania danych osobowych, odpowiedzialni są wszyscy pracownicy Szpitala oraz osoby wykonujące na jego rzecz pracę w oparciu o umowy cywilnoprawne oraz umowy kontraktowe. 2. W przypadku pracowników Szpitala, których zakres obowiązków pracowniczych nie obejmuje konieczności przetwarzania danych osobowych, a które z racji tych obowiązków mogą mieć dostęp do pomieszczeń, w których przetwarza się dane Strona 8 z 23

9 osobowe pracownicy Sekcji Gospodarczej, Sekcji Higieny Szpitalnej, Sekcji Technicznej, Kuchni i Pralni nałożono obowiązek pisemnego oświadczenia zawierającego klauzulę zobowiązującą do zachowania w tajemnicy, nieujawniania i niewykorzystywania wszelkich informacji, z którymi zapoznali się z racji wykonywanych obowiązków, w szczególności dotyczących danych osobowych. 3. Osoby przetwarzające dane osobowe zobowiązane są do stosowania postanowień dotyczących zasad przetwarzania danych osobowych. Przypadki, nieuzasadnionego zaniechania obowiązków pracowniczych w powyższym zakresie potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych. Wobec osoby, która w przypadku naruszenia bezpieczeństwa przetwarzania danych osobowych lub uzasadnionego domniemania takiego naruszenia nie podjęła określonego działania, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi procedurami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne. Kara dyscyplinarna nie wyklucza odpowiedzialności karnej tej osoby zgodnie z odpowiednimi przepisami, oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat. 9/ Procedury w postępowaniu z danymi osobowymi kandydatów do pracy w Szpitalu Specjalistycznym w Brzozowie Zakres pozyskiwania danych osobowych przez pracodawcę Zgodnie z art Kodeksu pracy (tekst jednolity: Dziennik Ustaw z dnia 16 maja 2018 roku pozycja 917): Art [Dane osobowe pracownika] 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) imiona rodziców; 3) datę urodzenia; 4) miejsce zamieszkania (adres do korespondencji); 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia. 2. Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w 1, także: Strona 9 z 23

10 1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; 2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL). 3. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych osób, o których mowa w 1 i Pracodawca może żądać podania innych danych osobowych niż określone w 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów. 5. W zakresie nieuregulowanym w 1-4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych. Zgodnie z przepisami Rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 roku w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika: 1. [Dokumenty przedkładane przez osobę ubiegającą się o zatrudnienie] 1. Pracodawca może żądać od osoby ubiegającej się o zatrudnienie złożenia następujących dokumentów: 1) wypełnionego kwestionariusza osobowego dla osoby ubiegającej się o zatrudnienie; 2) świadectw pracy z poprzednich miejsc pracy lub innych dokumentów potwierdzających okresy zatrudnienia, obejmujących okresy pracy przypadające w roku kalendarzowym, w którym pracownik ubiega się o zatrudnienie; 3) dokumentów potwierdzających kwalifikacje zawodowe, wymagane do wykonywania oferowanej pracy; 4) świadectwa ukończenia gimnazjum - w przypadku osoby ubiegającej się o zatrudnienie w celu przygotowania zawodowego; 5) orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na określonym stanowisku; 6) innych dokumentów, jeżeli obowiązek ich przedłożenia wynika z odrębnych przepisów. 2. Osoba ubiegająca się o zatrudnienie może dodatkowo przedłożyć dokumenty potwierdzające jej umiejętności i osiągnięcia zawodowe, świadectwa pracy z poprzednich miejsc pracy lub inne dokumenty potwierdzające okresy zatrudnienia, obejmujące okresy pracy przypadające w innym roku kalendarzowym niż rok, w którym pracownik ubiega się o zatrudnienie oraz dokumenty stanowiące podstawę do korzystania ze szczególnych uprawnień w zakresie stosunku pracy. 2b. Pracodawca może żądać od pracownika złożenia kwestionariusza osobowego w przypadkach, o których mowa w art Kodeksu pracy. 3. Pracodawca przechowuje w aktach osobowych pracownika odpisy lub kopie składanych dokumentów. Pracodawca może żądać od pracownika przedłożenia oryginałów tych dokumentów tylko do wglądu lub sporządzenia ich odpisów albo kopii. Strona 10 z 23

11 Przepis art stanowi ustawową podstawę do żądania od osoby ubiegającej się o pracę oraz od pracownika ujawnienia danych osobowych związanych z zatrudnieniem. Wymaga tego art. 51 Konstytucji RP, w myśl którego nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Ponieważ ten przepis Konstytucji RP ma charakter ogólny, to dotyczy on wszelkich dziedzin życia, w tym także stosunków pracy. Przepis art nie tworzy obowiązku ujawniania danych, lecz upoważnia pracodawcę do ich żądania. W odniesieniu do pracownika obowiązek taki może wynikać z treści stosunku pracy. Osoba ubiegająca się o zatrudnienie ma natomiast tylko faktyczny obowiązek ujawnienia danych, wynikający z chęci uzyskania zatrudnienia. Znaczenie art polega przede wszystkim na tym, iż ogranicza on prawo pracodawcy do zbierania informacji o osobie ubiegającej się o zatrudnienie i pracowniku. Przepis art nie wyklucza dobrowolnego ujawnienia dalszych informacji przez osobę ubiegającą się o zatrudnienie lub pracownika. Pracodawca może przetwarzać takie dane, jeżeli odpowiada to warunkom określonym w rozporządzeniu RODO, jak również w ustawie o ochronie danych osobowych, jak również nie narusza innych przepisów prawa pracy, np. dotyczących obowiązku równego traktowania pracowników czy ochrony ich godności. Artykuł 22 1 zezwala na gromadzenie trzech grup danych: 1) wyliczonych w nim enumeratywnie ( 1 i 2 ); 2) danych osobowych pracownika i jego dzieci, koniecznych ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy ( 2 ); 3) innych danych osobowych, jeżeli obowiązek ich podania wynika z odrębnych przepisów ( 4 ). Podanie dodatkowych danych, takich jak: adres poczty elektronicznej, adres do korespondencji, numer telefonu kontaktowego, zdjęcia jest dobrowolne. Jeżeli kandydat zostanie pracownikiem, to będzie można nadal przetwarzać jego adres do korespondencji, numer telefonu kontaktowego, zdjęcie oraz adres poczty elektronicznej tylko wtedy, gdy pracownik wyrazi na to zgodę na piśmie.... (imię i nazwisko)... (miejscowość, data)... Strona 11 z 23

12 ... (adres) ZGODA na przetwarzanie danych osobowych pracownika Ja niżej podpisany/a wyrażam zgodę na przetwarzanie następujących danych osobowych: 1)... 2)... 3)... 4)... w celach związanych z przebiegiem zatrudnienia w Szpitalu Specjalistycznym w Brzozowie Podkarpackim Ośrodku Onkologicznym im. Ks. Bronisława Markiewicza z siedzibą w Brzozowie przy ulicy Ks. J. Bielawskiego 18. Rozumiem, że moje ww. dane osobowe będą przechowywane przez Szpital Specjalistyczny w Brzozowie Podkarpacki Ośrodek Onkologiczny do momentu wycofania przeze mnie zgody. Po wycofaniu zgody dane zostaną zniszczone. Rozumiem, że przysługuje mi prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, jak również prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody na ich przetwarzanie w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody wyrażonej przed jej cofnięciem.... (data i podpis pracownika) Pracodawca nie ma obowiązku przechowywania dokumentacji zgromadzonej w procesie rekrutacji, lecz ma taką możliwość. Gromadzenie danych osobowych kandydatów do pracy w pewnych wypadkach jest wręcz niedopuszczalne. Będzie tak wówczas, gdy osoba ubiegająca się o pracę nie wyrazi na to zgody, bądź wyrazi zgodę jedynie na wykorzystanie dokumentów (przetwarzanie danych osobowych) w procesie rekrutacji a nie po jego zakończeniu. Przykładowo, zawarta w życiorysie adnotacja: wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w mojej ofercie pracy niezbędnych do realizacji procesu rekrutacji nie upoważnia do przetwarzania danych po zakończeniu procesu rekrutacji. Na przetwarzanie danych osobowych po zakończeniu procesu rekrutacji musi być wyrażona wyraźna zgoda. Okres przechowywania takich danych nie jest ograniczony w czasie, ale zainteresowana osoba może żądać ich usunięcia w każdym momencie. Strona 12 z 23

13 Kandydaci do pracy dokumenty aplikacyjne Jeżeli kandydat do pracy aplikuje bezpośrednio do potencjalnego pracodawcy i w CV podaje jedynie wymagane przepisami dane, to klauzula zgody będzie zbędna. W przypadku, gdy w dokumentach aplikacyjnych kandydaci zamieszczą więcej niż wymagają tego przepisy danych (na przykład: adres , numer telefonu, zdjęcie), a pracodawca planuje przechowywanie tej dokumentacji przez okres dłuższy niż tylko do tej jednej, konkretnej, ogłoszonej rekrutacji, wówczas zasadne jest poproszenie o wyrażenie przez kandydata odpowiedniej zgody: Wzór klauzuli zgody na przetwarzanie danych osobowych w celu rekrutacji CV kandydatów nierozpatrzone w danym procesie rekrutacji są przechowywane przez okres.. na potrzeby kolejnych procesów rekrutacji. Po tym okresie są usuwane, a dane osobowe kandydatów nie są przetwarzane w żadnym innym celu. Aplikacji nie odsyłamy. Kontaktujemy się jedynie z wybranymi osobami. Osoby zainteresowane udziałem w kolejnych i podobnych procesach rekrutacji prosimy o zamieszczenie w swoim CV klauzuli o treści: Wyrażam zgodę na przetwarzanie moich danych osobowych przez Szpital Specjalistyczny w Brzozowie Podkarpacki Ośrodek Onkologiczny im. Księdza Bronisława Markiewicza z siedzibą w Brzozowie przy ulicy Księdza Józefa Bielawskiego 18, którego przedstawicielem jest Dyrektor Szpitala do potrzeb niezbędnych do realizacji obecnego oraz przyszłych procesów rekrutacji. Realizacja obowiązku informacyjnego względem osób, których dane Szpital przetwarza Artykuł 13 Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą 1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje: a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela; b) gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych; c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania; Strona 13 z 23

14 d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; f) gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych. 2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania: a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; d) informacje o prawie wniesienia skargi do organu nadzorczego; e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. 3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust Ust. 1, 2 i 3 nie mają zastosowania, gdy - i w zakresie, w jakim - osoba, której dane dotyczą, dysponuje już tymi informacjami. KLAUZULA INFORMACYJNA DLA KANDYDATÓW DO PRACY W SZPITALU Zgodnie z art. 13 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego Strona 14 z 23

15 przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) tzw. RODO, Szpital Specjalistyczny w Brzozowie Podkarpacki Ośrodek Onkologiczny informuje, iż: 1) Administrator danych Administratorem Pani/Pana danych osobowych jest Szpital Specjalistyczny w Brzozowie Podkarpacki Ośrodek Onkologiczny im. Księdza Bronisława Markiewicza z siedzibą w Brzozowie przy ulicy Księdza Józefa Bielawskiego 18. 2) Inspektor ochrony danych Inspektorem ochrony danych w Szpitalu Specjalistycznym w Brzozowie Podkarpackim Ośrodku Onkologicznym jest mgr Robert Tomza budynek G (Administracja) pokój nr 28 tel. służb lub ; adres robert.tomza@szpital-brzozow.pl 3) Cel i podstawa prawna przetwarzania danych Pani/Pana dane osobowe przetwarzane będą w celu związanym z realizacją procesu rekrutacji i zawarcia umowy o pracę, a w przypadku wyrażenia dodatkowej zgody, również w celu przyszłych rekrutacji - na podstawie art. 6 ust. 1 lit. a RODO. Zgoda będącą podstawą przetwarzania danych osobowych ma charakter dobrowolnej, a brak wyrażenia zgody, spowoduje brak możliwości przetwarzania danych osobowych w celu realizacji procesu rekrutacji. Może Pani/Pan w każdym momencie wycofać zgodę, przy czym cofnięcie zgody nie ma wpływu na zgodność przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. 4) Odbiorcy danych W związku z przetwarzaniem danych w celu wskazanym w pkt 3, Pani/Pana dane osobowe mogą być udostępniane innym odbiorcom lub kategoriom odbiorców danych osobowych. Odbiorcami Pani/Pana danych osobowych mogą być tylko podmioty uprawnione do odbioru Pani/Pana danych na podstawie przepisów prawa, oraz podmioty współpracujące w procesie rekrutacji. Dane osobowe mogą być przekazywane do państw trzecich, które zapewniają odpowiedni stopień ochrony danych osobowych. 5) Okres przetwarzania Pani/Pana dane osobowe będą przetwarzane aż do ewentualnego wycofania zgody na przetwarzanie, nie dłużej jednak niż do zakończenia rekrutacji, w której bierze Pani/Pan udział. W przypadku wyrażenia dodatkowej, odrębnej zgody na udział Strona 15 z 23

16 kandydata w przyszłych procesach rekrutacyjnych, dane osobowe przetwarzane będą przez okres 2 lat, którego upływ nastąpi z końcem roku kalendarzowego, chyba że zgoda zostanie wcześniej cofnięta. 6) Zautomatyzowane podejmowanie decyzji i profilowanie Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu. Zautomatyzowanym podejmowaniem decyzji jest proces, w wyniku którego decyzja dotycząca osoby fizycznej zostaje wydana bez ludzkiej ingerencji w jej podejmowanie. Za jego przykład można podać automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej. Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. Przybierać może ono dwie formy: zbierania danych o osobie fizycznej oraz wnioskowania o cechach osoby fizycznej na podstawie posiadanych o niej informacji. 7) Przysługujące prawa Przysługuje Pani /Panu prawo dostępu do danych, w tym żądania kopii danych, a ponadto prawo żądania ich sprostowania (aktualizacji), usunięcia ( prawo do bycia zapomnianym ) lub ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do cofnięcia zgody na przetwarzanie danych oraz prawo do wniesienia skargi do organu nadzorczego Prezesa Urzędu Ochrony Danych Osobowych w przypadku uznania, że dane przetwarzane są niezgodnie z ogólnie obowiązującymi przepisami. 10/ Procedury w postępowaniu z danymi osobowymi pracowników Szpitala Specjalistycznego w Brzozowie KLAUZULA INFORMACYJNA DLA PRACOWNIKA SZPITALA Zgodnie z art. 13 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Szpital Specjalistyczny w Brzozowie Podkarpacki Ośrodek Onkologiczny informuje, iż: Strona 16 z 23

17 1) Administrator Danych Administratorem Pani/Pana danych osobowych jest Szpital Specjalistyczny w Brzozowie Podkarpacki Ośrodek Onkologiczny im. Księdza Bronisława Markiewicza z siedzibą w Brzozowie przy ulicy Księdza Józefa Bielawskiego 18. 2) Inspektor Ochrony Danych Inspektorem ochrony danych w Szpitalu Specjalistycznym w Brzozowie Podkarpackim Ośrodku Onkologicznym jest mgr Robert Tomza budynek G (Administracja) pokój nr 28 tel. służb lub ; adres robert.tomza@szpital-brzozow.pl 3) Cel i podstawa prawna przetwarzania danych Pani/Pana dane osobowe przetwarzane są w szczególności w celach: zawarcia, wykonywania i zakończenia umowy o pracę; wykonywania obowiązków wynikających z Kodeksu pracy oraz przepisów wykonawczych, w tym prowadzenia oraz archiwizacji akt osobowych; wykonywania czynności związanych z obowiązkami i odpowiedzialnością pracownika, zakazem konkurencji, kwalifikacjami zawodowymi pracownika, w tym realizacją szkoleń; zarządzania personelem, planowania i analizy zatrudnienia, zarządzania mieniem powierzonym pracownikowi, wypłat i zarządzania wynagrodzeniami, przydzielania zadań, oceny pracownika; zarządzania wynikami pracy; wykonywania czynności związanych z ewentualną odpowiedzialnością porządkową pracowników, odpowiedzialnością pracowników za szkodę wyrządzoną pracodawcy, odpowiedzialnością pracowników za mienie powierzone pracownikowi, w tym ustalanie i dochodzenie ewentualnych roszczeń; wykonywania obowiązków wynikających z przepisów o: ubezpieczeniu społecznym, ubezpieczeniu zdrowotnym, podatkach, wypadkach przy pracy, zakładowym funduszu świadczeń socjalnych, rachunkowości, powszechnym obowiązku obrony oraz z innych zobowiązań wywodzących się z obowiązujących regulacji; zapewnienia bezpieczeństwa na terenie należącym do Spółki oraz ochrony mienia (m.in. monitoring wizyjny, monitoring systemów informatycznych, wewnętrzna identyfikacja wizualna pracowników, stosowanie systemu kontroli dostępu); zapewnienia ochrony informacji oraz przestrzegania tajemnic zawodowych; Strona 17 z 23

18 obsługi finansowej, administracyjnej oraz informatycznej, w tym założenia i utrzymywania kont w systemach informatycznych; udostępniania danych podmiotom upoważnionym do tego na podstawie przepisów prawa oraz podmiotom, którym podanie jest niezbędne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. 4) Odbiorcy danych W związku z Pani/Pana zatrudnieniem i realizacją wszelkich procesów z tym związanych Administrator może przekazywać Pani/Pana dane osobowe następującym podmiotom zewnętrznym: a) podmiotom świadczącym usługi z zakresu medycyny pracy oraz świadczącym usługi z zakresu komercyjnej opieki medycznej; b) podmiotom odpowiedzialnym za BHP; c) podmiotom świadczącym usługi i opiekę socjalną, w tym oferującym pakiety socjalne (np. programy emerytalne, ubezpieczenia grupowe); d) biurom podróży (na potrzeby podróży służbowych); e) podmiotom świadczącym usługi z zakresu ochrony osób i mienia; f) dostawcom systemów informatycznych i usług IT; g) innym podmiotom, z którymi Administrator ma zawarte umowy współpracy w celu realizacji obowiązków Administratora przewidzianych prawem, ochrony jego praw zgodnie z przepisami prawa oraz realizacji uzasadnionego interesu Administratora w rozumieniu przepisów o ochronie danych osobowych, takim jak np. podmioty świadczące Administratorowi usługi doradcze, konsultacyjne, audytowe, szkoleniowe, organizacyjne, pomoc prawną, podatkową, rachunkową, kadrowo - księgową; h) organom nadzorującym, organom władzy i innym osobom trzecim w przypadku, gdy jest to niezbędne dla realizacji celów wskazanych powyżej oraz wypełnienia obowiązków nałożonych prawem; Przekazanie danych regulowane jest stosownymi umowami powierzenia przetwarzania danych osobowych (w sytuacji, gdy odbiorcy danych przetwarzają dane osobowe na zlecenie Administratora). Przekazanie danych nie uprawnia innych podmiotów do dowolnego ich przetwarzania, a jedynie do korzystania z nich w celach wyraźnie wskazanych. Strona 18 z 23

19 5) Okres przetwarzania danych Pani/Pana dane osobowe przechowywane będą przez czas niezbędny do osiągnięcia celów, dla których dane te są gromadzone, wykonania obowiązków wynikających z przepisów prawa, w tym wymogów w zakresie okresu przechowywania i archiwizacji akt pracowniczych, a maksymalnie przez okres zabezpieczenia materiałów niezbędnych dla postępowań prawnych oraz do czasu ewentualnego przedawnienia roszczeń. W razie przetwarzania danych osobowych w oparciu o wyrażoną przez Panią/Pana zgodę, Administrator będzie przechowywał Pani/Pana dane do momentu wycofania zgody. Administrator zakończy przetwarzanie danych zbieranych w oparciu o prawnie uzasadniony interes, jeżeli zgłosi Pani/Pan sprzeciw wobec przetwarzania danych w tych celach. Po upływie okresu przetwarzania, dane są nieodwracalnie usuwane lub nieodwracalnie anonimizowane. 6) Zautomatyzowane podejmowanie decyzji i profilowanie Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu. Zautomatyzowanym podejmowaniem decyzji jest proces, w wyniku którego decyzja dotycząca osoby fizycznej zostaje wydana bez ludzkiej ingerencji w jej podejmowanie. Za jego przykład można podać automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej. Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. Przybierać może ono dwie formy: zbierania danych o osobie fizycznej oraz wnioskowania o cechach osoby fizycznej na podstawie posiadanych o niej informacji. 7) Przysługujące prawa Posiada Pani/Pan prawo do: dostępu do treści swoich danych, żądania ich sprostowania, usunięcia lub ograniczenia ich przetwarzania; wniesienia sprzeciwu wobec przetwarzania danych osobowych w zakresie, w jakim podstawą przetwarzania danych osobowych jest prawnie uzasadniony interes Administratora; wycofania w każdej chwili zgody w zakresie, w jakim jest ona podstawą przetwarzania danych Pani /Pana danych. Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem; Strona 19 z 23

20 przenoszenia danych osobowych, tj. do otrzymania od Administratora informacji o przetwarzanych danych osobowych, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, w zakresie, w jakim Pani /Pana dane są przetwarzane w celu zawarcia i wykonywania umowy lub na podstawie zgody; wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. KLAUZULA INFORMACYJNA DOTYCZĄCA STOSOWANIA PRZEZ SZPITAL MONITORINGU WIZYJNEGO Zgodnie z art. 13 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) tzw. RODO, Szpital Specjalistyczny w Brzozowie Podkarpacki Ośrodek Onkologiczny informuje, iż: 1) Administrator Danych Administratorem danych osobowych (tzw. danych biometrycznych obejmujących wizerunek osoby) pozyskanych za pomocą kamer rejestrujących i nagrywających obraz jest Podkarpacki Ośrodek Onkologiczny im. Księdza Bronisława Markiewicza z siedzibą w Brzozowie przy ulicy Księdza Józefa Bielawskiego 18. 2) Inspektor ochrony danych Inspektorem Ochrony Danych w Szpitalu Specjalistycznym w Brzozowie Podkarpackim Ośrodku Onkologicznym jest mgr Robert Tomza budynek G (Administracja) pokój nr 28 tel. służb lub ; adres robert.tomza@szpital-brzozow.pl 3/ Cel i podstawa prawna przetwarzania danych Monitoring wizyjny został wprowadzony w celu zapewnienia bezpieczeństwa osobom poruszającym się na terenie Szpitala oraz w celu ochrony mienia Szpitala. Monitoring wizyjny jest wprowadzonym przez Zarząd Szpitala szczególnym nadzorem nad terenem Szpitala oraz terenem wokół jego obiektów w postaci środków technicznych umożliwiających rejestrację obrazów za pośrednictwem kamer. Ponadto dane pozyskane w ten sposób mogą być przetwarzane przez Szpital w celu ustalenia, dochodzenia i obrony roszczeń Szpitala w postępowaniu sądowym. Podstawą prawną przetwarzania danych osobowych pozyskanych z monitoringu wizyjnego (wizerunek) Strona 20 z 23

21 jest art. 6 ust. 1 lit. f) RODO, tj. prawnie uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa osobom i mieniu szpitalnemu. Monitoring obejmuje: niektóre pomieszczenia szpitalne (serwerownia i korytarz Izby Przyjęć) oraz tereny na zewnątrz wokół obiektów, głównie parkingi i bramy wjazdowe na teren Szpitala. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej. Udostępnienie danych osobowych jest dobrowolne, ale niezbędne w celu rejestracji obrazu, pochodzącego z monitoringu wizyjnego Szpitala poruszanie się po terenach Szpitala objętych monitoringiem wizyjnym jest jednoznaczne z wyrażeniem zgody na przetwarzanie danych osobowych pochodzących z monitoringu wizyjnego. 4) Odbiorcy danych W związku z przetwarzaniem danych w celach wskazanych w pkt 3, dane osobowe pozyskane za pomocą monitoringu mogą być udostępniane innym odbiorcom lub kategoriom odbiorców danych osobowych. Odbiorcami tych danych mogą być tylko podmioty uprawnione do odbioru danych na podstawie odpowiednich przepisów prawa oraz firmy obsługujące nas w zakresie teleinformatycznym, prawnym oraz ochrony mienia i osób. Zebrane dane osobowe nie będą przekazywane do podmiotów powiązanych ze Szpitalem Specjalistycznym w Brzozowie poza Unią Europejską lub Europejskim Obszarem Gospodarczym. 5/ Okres przechowywania danych Dane osobowe pozyskane z monitoringu będą przetwarzane wyłącznie przez okres niezbędny do realizacji celów przetwarzania, tj. przez okres nieprzekraczający 3 miesięcy, a w przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu lub Administrator danych powziął wiadomość, iż mogą one stanowić dowód w postępowaniu sądowym, ww. termin ulega przedłużeniu do czasu prawomocnego zakończenia postępowania sądowego, w każdym przypadku nie dłużej jednak niż obowiązujące terminy przedawnienia roszczeń cywilnych i karnych, stosownie do postanowień w szczególności: ustawy z dnia 23 kwietnia 1964 roku Kodeks cywilny, ustawy z dnia 6 czerwca 1997 roku Kodeks karny oraz ustawy z dnia 20 maja 1971 roku Kodeks wykroczeń. Po upływie ww. okresów uzyskane w wyniku monitoringu nagrania zawierające dane osobowe, podlegają automatycznemu zniszczeniu. 6/ Przysługujące prawa W związku z przetwarzaniem ww. danych osobowych, przysługuje Pani/Panu prawo dostępu do treści swoich danych osobowych oraz ich sprostowania, usunięcia lub ograniczenia przetwarzania, lub prawo do wniesienia sprzeciwu wobec przetwarzania, Strona 21 z 23

22 a także prawo do przenoszenia danych oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. 7/ Zautomatyzowane podejmowanie decyzji i profilowanie Dane osobowe pozyskane przez Szpital za pośrednictwem monitoringu wizyjnego nie będą podlegały zautomatyzowanym procesom podejmowania decyzji, w tym profilowaniu przez Szpital. Ochrona wizerunku Wizerunek stanowi dane osobowe, zawiera bowiem informacje, które umożliwiają identyfikację konkretnej osoby fizycznej. Dlatego administrator danych powinien chronić dane osobowe w postaci wizerunku, na takich samych zasadach jak pozostałe dane osobowe przez niego przetwarzane. ZGODA NA PRZETWARZANIE WIZERUNKU Oświadczam, że: 1/ na zdjęciu załączonym do niniejszej zgody znajduje się mój wizerunek, 2/ udzielam Szpitalowi Specjalistycznemu w Brzozowie Podkarpackiemu Ośrodkowi Onkologicznemu, zwanemu upoważnionym, bezterminowej zgody na rozpowszechnianie, na zasadach i w sposób określony w niniejszym oświadczeniu, mojego wizerunku wskazanego w pkt 1 niniejszego oświadczenia (zwanego dalej wizerunkiem ). zakres upoważnienia Niniejsza zgoda upoważnia upoważnionego do rozpowszechniania wizerunku w celach informacyjnych poprzez udostępnienie wizerunku bez ograniczeń czasowych oraz terytorialnych, w szczególności w celu zamieszczenia wizerunku w mediach zewnętrznych oraz w mediach wewnętrznych upoważnionego w związku z prowadzoną przez upoważnionego działalnością z zakresu wykonywania świadczeń zdrowotnych. zmiany i modyfikacje Dla umożliwienia rozpowszechnienia wizerunku w celach, w sposób i na zasadach określonych w niniejszym oświadczeniu wyrażam także zgodę na dokonanie przez upoważnionego, samodzielnie lub za pośrednictwem osób trzecich, zmian i modyfikacji zdjęcia załączonego do niniejszej zgody, niezbędnych do jego rozpowszechniania, a polegających na jego obróbce graficznej (retusz, zmiana kadrowania i inne tym podobne modyfikacje) oraz na wkomponowaniu wizerunku w inne utwory, w tym artykuły, z zastrzeżeniem, że te zmiany i modyfikacje nie mogą zniekształcać wizerunku. Zmiany i modyfikacje dokonane na zasadach określonych w zdaniu poprzednim nie wymagają odrębnego zatwierdzania przez moją osobę. osoby trzecie W związku z korzystaniem lub rozpowszechnianiem przez upoważnionego wizerunku, upoważniony może w zakresie i na warunkach określonych w niniejszym oświadczeniu udzielać osobom trzecim zgody na korzystanie lub rozpowszechnianie wizerunku. Strona 22 z 23

23 Wyrażam zgodę na przetwarzanie przez upoważnionego moich następujących danych osobowych do celów dokumentacyjnych, zgodnie z rozporządzeniem RODO oraz ustawą o ochronie danych: wizerunek, imię i nazwisko. Zostałam/-em poinformowana/-y o przysługującym mi prawie dostępu do tych danych osobowych oraz ich poprawiania. Udzielenie zgody następuje nieodpłatnie. (data i czytelny podpis) W przypadku dziecka zgodę na wykorzystanie jego wizerunku udziela jego opiekun prawny. Strona 23 z 23