Polityka prywatności danych osobowych (RODO)
www.viscerainstytut.pl
Obowiązuje: od 10 września 2024 r.
§1
Tożsamość Administratorów danych
- Współadministratororami danych osobowych podawanych w trakcie korzystania ze strony internetowej prowadzonej pod adresem www.viscerainstytut.pl oraz podczas zapisu na newsletter są dwa podmioty działające wspólnie pod marką „Viscera Instytut”, ul. Na Gródku 2/8, 31-028 Kraków, tj.:
- Ori Medica sp. z o. o. z siedzibą w Krakowie, ul. Na Gródku 2/8, 31-028 Kraków; NIP: 6762666077; REGON: 528217328; wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001097533, kontakt e-mail z administratorem danych: justyna@viscerainstytut.pl,
- Rosa Medica sp. z o. o. z siedzibą w Krakowie, ul. Na Gródku 2/8, 31-028 Kraków; NIP: 6762664032; REGON: 527971589; wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001092111, kontakt e-mail z administratorem danych: wioleta@viscerainstytut.pl.
- Współadministratorzy na podstawie art. 26 RODO zawarli umowę o współadministrowanie danymi, której istotne ustalenia dostępne są w dalszej części niniejszej Polityki.
- Administratorem danych osobowych klientów Sklepu internetowego, prowadzonego pod adresem www.viscerainstytut.pl/sklep/ jest Ori Medica sp. z o. o. z siedzibą w Krakowie, ul. Na Gródku 2/8, 31-028 Kraków; NIP: 6762666077; REGON: 528217328; wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001097533.
- Niezależnie od Strony internetowej www.viscerainstytut.pl każdy ze Współadministratorów danych prowadzi niezależny od siebie podmiot leczniczy, w ramach którego może przetwarzać we własnym zakresie i na własne cele dane osobowe swoich pacjentów, o czym informuje w miejscu prowadzenia działalności oraz w niniejszej Polityce prywatności (w dalszej jej części).
- Dane osobowe przetwarzane są zgodnie z aktualnie obowiązującymi przepisami prawa, w szczególności z: Rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), ustawą z dnia 10 maja 2018 r. o ochronie danych, a także ustawą z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, a także ustawą z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.
- Zasady przetwarzania cookies zostały udostępnione w Polityce cookies pod adresem: www.viscerainstytut.pl/polityka-cookies
§2
Stosowane definicje
W niniejszej polityce stosuje się następujące definicje:
- Serwis/Strona – strona internetowa dostępna pod adresem www.viscerainstytut.pl, za pośrednictwem którego Użytkownik może przeglądać jej zawartość (podstrony, posty blogowe), kontaktować się z administratorem danych za pomocą danych teleadresowych dostępnych na stronie lub formularza kontaktowego, rezerwować sesję/wizytę, zapisać się na newsletter.
- Sklep – strona internetowa dostępna pod adresem www.viscerainstytut.pl/sklep/, za pośrednictwem której Użytkownik może przeglądać jej zawartość (produkty dostępne w sklepie), a także dokonać zamówienia dostępnych produktów, m.in. wypełniając danymi formularz zamówienia, opłacając zamówienie, etc.
- Administrator danych osobowych – podmiot, który decyduje o celu i środkach przetwarzania. Każdy ze Współadministratorów może w niektórych celach przetwarzać dane osobowe niezależnie od drugiego Współadministratora, o czym informuje w dalszej części niniejszego dokumentu.
- Współadministartorzy danych – co najmniej dwa podmioty, które współdecydują o celach i środkach przetwarzania danych. Współadmistratorzy zostali wymienieni w §1 powyżej.
- Użytkownik – osoba, której dane dotyczą i która korzysta z usług dostępnych w Serwisie, a także Pacjenci podmiotu leczniczego, klienci Sklepu internetowego oraz osoby kontaktujące się poprzez wiadomości wysyłane na Fanpage’u Facebook/Instagram, etc.,
- Dane osobowe – wszelkie informacje, które bez nadmiernego czasu i kosztu mogą doprowadzić do identyfikacji osoby fizycznej, w tym jej dane identyfikacyjne, adresowe i kontaktowe.
- Dane osobowe wrażliwe/dane sensytywne/dane szczególnej kategorii – dane osobowe, o których mowa w art. 9 ust. 1 RODO, w szczególności dane ujawniające stan zdrowia, pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, które mogą być przetwarzane przez każdego ze Współadministratorów danych niezależnie od siebie w związku z prowadzona działalnością leczniczą.
§3
Cele przetwarzania danych – Strona/Newsletter
- Współadministratororami danych osobowych podawanych w trakcie korzystania ze strony internetowej prowadzonej pod adresem www.viscerainstytut.pl oraz podczas zapisu na newsletter są dwa podmioty działające wspólnie pod marką „Viscera Instytut”, ul. Na Gródku 2/8, 31-028 Kraków, tj.:
- Ori Medica sp. z o. o. z siedzibą w Krakowie, ul. Na Gródku 2/8, 31-028 Kraków; NIP: 6762666077; REGON: 528217328; wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001097533, kontakt e-mail z administratorem danych: justyna@viscerainstytut.pl,
- Rosa Medica sp. z o. o. z siedzibą w Krakowie, ul. Na Gródku 2/8, 31-028 Kraków; NIP: 6762664032; REGON: 527971589; wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001092111, kontakt e-mail z administratorem danych: wioleta@viscerainstytut.pl.
- Dane osobowe Użytkownika strony internetowej i/lub newslettera są przetwarzane przez Współadministratorów danych w celu:
- wysłania informacji handlowej (newsletter), gdy osoba, której dane dotyczą wyraziła na to swoją dobrowolną zgodę, na podstawie art. 6 ust. 1 lit. a RODO, jak: wysyłka informacji handlowych i marketingowych drogą elektroniczną (art. 10 UŚUDE),
- udzielenia odpowiedzi na pytanie zadane za pośrednictwem środków komunikacji elektronicznej, kierowane do „Viscera Instytut”, w tym poprzez formularz kontaktowy, wiadomości na Fanpage’u, kontakt bezpośredni, na podstawie art. 6 ust. 1 lit b) RODO, jeśli jest to niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy lub wykonaniem usługi, np. rezerwacja terminu, zapytanie o usługi i/lub cennik, zapytanie o dostępność kalendarza wybranego specjalisty, etc.
- administrowania danymi obserwatorów fanpage’a na portalach społecznościowych, prowadzonych przez Współadministratorów pod marką „Viscera Instytut”, w tym na portalu Instagram, YouTube – zarządzanie komentarzami, udzielanie odpowiedzi przez media społecznościowe, etc. Przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit b) RODO, jeśli jest to niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą lub na podstawie art. 6 ust. 1 lit f) RODO w prawnie usprawiedliwionym celu, jakim jest m.in. marketing bezpośredni własnych produktów lub usług Współadministratorów danych.
- Podanie danych jest niezbędne w celu otrzymywania newslettera, a także udzielenia odpowiedzi na pytania.
- Brak podania wymaganych danych uniemożliwia wysłanie newslettera lub podjęcie kontaktu na żądanie osoby, której dane dotyczą.
§4
Cele przetwarzania danych – Sklep internetowy
- Administratorem danych osobowych klientów Sklepu internetowego, prowadzonego pod adresem www.viscerainstytut.pl/sklep/ jest Ori Medica sp. z o. o. z siedzibą w Krakowie, ul. Na Gródku 2/8, 31-028 Kraków; NIP: 6762666077; REGON: 528217328; wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001097533, kontakt e-mail z administratorem danych: justyna@viscerainstytut.pl,
- Administrator danych osobowych przetwarza dane osobowe klientów Sklepu w następujących celach:
- zawarcia i realizacji umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, tj. złożenia i realizacji zamówienia w Sklepie, a także obowiązków i uprawnień wynikających z zawartej umowy sprzedaży,
- udzielenia odpowiedzi na pytanie zadane za pośrednictwem środki komunikacji elektronicznej, kierowane do Sklepu, w tym poprzez formularz kontaktowy, wiadomości na Fanpage’u, kontakt bezpośredni, na podstawie art. 6 ust. 1 lit b) RODO, jeśli jest to niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy lub wykonaniem usługi,
- udokumentowania sprzedaży, w tym wystawienia rachunku lub faktury dla osoby fizycznej, prowadzenia dokumentacji księgowej i podatkowej, na podstawie art. 6 ust. 1 lit. c) RODO, tj. w celu wykonania obowiązków prawnych ciążących na Administratorze danych osobowych, na podstawie art. 70 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa,
- dochodzenia praw i roszczeń przez administratora danych lub osobę, której dane dotyczą, na podstawie art. 6 ust. 1 lit. f) RODO, tj. w celu realizacji prawnie uzasadnionych interesów administratora danych lub osoby, której dane dotyczą.
- Podanie danych jest niezbędne w celu zawarcia i realizacji umowy sprzedaży, prowadzenia dokumentacji podatkowej i wystawienia dokumentu księgowego, dochodzenia roszczeń, a także udzielenia odpowiedzi na pytania.
- Brak podania wymaganych danych uniemożliwia prawidłową realizację umowy, wystawienie rachunku/faktury lub podjęcie kontaktu na żądanie osoby, której dane dotyczą.
§5
Cele przetwarzania danych – podmiot leczniczy Ori Medica sp. z o. o. z siedzibą w Krakowie
- Współadministratorzy danych niezależnie od siebie prowadzą podmioty lecznicze, w ramach których mogą przetwarzać we własnym zakresie i na własne cele dane osobowe swoich pacjentów w ramach prowadzonych specjalizacji w „Viscera Instytut”.
- Dane osobowe pacjentów korzystających z usług podmiotu leczniczego Ori Medica sp. z o.o. będą przetwarzane przez Ori Medica sp. z o. o. z siedzibą w Krakowie, ul. Na Gródku 2/8, 31-028 Kraków; NIP: 6762666077; REGON: 528217328; wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001097533, wpisaną do Rejestru Podmiotów Wykonujących Działalność Leczniczą pod numerem księgi: 000000277879, prowadzonej przez Wojewodę Małopolskiego, kontakt e-mail z administratorem danych: justyna@viscerainstytut.pl.
- Ori Medica sp. z o.o. przetwarza dane osobowe klientów/pacjentów w następujących celach:
- zawarcia i realizacji umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, tj. zawarcia i realizacji umowy o świadczenie usług leczniczych, konsultacji online, umówienia wizyty/konsultacji dietetycznych, etc.,
- udzielenia odpowiedzi na pytanie zadane za pośrednictwem środków komunikacji elektronicznej, kierowane do zakresu działania Ori Medica sp. z o.o., w tym poprzez formularz kontaktowy, wiadomości na Fanpage’u, kontakt bezpośredni, na podstawie art. 6 ust. 1 lit b) RODO, jeśli jest to niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy lub wykonaniem usługi,
- prowadzenia dietetycznego klienta/pacjenta, w tym przetwarzania danych wrażliwych dotyczących w szczególności stanu zdrowia na podstawie art. 9 ust. 2 lit. h) RODO, w związku z art. 25 ust. 1 oraz art. 29 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, w tym w celu prowadzenia niezbędnej dokumentacji medycznej Pacjenta oraz świadczenia usług leczniczych przez Ori Medica sp. z o.o. Danymi osobowymi wrażliwymi mogą być dane ujawniające: stan zdrowia (dolegliwości, przebyte zabiegi/operacje, informacje o leczeniu farmakologicznym), waga, wzrost, wiek, wymiary ciała, etc. Dane wrażliwe są przetwarzane wyłącznie wtedy, gdy jest to niezbędne do świadczenia usług leczniczych,
- udokumentowania sprzedaży, w tym wystawienia rachunku lub faktury dla osoby fizycznej, prowadzenia dokumentacji księgowej i podatkowej, na podstawie art. 6 ust. 1 lit. c) RODO, tj. w celu wykonania obowiązków prawnych ciążących na Administratorze danych osobowych, na podstawie art. 70 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa,
- dochodzenia praw i roszczeń przez administratora danych lub osobę, której dane dotyczą, na podstawie art. 6 ust. 1 lit. f) RODO, tj. w celu realizacji prawnie uzasadnionych interesów administratora danych lub osoby, której dane dotyczą,
- monitoringu obszaru przetwarzania i osób, które wchodzą na teren nadzorowany przez Administratora danych, na podstawie art. 6 ust. 1 lit. f) RODO, tj. w celu realizacji prawnie uzasadnionych interesów administratora danych lub osoby, której dane dotyczą, jakim jest w szczególności zapewnienia bezpieczeństwa osób i mienia. Teren monitorowany został odpowiednio oznaczony.
- Podanie danych osobowych szczególnej kategorii, w tym danych dotyczących stanu zdrowia jest niezbędne do wykonania usług leczniczych i prowadzenia dokumentacji medycznej Pacjenta. Brak podania wymaganych danych uniemożliwia prawidłową realizację umowy, realizację usług leczniczych i prowadzenia dokumentacji medycznej, wystawienia rachunku lub faktury lub podjęcie kontaktu na żądanie osoby, której dane dotyczą.
§6
Cele przetwarzania danych – podmiot leczniczy Rosa Medica sp. z o. o. z siedzibą w Krakowie
- Dane osobowe Pacjentów korzystających z usług leczniczych podmiotu leczniczego Rosa Medica sp. z o. o. będą przetwarzana przez Rosa Medica sp. z o. o. z siedzibą w Krakowie, ul. Na Gródku 2/8, 31-028 Kraków; NIP: 6762664032; REGON: 527971589; wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001092111, wpisaną do Rejestru Podmiotów Wykonujących Działalność Leczniczą pod numerem księgi: 000000276178, prowadzonej przez Wojewodę Małopolskiego; kontakt e-mail z administratorem danych: wioleta@viscerainstytut.pl.
- Rosa Medica sp. z o. o. przetwarza dane osobowe w następujących celach:
- rezerwacji wizyty/umówienia terminu wykonania usług – na podstawie art. 6 ust. 1 lit b) RODO, tj. niezbędność danych zwykłych w celu zawarcia umowy i przed jej zawarciem, na żądanie osoby, której dane dotyczą (dotyczy danych osobowych zwykłych, w tym imię i nazwisko, adres e-mail, numer telefonu),
- wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, tj. realizacja przysługujących osobie praw związanych z realizacją usług, na podstawie art. 6 ust. 1 lit b) RODO,
- świadczenia usług leczniczych, w tym przetwarzania danych wrażliwych dotyczących w szczególności stanu zdrowia na podstawie art. 9 ust. 2 lit. h) RODO, w związku z art. 25 ust. 1 oraz art. 29 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, w tym w celu prowadzenia niezbędnej dokumentacji medycznej Pacjenta oraz świadczenia usług leczniczych przez Rosa Medica sp. z. o. o. Danymi osobowymi wrażliwymi mogą być dane ujawniające: stan zdrowia (dolegliwości, przebyte zabiegi/operacje, informacje o leczeniu farmakologicznym). Dane wrażliwe są przetwarzane wyłącznie wtedy, gdy jest to niezbędne do świadczenia usług leczniczych,
- udzielenia odpowiedzi na zadane pytanie za pośrednictwem formularza kontaktowego lub danych teleadresowych dostępnych na stronie Serwisu/Messenger, na podstawie art. 6 ust. 1 lit. b) RODO, tj. niezbędność danych w celu realizacji umowy lub przed jej zawarciem, na żądanie osoby, której dane dotyczą,
- udokumentowania wykonania usług, w tym wystawienia rachunku lub faktury dla osoby fizycznej, na podstawie art. 6 ust. 1 lit. c) RODO, tj. w celu wykonania obowiązków prawnych ciążących na Administratorze danych osobowych, na podstawie art. 70 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa,
- dochodzenia praw i roszczeń przez administratora danych lub osobę, której dane dotyczą, na podstawie art. 6 ust. 1 lit. f) RODO, tj. w celu realizacji prawnie uzasadnionych interesów administratora danych lub osoby, której dane dotyczą.
- Podanie danych osobowych szczególnej kategorii, w tym danych dotyczących stanu zdrowia jest niezbędne do wykonania usług leczniczych i prowadzenia dokumentacji medycznej Pacjenta. Brak podania wymaganych danych uniemożliwia prawidłową realizację umowy, realizację usług leczniczych i prowadzenia dokumentacji medycznej, wystawienia rachunku lub faktury lub podjęcie kontaktu na żądanie osoby, której dane dotyczą.
§7
Cele przetwarzania – rekrutacja w Ori Medica sp. z o.o. lub Rosa Medica sp. z o. o.
- W przypadku prowadzenia rekrutacji na wolne stanowiska lub funkcje w Ori Medica sp. z o.o. lub Rosa Medica sp. z o. o. administratorami danych kandydatów będzie odpowiednio każdy z podmiotów ogłaszający aktualny nabór.
- Dane osobowe są przetwarzane w celu przeprowadzenia rekrutacji na stanowisko lub funkcję, o które osoba, której dane dotyczą aktualnie się ubiega w zależności od formy współpracy.
- Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. b) RODO, tj. niezbędność danych w celu przygotowania i realizacji zawartej umowy, a także art. 6 ust. 1 lit. c) RODO, tj. wypełnienie obowiązku prawnego ciążącego na administratorze danych, w szczególności w celu rozliczenia dokumentacji podatkowej, na podstawie ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa.
- Podstawą prawną przetwarzania danych jest także art. 6 ust. 1 lit. c) RODO, tj. wypełnienie obowiązku prawnego ciążącego na administratorze danych, w szczególności ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (w przypadku umów o pracę, zlecenie, etc.).
- W przypadku docelowego wykonywania pracy z osobami małoletnimi przed zawarciem umowy dane będą przetwarzane również na podstawie art. 6 ust. 1 lit. c) RODO, w związku z art. 12 ustęp 6 i 7, a także art. 21 ustęp 1 – 8 ustawy z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich (po nowelizacji), tj. weryfikacja w wymaganych ustawą rejestrach o niekaralności.
- Brak danych osobowych uniemożliwia udział w procesie rekrutacji.
- Podanie dodatkowych danych jest dobrowolne i wymaga wyraźnej zgody. Przetwarzanie tych danych odbywa się w takiej sytuacji na podstawie art. 6 ust. 1 lit. a) RODO. Zgoda może zostać odwołana w każdym czasie, bez wpływu na zgodność przetwarzania przed jej wycofaniem.
- Przetwarzanie odbywa się wyłącznie przez okres potrzebny do przeprowadzenia rekrutacji, tj. nie dłużej niż przez 6 miesięcy od daty przesłania dokumentów aplikacyjnych. Po tym okresie dane osobowe są usuwane. Jeśli osoba, której dane dotyczą wyrazi na to zgodę, dane będą przetwarzane na cele przyszłych rekrutacji. Podstawą przetwarzania danych na cele kolejnych rekrutacji będzie art. 6 ust. 1 lit. a) RODO, tj. zgoda. Dane osobowe będą wówczas przetwarzane do 12 miesięcy lub do czasu odwołania zgody na ten cel.
§8
Zakres przetwarzanych danych
- Zakres przetwarzanych danych osobowych przez każdego z Administratorów danych osobowych został ograniczony do minimum niezbędnego do realizacji celu, dla którego dane są przetwarzane, tj:
- złożenia zapytania za pomocą danych teleadresowych dostępnych na stronie: adres e-mail, numer telefonu, imię, ewentualne inne dane podane dobrowolnie przez osobę, której dane dotyczą,
- prowadzenia usług leczniczych oraz konsultacji/rezerwacji wizyt: imię i nazwisko, PESEL, adres, numer telefonu, adres e-mail, opcjonalnie numer konta bankowego, z którego dokonano płatności lub inne dane rozliczeniowe, dane dotyczące zdrowia w związku z prowadzoną usługą, inne dane udostępnione w trakcie korzystania z usług leczniczych lub niezbędne do realizacji obowiązków prawnych Administratora danych osobowych, w tym prowadzenia dokumentacji medycznej,
- wystawienia rachunku lub faktury: imię i nazwisko lub nazwa podmiotu, adres siedziby, NIP, inne dane rozliczeniowe, osoby wyznaczone do realizacji umowy/odebrania dokumentu księgowego,
- wysłania newslettera – imię, adres e-mail,
- złożenia zamówienia w Sklepie internetowym: imię i nazwisko, adres, numer telefonu, adres e-mail, opcjonalnie numer konta bankowego, z którego dokonano płatności lub inne dane rozliczeniowe,
- rekrutacji i/lub przed zawarciem umowy współpracy – imię i nazwisko, dane kontaktowe wskazane przez osobę, której dane dotyczą, wykształcenie kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia.
§9
Okres przetwarzania danych
Okres przetwarzania danych jest uzależniony od celu, dla którego dane zostały zebrane przez Administratora danych osobowych i wynosi:
- w celu świadczenia usług leczniczych i prowadzenia dokumentacji medycznej przez Ori Medica sp. z o.o. oraz Rosa Medica sp. z. o. o. – 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, za wyjątkiem dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia, która jest przechowywana przez okres 22 lat, w pozostałym zakresie okres przetwarzania danych wylicza się na podstawie art. 29 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta,
- w celu realizacji zamówienia w Sklepie internetowym prowadzonym przez Ori Medica sp. z o.o., a następnie przez okres niezbędny do udokumentowania sprzedaży i rozliczenia podatkowego – 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku – na podstawie art. 70 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa,
- w celu wystawienia dokumentów księgowych przez każdego z Administratorów – 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku – na podstawie art. 70 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa,
- w celu dochodzenia roszczeń przez każdego Administratora danych lub osobę, której ani dotyczą – na podstawie art. 118 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny. Jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia wynosi sześć lat, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej – trzy lata,
- w celu udzielenia odpowiedzi poprzez środki teleinformatyczne przez Współadministratorów (zapytania, informacje o wolnych terminach, etc.) – dane przetwarzane są wyłącznie przez okres niezbędny do udzielenia odpowiedzi, ale nie dłużej niż przez 6 miesięcy od dnia otrzymania zapytania,
- w celu wysyłki newslettera przez Współadministratorów – do czasu odwołania zgody przez osobę, której dane dotyczą. Odwołanie zgody na przetwarzanie danych nie ma wpływu na zgodność przetwarzania, którego dokonano przed jej wycofaniem.
- w przypadku przetwarzania danych na inne cele, dane będą przechowywane przez okres niezbędny do realizacji tego celu, o czym klient/pacjent zostanie poinformowany.
§10
Odbiorcy danych
- Dane osobowe Użytkownika mogą zostać powierzone innym podmiotom w celu wykonania usług na zlecenie każdego z Administratorów danych, w szczególności w celu:
- hostingu strony www i utrzymania poczty elektronicznej,
- utrzymania systemów informatycznych, w których są przetwarzane, w tym kalendarza wizyt i systemu do prowadzenia konsultacji online, dokumentacji medycznej pacjenta, wysyłki i utrzymania newslettera.
- obsługi księgowej oraz rozliczenia podatkowego Administratora danych przez zewnętrzny podmiot (biuro rachunkowe).
- Dane osobowe Użytkownika mogą zostać udostępnione operatorom płatności online, bankom – szczególnie w przypadku korzystania z rezerwacji online lub składania zamówienia w Sklepie internetowym, a także świadczących usługi pocztowe i kurierskie.
- Ori Medica sp. z o.o. oraz Rosa Medica sp. z. o. o. jako podmioty udzielające świadczeń zdrowotnych udostępniają dokumentację medyczną Pacjentowi lub jego przedstawicielowi ustawowemu, bądź osobie upoważnionej przez Pacjenta. Dane osobowe Pacjenta mogą zostać udostępnione innym podmiotom leczniczym w celu zapewnienia ciągłości leczenia oraz dostępności świadczeń zdrowotnych, w tym laboratoriom diagnostyki laboratoryjnej i/lub obrazowej, jeśli jest to niezbędne do realizacji świadczeń, a także organom władzy publicznej lub podmiotom wskazanym wyraźnie w art. 26 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, w tym Rzecznikowi Praw Pacjenta oraz organom samorządu zawodów medycznych, w zakresie niezbędnym do wykonywania przez te podmioty ich zadań, w szczególności nadzoru i kontroli.
- Osoby wykonujące zawód medyczny oraz inne osoby wspomagające czynności pomocnicze przy udzielaniu świadczeń zdrowotnych są upoważnione do przetwarzania danych zawartych w dokumentacji medycznej Pacjenta. Osoby te są jednocześnie zobowiązane do zachowania w tajemnicy informacji związanych z Pacjentem uzyskanych w związku z wykonywaniem świadczeń.
- Współadministratorzy danych są współadministratorami danych wraz z Meta Platforms, Inc., obserwatorów oraz osób, które korzystają ze środków komunikacji elektronicznej na Fanpage’u – Facebook/Instagram podczas kontaktu za ich pośrednictwem. W pozostałym zakresie administratorem danych użytkowników tych serwisów społecznościowych jest Meta Platforms, Inc., Menlo Park, California, USA (dawniej: Facebook, Inc.), a przetwarzanie tych danych odbywa się na zasadach opisanych w regulaminach i politykach prywatności użytkowników tych serwisów, w tym na: https://www.facebook.com/privacy Przetwarzanie danych poza Europejskim Obszarem Gospodarczym opierać się będzie na podstawie decyzji Komisji Europejskiej z 10 lipca 2023 r. stwierdzającej odpowiedni stopień ochrony danych osobowych zapewniony przez tzw. „Ramy ochrony danych UE-USA” (EU-US Data Privacy Framework) w stosunku do dostawców wpisanych na listę departamentu handlu USA, jak: Meta Platforms, Inc., Menlo Park, California, USA.
- Współadministratorzy danych przy przetwarzaniu danych subskrybentów newslettera korzystać będą z rozwiązania informatycznego do gromadzenia danych i wysyłania newslettera spoza Europejskiego Obszaru Gospodarczego (EOG), tj. USA. Przekazywanie danych w tym celu będzie się odbywać na podstawie decyzji Komisji Europejskiej z 10 lipca 2023 r. stwierdzającej odpowiedni stopień ochrony danych osobowych zapewniony przez tzw. „Ramy ochrony danych UE-USA” (EU-US Data Privacy Framework) w stosunku do dostawców wpisanych na listę departamentu handlu USA, jak: Mailchimp – Intuit Inc., Mountain View, California, USA.
§11
Współadministrowanie i bezpieczeństwo danych
- Współadministratorzy danych przetwarzają dane we wspólnych, oznaczonych prawem celach, w związku z prowadzoną działalnością gospodarczą pod marką „Viscera Instytut”, w szczególności gromadzonych za pośrednictwem strony internetowej i newslettera pod adresem: www.viscerainstytut.pl
- Współadministratorzy wspólnie ustalają cele i sposoby przetwarzania danych osobowych Użytkowników strony internetowej i subskrybentów newslettera, które są i będą gromadzone w ramach prowadzonej działalności gospodarczej dla zapewnienia wysokiej jakości świadczonych usług oraz produktów komplementarnych swoim klientom i subskrybentom.
- Współadministratorzy będą współdzielić w zakresie przetwarzania danych takie zasoby, jak:
- systemy informatyczne, w tym systemy do obsługi poczty elektronicznej, utrzymania i wysyłki newslettera, hostingu strony www,
- urządzenia informatyczne, za pomocą których dane mogą być przetwarzane, jak telefon, laptop, serwer, skaner, drukarka,
- siedziba i pomieszczenia, w których dane osobowe są przetwarzane.
- Współadministratorzy danych stosują adekwatne środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczają dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
- Współadministratorzy dokonali analizy ryzyka związanego z przetwarzaniem danych oraz opracowali i wdrożyli wewnętrzne polityki bezpieczeństwa danych, do których stosowania zobowiązani są jego wszyscy pracownicy i współpracownicy.
- Dostęp do danych osobowych ograniczony jest wyłącznie do osób upoważnionych, które zobowiązane są do zachowania danych i sposobów ich zabezpieczenia w tajemnicy. Współadministratorzy prowadzą ewidencję osób upoważnionych do przetwarzania danych osobowych.
- Współadministratorzy podczas realizacji umów i usług związanych z Serwisem i prowadzoną działalnością będą ze sobą ściśle współpracować informując się wzajemnie o wszelkich pozostałych okolicznościach mających lub mogących mieć wpływ na prawa osób, których dane dotyczą lub bezpieczeństwo danych.
- Współadministratorzy danych odpowiadają solidarnie za wszelkie naruszenia ochrony danych osobowych Użytkowników strony i newslettera.
- W przypadku stwierdzenia naruszenia Współadministratorzy zobowiązują się do niezwłocznego informowania się wzajemnie o wszelkich przypadkach naruszenia bezpieczeństwa danych osobowych, a także ustalić przyczynę naruszenia i podjąć wszelkie czynności, mające na celu usunięcie naruszenia i zabezpieczenie danych osobowych przed dalszymi naruszeniami w przyszłości.
- Współadministratorzy od chwili stwierdzenia naruszenia pomagają sobie w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO, w tym zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzania, zgłaszanie naruszenia organowi nadzorczemu, zawiadamianie osoby, której dane dotyczą o naruszeniu.
§12
Prawa osób, których dane dotyczą
- Osobom, których dane dotyczą przysługuje od każdego z Administratorów danych prawo do:
- prawo dostępu do treści danych i ich poprawiania, a także otrzymania bezpłatnie pierwszej kopii danych osobowych za dany okres,
- prawo do usunięcia danych, o ile nie obowiązują inne przepisy prawa, które zobowiązują Administratora danych do archiwizacji danych przez określony czas,
- prawo do przenoszenia danych, o ile podstawą przetwarzania danych jest umowa lub zgoda osoby, której dane dotyczą, a przetwarzanie danych odbywa się w sposób automatyczny,
- prawo do wniesienia sprzeciwu na przetwarzanie danych w celach marketingu bezpośredniego, realizowanego przez Administratora danych w ramach usprawiedliwionego interesu prawnego, a także ograniczenia przetwarzania,
- prawo do niepodlegania automatycznemu profilowaniu, jeśli administrator danych podejmowałby decyzje opierające się wyłącznie na automatycznym profilowaniu i niosące ze sobą skutki prawne dla osoby, której dane dotyczą lub podobnie na nią wpływały,
- prawo do kontroli przetwarzania danych i informacji na temat tego, kto jest administratorem danych, a także uzyskania informacji o celu, zakresie i sposobie przetwarzania danych, treści tych danych, źródle danych, a także sposobie udostępniania, w tym o odbiorcach lub kategoriach odbiorców danych,
- prawo do cofnięcia zgody w dowolnym momencie, jeśli podstawą przetwarzania danych była zgoda osoby, której dane dotyczą. Odwołanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego na jej podstawie, przed jej cofnięciem.
- W celu realizacji prawa do informacji, dostępu do treści danych, ich poprawiania, a także innych praw, można skontaktować się z Współadministratorem danych lub Administratorem danych dla poszczególnych czynności.
- Osobom, których dane dotyczą przysługuje także prawo do wniesienia skargi do Urzędu Ochrony Danych Osobowych (UODO), jeśli przetwarzanie danych narusza przepisy Ogólnego rozporządzania o ochronie danych osobowych (RODO). Skarga może zostać wniesiona w formie elektronicznej lub tradycyjnej na adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.
§13
Postanowienia końcowe
W przypadku zmiany obowiązującej polityki prywatności, w szczególności gdy będą tego wymagały zastosowane rozwiązania techniczne, zmiany przepisów prawa w zakresie prywatności osób, których dane dotyczą, wprowadzone zostaną odpowiednie modyfikacje do powyższego zapisu, które będą obowiązywały w ciagu 14 dni od ich opublikowania na stronie internetowej.