KLAUZULA INFORMACYJNA
DOTYCZĄCA ZASAD PRZETWARZANIA DANYCH OSOBOWYCH
W PRZYPADKU KORZYSTANIA Z PIERWSZEJ POMOCY MEDYCZNEJ UDZIELANEJ W OBIEKCIE
W przypadku doznania jakiegokolwiek urazu lub obrażenia ciała w związku z korzystaniem z usług świadczonych w Kompleksie Chochołowskie Termy, osobie poszkodowanej może zostać udzielona stosowna pomoc, w tym kwalifikowana pierwsza pomoc, co wiązać się może z przetwarzaniem danych osobowych niezbędnych do przeprowadzenia i udokumentowania całej procedury, w związku czym informujemy, co następuje.
Szanowni Państwo,
Zgodnie z art. 13 ust. 1 i 2 oraz art. 14 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”), informujemy, że:
- ADMINISTRATOR DANYCH OSOBOWYCH
Administratorem Pani/Pana danych osobowych jest Spółka Chochołowskie Termy Spółka z ograniczoną odpowiedzialnością z siedzibą w Chochołowie (34-513) Chochołów 400, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000261672, REGON: 120300433, NIP: 7361640322 (dalej: „Spółka” lub „Administrator”).
- KONTAKT
Osobą do kontaktu w sprawach związanych z przetwarzaniem Pani/Pana danych osobowych oraz z wykonywaniem praw wynikających z RODO jest wyznaczony przez Spółkę Inspektor Ochrony Danych (IOD), z którym kontakt możliwy jest pod adresem e-mail: iod@chocholowskietermy.pl bądź w formie listownej na adres: Chochołowskie Termy Sp. z o. o. Chochołów 400, 34-513 Chochołów, z dopiskiem „Inspektor Ochrony Danych” lub „Ochrona danych osobowych”.
- ZAKRES, CELE ORAZ PODSTAWA PRAWNA PRZETWARZANIA DANYCH OSOBOWYCH
W celu skorzystania z pomocy medycznej świadczonej w Obiekcie przez uprawniony Personel, w tym w szczególności wykfalifikowanych ratowników wodnych, a kolejno w celu udokumentowania całego zdarzenia, w tym przebiegu i rodzaju udzielonej pomocy, a także w celu przeprowadzenia odpowiednich działań w razie konieczności wezwania służb ratunkowych, Administrator może zbierać i przetwarzać dane takie jak: imię i nazwisko osoby zgłaszającej potrzebę udzielenia pomocy (może to być zarówno osoba poszkodowana, jak i osoba trzecia), imię i nazwisko osoby poszkodowanej, datę, godzinę i miejsce zdarzenia, kwalifikację oraz opis doznanego urazu.
W razie gdy danej osobie udzielana zostanie kwalifikowana pierwsza pomoc, wypełniania będzie również karta kwalifikowanej pomocy medycznej, w której przetwarzane mogą być dane takie jak: imię i nazwisko poszkodowanego, płeć, wiek, telefon kontaktowy, dane adresowe, rodzaj doznanych obrażeń/objawy i informacje o podjętym postępowaniu, ew. oświadczenie o niewyrażeniu zgody na udzielenie pomocy podpisane przez poszkodowanego lub jego opiekuna prawnego plus dane osobowe świadków, w tym numery PESEL lub dowodu osobistego. Karty udzielanej kwalifikowanej pierwszej pomocy są samokopiujące, a pełen zestaw kart zawiera:
- kartę w kolorze białym przekazywaną zespołowi ratownictwa medycznego albo personelowi szpitala;
- kartę w kolorze żółtym przekazywaną koordynatorowi ratownictwa medycznego podmiotu KSRG w celach szkoleniowych oraz do ewidencji zużytych materiałów i sprzętu;
- kartę w kolorze czerwonym ewidencjonowaną w dokumentach podmiotu KSRG uczestniczącego w udzielaniu kwalifikowanej pierwszej pomocy.
Kopia karty w uzasadnionych przypadkach może zostać wydana również osobie, której została udzielona pomoc.
Wszystkie ww. dane mogą zostać pozyskane bądź bezpośrednio od osoby, której dotyczą bądź od określonych osób trzecich – osób towarzyszących, opiekunów prawnych, osób biorących udział w zdarzeniu, świadków itd.
Podstawą prawną do przetwarzania ww. danych osobowych jest:
- art. 6 ust. 1 lit. a) RODO, tj. wyrażona zgoda (osoby, której dotyczą dane lub jej przedstawiciela ustawowego; zgoda taka może zostać udzielona również ustnie); a w przypadku braku możliwości uzyskania zgody z jednoczesną koniecznością udzielenia pomocy wymagającej przetwarzania ww. danych:
- art. 6 ust. 1 lit. d) RODO, tj. niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
a w zakresie danych dotyczących stanu zdrowia:
- art. 9 ust. 2 lit. a) RODO, tj. wyrażona zgoda (osoby, której dotyczą dane lub jej przedstawiciela ustawowego; zgoda taka może zostać udzielona również ustnie);
- art. 9 ust. 2 lit. c) RODO, tj. niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, w przypadku, gdy osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
– w zakresie niezbędnym do udzielenia pomocy medycznej, w tym kwalifikowanej pierwszej pomocy oraz dokumentowania wypadku i podjętych działań.
Ww. dane Administrator może również zbierać i przetwarzać dla celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora, w tym w szczególności w celu rozpatrywania reklamacji oraz ewentualnego ustalenia, dochodzenia i obrony wzajemnych roszczeń. Podstawą prawną do przetwarzania ww. danych osobowych jest art. 6 ust. 1 lit. f)
RODO – podstawą przetwarzania jest realizacja prawnie uzasadnionych interesów Administratora. W celu ewentualnego ustalenia, dochodzenia i obrony roszczeń, Administrator może również zbierać i przetwarzać dane o stanie zdrowia. Podstawą do przetwarzania tych danych osobowych jest wówczas art. 9 ust. 2 lit. f) RODO.
- ODBIORCY DANYCH
Odbiorcami zebranych danych osobowych będą upoważnieni pracownicy Administratora, podmioty współpracujące z Administratorem i przetwarzające dane osobowe z polecenia Administratora na podstawie upoważnienia do przetwarzania danych osobowych lub podmioty, z którymi Administrator zawarł umowę powierzenia przetwarzania danych osobowych lub inną właściwą regulującą przekazanie danych osobowych bądź współadministrowanie tymi danymi. Ponadto Administrator zastrzega sobie prawo ujawnienia wybranych informacji dotyczących osoby, której dane dotyczą, właściwym organom bądź osobom trzecim, które zgłoszą żądanie udzielenia takich informacji, opierając się na odpowiedniej podstawie prawnej oraz zgodnie z przepisami obowiązującego prawa, w tym w szczególności organom podatkowym, czy organom wymiaru sprawiedliwości/ścigania, takim jak policja, prokuratura, sądy i organy arbitrażowe, na ich wyraźne i zgodne z prawem żądanie.
Odbiorcami danych osobowych mogą być zatem inne podmioty realizujące działania z zakresu ratownictwa, w tym w szczególności w razie konieczności udzielenia szerszego zakresu pomocy medycznej – jednostki Państwowego Ratownictwa Medycznego, służby ratunkowe, a w czasie ewentualnego prowadzenia działań ratowniczych – także organy administracji rządowej i samorządowej. Ponadto dane mogą zostać przekazane podmiotom świadczącym na rzecz Spółki usługi wsparcia informatycznego (w szczególności podmiotom odpowiedzialnym za obsługę systemów informatycznych i sprzętu) lub wsparcia prowadzonej przez Administratora działalności (w szczególności podmiotom świadczącym usługi prawne lub księgowe, konsultingowe, audytowe, w razie potrzeby usługi marketingowe, kurierskie, przewozowe, pocztowe, transportowe i inne).
- PRZEKAZYWANIE DANYCH OSOBOWYCH POZA EOG
Co do zasady zebrane dane osobowe nie będą przekazywane poza Unię Europejską lub Europejski Obszar Gospodarczy (EOG), czyli do państw trzecich, a także do organizacji międzynarodowych. Wyjątkiem może być przekazanie danych do państw trzecich jedynie w ramach korzystania przez Administratora z usług podmiotów dostarczających rozwiązania i systemy informatyczne, które to podmioty mogą przechowywać dane osobowe na serwerach zlokalizowanych poza tym obszarem (w tym na terenie Stanów Zjednoczonych). W przypadkach wskazanego przekazania następuje ono w oparciu o odpowiednią podstawę (podstawą takiego przekazania może być przede wszystkim decyzja Komisji Europejskiej stwierdzająca odpowiedni poziom ochrony lub zastosowanie odpowiednich zabezpieczeń prawnych, którymi są w szczególności standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską; w razie niewydania przez Komisję Europejską decyzji stwierdzającej odpowiedni poziom ochrony lub braku zapewnienia odpowiednich zabezpieczeń prawnych, dane osobowe mogą być przekazane do państwa trzeciego na podstawie jednej z przesłanek wymienionych w art. 49 ust. 1 RODO); stosowane są odpowiednie i właściwe zabezpieczenia wymagane przez przepisy o ochronie danych osobowych oraz umożliwia się uzyskanie kopii danych przekazanych do państw trzecich.
- OKRES PRZECHOWYWANIA DANYCH OSOBOWYCH
Okres przetwarzania danych przez Administratora zależy od rodzaju świadczonej usługi i celu przetwarzania. Zatem zebrane przez Administratora dane osobowe będą przetwarzane przez okres niezbędny do realizacji wskazanych w pkt. 3 powyżej celów.
W przypadku przetwarzania danych na podstawie uzasadnionego interesu Administratora –dane przetwarzane są przez okres umożliwiający realizację tego interesu lub do zgłoszenia skutecznego sprzeciwu względem przetwarzania danych.
Gdy podstawę przetwarzania stanowi zgoda, dane są przetwarzane do momentu jej wycofania.
Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia lub dochodzenia roszczeń lub obrony przed roszczeniami (z uwzględnieniem okresów przedawnienia), a po tym okresie – jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa.
Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub nieodwracalnie anonimizowane.
- UPRAWNIENIA ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH – PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
Administrator zapewnia, że wszystkim osobom, których dane osobowe są przetwarzane, przysługują odpowiednie prawa wynikające z RODO. W niniejszym przypadku, ze względu na zakres i podstawę prawną przetwarzanych danych osobowych, prawa te są następujące:
- prawo dostępu do danych osobowych, w tym w szczególności prawo do informacji o przetwarzaniu danych osobowych oraz prawo do uzyskania kopii danych;
- prawo do sprostowania danych (poprawiania/aktualizacji);
- prawo do usunięcia danych (tzw. „prawo do bycia zapomnianym”), z zastrzeżeniem, że prawo to nie ma zastosowania m.in. w zakresie w jakim przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń, czy gdy przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku;
- prawo do ograniczenia przetwarzania;
- prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych (dotyczy przetwarzania danych osobowych, które odbywa się na podstawie uzasadnionego interesu Administratora, tj. na podstawie art. 6 ust. 1 lit. f) RODO, z wyłączeniem marketingu bezpośredniego), jeżeli dana osoba uważa, że jej szczególna sytuacja uzasadnia zaprzestanie przetwarzania przez Administratora danych; żądania w tym zakresie Administrator może nie uwzględnić jeżeli istnieją ważne prawnie uzasadnione podstawy do przetwarzania danych osobowych przez Administratora, które są nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą lub jeżeli istnieją podstawy do ustalenia, dochodzenia lub obrony roszczeń;
- prawo do przenoszenia danych (jeżeli przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy);
- prawo wycofania zgody w dowolnym momencie (jeśli dane przetwarzane są na podstawie zgody), z zastrzeżeniem, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem;
- prawo do wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych (na adres: Urząd Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa).
- OBOWIĄZEK PODANIA DANYCH
W przypadku chęci skorzystania z pomocy medycznej, odmowa podania określonych danych wskazanych w pkt. 3 powyżej i wyrażenia zgody na ich przetwarzanie, może skutkować brakiem możliwości podjęcia przez Spółkę działań zmierzających do udzielenia pomocy. Z racji jednak specyfiki i biorąc pod uwagę różnorodność przypadków mogących wymagać udzielenia pomocy, każda sytuacja oceniania jest indywidualnie.
- ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI I PROFILOWANIE
W ramach przetwarzania zebranych danych osobowych nie będą wykorzystywane systemy i metody służące do zautomatyzowanego podejmowania decyzji, w tym profilowania. Jednak samo przetwarzanie danych osobowych może odbywać się w sposób częściowo zautomatyzowany, ponieważ w pewnym stopniu mogą one być przetwarzane na zasobach komputerowych.