PRIVACY POLICY
OF PERSONAL DATA
Corporate Counselling Services Sarl (dalej zwana CCS, CCS Sarl, Spółką) została założona jako firma, której celem jest połączenie wiedzy różnych specjalistów w celu stworzenia pełnej sieci usług dla korporacji i organizacji w Europie oraz poza Europejskim Obszarem Gospodarczym, aby pomóc im w rozwiązywaniu problemów związanych z zasobami ludzkimi, w szczególności w zakresie prewencyjnego zarządzania zdrowiem w korporacjach. Zarządzanie zdrowiem w miejscu pracy jest obecnie nieodzownym elementem życia zawodowego. Ludzie spędzają około 65% swojego życia zawodowego w pracy. Tworzenie zdrowego, zrównoważonego środowiska pracy, w którym ludzie mogą czuć się swobodnie i mają możliwość rozwijania swojego potencjału, jest uważane za równie ważne, co zapewnienie podstawowych warunków higieny pracy i dobrego samopoczucia osobistego. Ma to istotny wpływ na życie osobiste pracowników.
Corporate Counselling Services Sarl jest Administratorem Danych Osobowych, zgodnie z definicją w RODO, a celem niniejszej Polityki jest określenie, w jaki sposób Spółka przetwarza dane osobowe zgodnie z obowiązującymi przepisami o ochronie danych.
W zależności od relacji określonych w umowach o świadczenie usług zawartych między naszą Spółką a jej partnerami, CCS Sarl może być zarówno niezależnym administratorem danych osobowych w odniesieniu do swoich partnerów, pracodawców użytkowników oferowanych usług doradczych, jak i procesorem lub podwykonawcą usług doradczych, gdy relacja przetwarzania danych zostaje ustanowiona między nami a procesorem danych osobowych.
Niniejsza polityka prywatności określa sposób przetwarzania oraz cel przetwarzania danych osobowych zbieranych przez CCS Sarl od osób, których dane dotyczą.
Kategorie danych osobowych (stanowiących jakiekolwiek informacje, które mogą prowadzić do identyfikacji osoby, której dane dotyczą), które przetwarzamy, są szczegółowo opisane w sekcji (4) poniżej. Naszym celem jest dostarczenie wystarczającej ilości informacji, przedstawionych w sposób przystępny, aby zapewnić zrozumienie operacji przetwarzania danych przeprowadzanych przez Corporate Counselling Services Sarl, przy jednoczesnym zapewnieniu poufności i bezpieczeństwa Twoich danych osobowych.
W przypadku jakichkolwiek pytań lub wątpliwości dotyczących niniejszej Polityki lub procedur przetwarzania danych osobowych, oferujemy możliwość skontaktowania się z nami, korzystając z danych kontaktowych wskazanych na końcu niniejszej Polityki.
Corporate Counseling Services S.a.r.l, Rue du Kiem 2, L-8435, Steinfort, Luksemburg, e-mail: office@ccsint.com.
Corporate Counselling Services Sarl zleciła usługi Inspektora Ochrony Danych (IOD) firmie The Insource Development Group, reprezentowanej przez pana Mariusza Medeleanu, adres e-mail: dpo@ccsint.ro.
Dane osobowe przetwarzane przez CCS Sarl, według kategorii osób, których dane dotyczą:
a) Pracownicy, kandydaci
Dane identyfikacyjne i kontaktowe:
- Imię i nazwisko, adresy e-mail, adres zamieszkania/zameldowania, numer telefonu (stacjonarny i/lub komórkowy), adres do korespondencji, data urodzenia, płeć, wiek, Numer PESEL, numer i seria dokumentu tożsamości, dane dotyczące wykształcenia i dane z certyfikatów (jeśli dotyczy);
- Dane finansowo-księgowe należące do osoby, której dane dotyczą, lub niezbędne dla tej osoby;
- Dane prawne należące do osoby, której dane dotyczą, lub niezbędne dla tej osoby;
Kategorie danych szczególnych/wrażliwych:
- dane biometryczne – podpis, głos (na podstawie nagrań rozmów za zgodą osoby, której dane dotyczą);
- dane dotyczące zdrowia – dane medyczne związane z prewencyjnym zarządzaniem zdrowiem, regularne badania medyczne/bhp dla pracowników Spółki;
- obrazy wideo (uzyskane z nagrań wideo wykonanych na terenie Spółki, gdzie zainstalowane są kamery monitoringu).
b) Przedstawiciele partnerów biznesowych, dostawców usług i mediów, organów publicznych, przetwarzających i/lub podwykonawców:
- Dane kontaktowe: imię i nazwisko, adresy e-mail, adres zamieszkania/zameldowania, numer telefonu (stacjonarny i/lub komórkowy), adres do korespondencji, data urodzenia, numer i seria dokumentu tożsamości, Numer Identyfikacji Podatkowej (NIP);
- Dane finansowo-księgowe należące do osoby, której dane dotyczą, lub niezbędne do finalizacji płatności;
- Dane szczególne/wrażliwe: dane biometryczne – podpis, nagrania głosowe, obrazy wideo (uzyskane z nagrań wideo wykonanych na terenie Spółki, gdzie zainstalowane są kamery monitoringu).
c) Użytkownicy usług EAP – osoby, których dane dotyczą (pracownicy partnerów biznesowych CCS Sarl lub ich krewni), które na podstawie praw zapisanych w ich indywidualnej umowie o pracę ubiegają się o doradztwo psychologiczne/prawne/finansowe:
- Dane osobowe, które osoby, których dane dotyczą (OSOBA, KTÓREJ DANE DOTYCZĄ), przekazują przy umawianiu się na wizytę telefonicznie, e-mailem lub w klinice (imię, nazwisko, telefon, e-mail, data urodzenia, objawy, dane dotyczące przeprowadzonych analiz i badań lub tych, które zamierzają przeprowadzić) są rejestrowane i przetwarzane przez Corporate Counselling Services Sarl tylko w takim zakresie, w jakim informacje te zostały przekazane przez osoby, których dane dotyczą, bez żadnego przymusu i po uprzednim poinformowaniu.
Corporate Counseling Services Sarl nie ponosi odpowiedzialności za wszelkie nieścisłe, nieprawidłowe lub niekompletne informacje/dane/dokumenty dostarczone przez osoby, których dane dotyczą. Osoby te są zobowiązane do informowania nas o wszelkich zmianach, które nastąpią w ich danych osobowych, aby ich dane były zawsze dokładne i aktualne. Jeśli Corporate Counseling Services Sarl ma wątpliwości co do autentyczności dostarczonych dokumentów lub informacji, ma prawo skierować sprawę do odpowiednich organów publicznych/instytucji odpowiedzialnych za dochodzenie, nadzór i kontrolę.
Dane osób, których dane dotyczą, uzyskane od ich pracodawcy, odnoszą się do danych pracowników pełniących funkcje przedstawicieli. Podpisują oni dokumenty w imieniu Administratora Danych lub utrzymują kontakt z naszymi partnerami biznesowymi, w celu realizacji przedmiotu umów zawartych między stronami, a przetwarzanie ich danych identyfikacyjnych i kontaktowych jest konieczne do tego celu.
Należy zauważyć, że co do zasady osoby, których dane dotyczą, nie mają obowiązku podawania nam danych osobowych wskazanych w niniejszej Polityce. Jednakże, jeśli nie podadzą nam opisanych danych osobowych, nie będziemy w stanie świadczyć im żądanych usług, a oni nie będą mogli korzystać ze wszystkich udogodnień, które oferuje im Corporate Counselling Services Sarl (na przykład: brak podania nam numeru telefonu/adresu e-mail uniemożliwi nam kontakt z użytkownikiem w sprawie potwierdzenia lub ewentualnych zmian w umówionych terminach, lub przesłanie wyników wykonanych usług medycznych, w takim przypadku komunikacja lub odbiór wyników odbywać się będzie w recepcjach naszych partnerskich klinik).
Jeśli w kontekście usług świadczonych przez Corporate Counselling Services Sarl użytkownicy przekazują nam dane osobowe dotyczące innych osób (takich jak ewentualne problemy zdrowotne, które wystąpiły w rodzinie), będziemy traktować te informacje jako poufne i wykorzystywać je wyłącznie w celu świadczenia oferowanych usług.
Jednocześnie podejmiemy wszelkie niezbędne środki, aby zapewnić odpowiednią ochronę tych informacji, biorąc pod uwagę obowiązek dochowania tajemnicy zawodowej przez Corporate Counseling Services Sarl.
W zgodzie z postanowieniami punktu 61 Ogólnego Rozporządzenia o Ochronie Danych, informujemy o następujących kwestiach:
- Uzyskane bezpośrednio od osoby, której dane dotyczą,
- Uzyskane od pracodawcy osoby, której dane dotyczą,
- Uzyskane z publicznych źródeł.
Jeżeli dane osobowe są pozyskiwane z innego źródła, poinformujemy osobę, której dane dotyczą, w rozsądnym terminie, w zależności od okoliczności sprawy.
Przetwarzanie danych osobowych odbywa się w warunkach optymalnego bezpieczeństwa i w celach zgodnych z prawem, głównie związanych z świadczeniem usług medycznych/psychologicznych, doradztwem finansowym i/lub prawnym, specyficznych dla działalności administratora, a także z powiązanymi działaniami finansowo-księgowymi, sprawami związanymi z zasobami ludzkimi lub niezbędnymi w ramach relacji ustanowionej umową o świadczenie usług zawartą z pracodawcą osób, których dane dotyczą. Zawsze, gdy będziemy żądać zbierania, dalszego przetwarzania i ewentualnego przekazywania danych osobowych, przetwarzanie będzie się odbywać wyłącznie w celach wymienionych; w innych przypadkach będzie wymagane Twoje zgoda.
Dane osobowe wskazane w sekcji 5 poniżej będą przetwarzane w następujących celach:
- Świadczenie usług doradczych z zakresu psychologii/finansów/prawa poprzez usługę EAP:
Świadczenie usług doradczych z zakresu psychologii/finansów/prawa na wniosek osób, których dane dotyczą, ustalanie diagnozy/diagnozy finansowej/prawnej/sytuacyjnej, rejestracja świadczonych usług, komunikacja z osobą, której dane dotyczą, dotycząca świadczonych usług, informowanie użytkowników o świadczonych usługach, aktywacja i/lub dostosowanie subskrypcji użytkownika na nasze usługi, umawianie wizyt, identyfikacja użytkownika i dostęp do usług. Administrator świadczy usługi EAP (EAP Service = „Program Pomocy Pracownikom”) dla pracowników Beneficjentów, dla których świadczy te usługi (dalej nazywani: „Pacjenci” lub „Użytkownicy”) w celu badania, zapobiegania, zmniejszania lub eliminowania narażenia Użytkowników na ryzyko psychosomatyczne w miejscu pracy i w ich środowisku osobistym.
Pacjenci/Użytkownicy korzystają z usługi EAP dobrowolnie, według własnego uznania, po zapoznaniu się i zaakceptowaniu warunków powiadomienia o prywatności oraz niniejszej polityki prywatności.
Relacja umowna jest ustanowiona między Administratorem a Pracodawcami, podczas gdy Użytkownicy są pracownikami Beneficjentów lub bliskimi krewnymi pacjentów/użytkowników.
- Statystyka medyczna:
Przetwarzanie w tym celu będzie odbywać się wyłącznie na pisemny wniosek instytucji odpowiedzialnych za statystyki. Dane osobowe będą pozostawały bezpieczne i poufne i nie będą ujawniane osobom trzecim.
- Spełnianie obowiązków prawnych:
Przetwarzanie w celu spełnienia różnych obowiązków prawnych naszej Spółki (takich jak: obowiązki finansowe, zdrowotne, bezpieczeństwa, ochrony, zasobów ludzkich, prowadzenie dokumentacji lub innych obowiązków nałożonych przez obowiązujące przepisy prawne).
- Doskonalenie usług:
Identyfikacja problemów lub możliwych istotnych kwestii związanych z istniejącymi usługami w celu ich ulepszenia, wdrażanie nowych usług lub udoskonaleń istniejących, rozpatrywanie Twoich skarg.
- Rozwiązywanie sporów:
Formułowanie różnych wniosków/roszczeń w przypadku sporów związanych z usługami świadczonymi osobie, której dane dotyczą, i/lub w związku z relacją między osobą, której dane dotyczą, a naszą Spółką.
Nasza Spółka nie ponosi odpowiedzialności za przetwarzanie prowadzone w jakiejkolwiek formie poza zakresem wskazanym w niniejszej Polityce (w tym przez wymianę/nagrywanie informacji/danych osobowych w rozmowach między psychologami a pacjentami).
Definicje
- Praca zdalna: Jest to „forma organizacji pracy, w ramach której pracownik, regularnie i dobrowolnie, wykonuje obowiązki specyficzne dla pełnionej przez siebie funkcji, zawodu lub rzemiosła, w miejscu innym niż miejsce pracy zorganizowane przez pracodawcę, przynajmniej jeden dzień w miesiącu, korzystając z technologii informacyjnej i komunikacyjnej”. Jest to definicja zawarta w Ustawie nr 81/2018 dotyczącej regulacji pracy zdalnej.
- Pracownik zdalny: Pracownik, który zgodził się na wykonywanie pracy, w całości lub częściowo i regularnie, poza siedzibą pracodawcy, korzystając z technologii informacyjnej i komunikacyjnej, określany jest w Ustawie nr 81/2018 jako „pracownik zdalny”. Jeśli jednak pracownik może zatrudniać innych pracowników, uczestniczy w zyskach i stratach lub inwestuje kapitał – wtedy nie jest już pracownikiem. CCS Sarl korzysta z przetwarzających, z którymi podpisuje umowy o świadczenie usług, ale stosuje wszystkie przepisy prawne dotyczące pracy zdalnej, gdy aktywności robocze nie są realizowane w jej siedzibie (lokalach roboczych). Umowy te zawierają również umowę o przetwarzaniu danych. W tej umowie zostaną również uwzględnione obowiązki stron dotyczące przetwarzania danych w warunkach poufności i bezpieczeństwa w przypadku pracy zdalnej, jeśli ma to zastosowanie. Przetwarzający, który jest Administratorem Danych względem swoich pracowników, wdroży postanowienia umowy w swojej pracy.
- Biuro domowe: Ogólna nazwa miejsca/ miejsc pracy, uzgodnionych i zatwierdzonych przez pracodawcę.
- Umowa na przetwarzanie danych za pomocą telekomunikacji: Ustawodawca przewiduje, że pracodawca i pracownik muszą ustalić w dodatkowym akcie do umowy o pracę (Umowa) miejsca, w których będzie wykonywana praca zdalna; pracodawca będzie zobowiązany do zapewnienia środków ochrony zdrowia i bezpieczeństwa w miejscach, gdzie wykonywana jest praca zdalna.
Praca zdalna jest formą organizacji pracy, w ramach której pracownik, regularnie i dobrowolnie, wykonuje specyficzne obowiązki swojej funkcji, zawodu lub rzemiosła w miejscu innym niż miejsce pracy zorganizowane przez pracodawcę, przynajmniej jeden dzień w miesiącu, korzystając z technologii informacyjnej i komunikacyjnej.
Ponieważ minimalny limit dla pracy zdalnej to 1 dzień w miesiącu, pracownik zdalny pracuje większość czasu z miejsca pracy innego niż to zapewnione przez CCS Sarl.
Lokalizacja pracy zdalnej musi być uzgodniona przez strony. Pracownik nie ma prawa jednostronnie decydować o wyborze miejsca wykonywania swoich obowiązków zdalnie, które nie zostało wcześniej uzgodnione i zatwierdzone.
CCS Sarl rozumie, że przepisy Ustawy nr 81/2018 nakładają następujące obowiązki:
- obowiązek wyraźnego określenia w indywidualnej umowie o pracę lub w dodatkowym akcie do niej, że praca jest wykonywana w formie pracy zdalnej;
- obowiązek uzyskania zgody pracownika na pracę zdalną;
- obowiązek uzyskania zgody pracownika zatrudnionego na pełny etat na nadgodziny na jego wniosek;
- obowiązek uwzględnienia w umowie o pracę pracownika wszystkich 10 klauzul określonych w art. 5 ust. (2);
- obowiązek zapewnienia środków technologii informacyjnej i komunikacyjnej i/lub bezpiecznego wyposażenia roboczego niezbędnego do wykonywania pracy;
- obowiązek zainstalowania, sprawdzenia i utrzymania niezbędnego wyposażenia roboczego;
- obowiązek zapewnienia pracownikowi zdalnemu wystarczającego i odpowiedniego szkolenia w zakresie bezpieczeństwa i higieny pracy, w szczególności w formie informacji i instrukcji roboczych specyficznych dla miejsca pracy zdalnej.
W momencie sporządzania niniejszej Polityki pracownicy CCS Sarl nie wykonują pracy zdalnej. Jednak biorąc pod uwagę obecne warunki, spowodowane pandemią koronawirusa, nasza Spółka uznała za konieczne, aby nasza Polityka Prywatności odnosiła się również do tego sposobu wykonywania działalności, a w razie potrzeby ten rozdział zostanie zaktualizowany w przyszłości, w zależności od wymaganych zmian.
Podstawy prawne przetwarzania danych osobowych przez CCS Sarl są następujące:
1) Podstawy przetwarzania danych osobowych, które nie należą do kategorii szczególnych danych osobowych.
Dane osobowe, które nie należą do szczególnych kategorii danych osobowych (zgodnie z definicją zawartą w art. 9 RODO), są przetwarzane przez Corporate Counseling Services Sarl na podstawie następujących przesłanek prawnych:
1.1) Na podstawie art. 6 ust. 1 lit. a RODO, zgoda osoby, której dane dotyczą – zgoda ta jest wymagana: Przed pierwszym telefonem Użytkownika do naszego Operatora Centrum Obsługi. Podczas tego połączenia osoba, której dane dotyczą, prosi Operatora Centrum Obsługi o umówienie wizyty w celu oceny/porady psychologicznej/finansowej/prawnej. Przed rozpoczęciem rozmowy z naszym Operatorem Centrum Obsługi Użytkownik usłyszy wiadomość zawierającą krótkie informacje o naszej polityce przetwarzania danych. W przypadku akceptacji, osoba, której dane dotyczą, naciśnie przycisk telefoniczny wskazany w wiadomości, co będzie oznaczało jej zgodę wyrażoną pozytywnym i jednoznacznym działaniem na przetwarzanie danych osobowych przez administratora. Dane zbierane przez naszego Operatora Centrum Obsługi będą minimalne, takie jak imię, nazwisko, pracodawca, problemy psychiczne/finansowe/prawne, wyrażone w najprostszy sposób. Na podstawie tych danych Użytkownik otrzyma umówioną wizytę.
b) Przed pierwszym telefonem Użytkownika do naszego Operatora Centrum Obsługi. Poprzez to połączenie osoba, której dane dotyczą, prosi Operatora Centrum Obsługi o ocenę/poradę psychologiczną/finansową/prawną telefonicznie. Przed rozpoczęciem rozmowy z naszym Operatorem Centrum Obsługi Użytkownik usłyszy wiadomość krótko informującą o naszej polityce przetwarzania danych. W przypadku akceptacji, osoba, której dane dotyczą, naciśnie przycisk telefoniczny wskazany w wiadomości, co będzie oznaczało jej zgodę wyrażoną pozytywnym i jednoznacznym działaniem na przetwarzanie danych osobowych przez administratora. Dane zbierane przez naszego administratora będą wystarczające i pouczające dla administratora, aby dokonać oceny na podstawie zebranych danych i udzielić żądanej porady. Użytkownik otrzyma żądaną poradę od naszego specjalisty, online, przez telefon.
c) Poprzez wypełnienie formularza w klinikach osób przez nas upoważnionych lub w gabinetach specjalistów psychologicznych, po zapoznaniu się z notą informacyjną, postanowieniami naszej polityki przetwarzania danych i zapewnieniu ich poufności, w warunkach zapewniających pełne bezpieczeństwo.
d) Połączenia w Centrum Obsługi są nagrywane na podstawie zgody wyrażonej uprzednio przez dzwoniącego, celem przetwarzania jest zapobieganie błędnej interpretacji informacji przekazanych przez uczestników rozmowy, wyjaśnienie sytuacji przedstawionych w komunikacji telefonicznej w przypadku wątpliwości lub zamieszania, zarządzanie sytuacjami, w których rozmowy zawierają wskazówki dotyczące zagrożeń dla bezpieczeństwa i integralności osób i mienia.
1.2) Biorąc pod uwagę inne cele przetwarzania danych osobowych, podstawą takiego przetwarzania może być wypełnianie zobowiązań prawnych firmy – art. 6 ust. 1 lit. c RODO (w tym w odniesieniu do archiwizacji, zdrowia, bezpieczeństwa, prowadzenia dokumentacji, wzywania organu publicznego i innych zobowiązań nałożonych przez przepisy prawa);
1.3) W niektórych sytuacjach przetwarzamy dane osobowe na podstawie uzasadnionego interesu Corporate Counseling Services Sarl – art. 6 ust. 1 lit. f RODO, lub osoby trzeciej (takie jak: prowadzenie ewidencji usług medycznych; śledzenie wizyt w naszym systemie elektronicznym; rozpatrywanie próśb i skarg od Użytkowników; zapewnianie pomocy specjalistycznej w nagłych przypadkach; zawieranie i realizacja umów na świadczenie usług medycznych/psychologicznych z klinikami partnerskimi w celu zapewnienia jak najszerszego zasięgu terytorialnego i zakresu oferowanych usług; nadzór przez system kamer w celu zapewnienia bezpieczeństwa mienia i osób (zob. polityka monitoringu wideo CCS).
Przetwarzanie jest niezbędne do umożliwienia ustalenia, dochodzenia lub obrony roszczenia przed sądem, biorąc pod uwagę, że w ramach relacji nawiązanej z naszą firmą nie można wykluczyć, że takie sytuacje mogą wystąpić w kontekście świadczonych usług (w zakresie, w jakim takie spory są kierowane do sądów).
1.4) W przypadku pewnych sytuacji, w których Użytkownik może się znaleźć (fizycznie lub prawnie) i które mogą utrudnić mu wyrażenie zgody na przetwarzanie (np. sytuacje awaryjne), jego dane osobowe będą przetwarzane w celu ochrony istotnych interesów Użytkownika lub innej osoby, której dane dotyczą – art. 6 ust. 1 lit. d RODO;
2) Podstawy przetwarzania danych osobowych należących do kategorii szczególnych danych (zgodnie z art. 9 RODO)
Biorąc pod uwagę specyfikę działalności/usług świadczonych przez Corporate Counseling Services Sarl, będziemy przetwarzać dane osobowe, które należą do kategorii danych szczególnych (zgodnie z art. 9 RODO) na podstawie następujących podstaw prawnych (podstawy te będą stosowane obok podstaw szczegółowo opisanych w art. 6 RODO):
a) Przetwarzanie na podstawie zgody osoby, której dane dotyczą
Zgodnie z art. 9 ust. 2 lit. a RODO, przetwarzanie danych zdrowotnych jest dozwolone, gdy „osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku określonych celach, chyba że prawo Unii lub prawo krajowe stanowi, że zakaz przewidziany w ust. 1 nie może zostać uchylony przez zgodę osoby, której dane dotyczą. Przetwarzanie jest niezbędne do celów związanych z medycyną zapobiegawczą lub zawodową, oceną zdolności pracownika do pracy, ustaleniem diagnozy medycznej, świadczeniem opieki medycznej lub społecznej lub leczenia medycznego, lub zarządzaniem systemami i usługami zdrowotnymi, na podstawie prawa Unii lub prawa krajowego lub na podstawie umowy zawartej z pracownikiem służby zdrowia i pod warunkiem przestrzegania warunków i zabezpieczeń określonych w ust. 3” – art. 9 ust. 2 lit. h RODO. Przetwarzanie przez profesjonalistę zobowiązanego do zachowania tajemnicy zawodowej w kontekście usług opieki zdrowotnej.
b) Przetwarzanie jest konieczne do ochrony istotnych interesów osoby, której dane dotyczą, lub innej osoby, której dane dotyczą, gdy osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody – art. 9 ust. 2 lit. c RODO.
c) Przetwarzanie jest konieczne z powodów interesu publicznego w zakresie zdrowia publicznego (np. ochrona przed poważnymi zagrożeniami zdrowia na poziomie transgranicznym lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej, zgodnie z prawem UE lub krajowym); oraz/lub usługi opieki zdrowotnej lub społecznej – art. 9 ust. 2 lit. i RODO.
Zasadniczo Corporate Counseling Services Sarl przetwarza Twoje dane osobowe, które należą do kategorii szczególnych danych, na podstawie przepisów, które pozwalają na przetwarzanie danych zdrowotnych pacjentów w kontekście świadczenia usług zdrowotnych, zarówno gdy takie przetwarzanie jest wymagane przez prawo, jak i gdy świadczenie usług zdrowotnych jest umownie uzgodnione. Jednak przetwarzanie może być prowadzone wyłącznie przez lub pod odpowiedzialnością profesjonalisty zobowiązanego do zachowania tajemnicy zawodowej lub przez inną osobę również zobowiązaną do zachowania pouf ności na mocy prawa Unii Europejskiej lub przepisów krajowych, lub zasad ustanowionych przez kompetentne krajowe organy.
Zasadniczo dane osobowe będą przetwarzane wyłącznie przez Corporate Counseling Services Sarl.
Biorąc pod uwagę zarówno złożoność usług świadczonych przez naszą firmę, jak i potrzebę angażowania przez Corporate Counseling Services Sarl pewnych zewnętrznych partnerów wspierających realizację naszych działań, pragniemy zaznaczyć, że dane osobowe mogą być przekazywane innym osobom fizycznym lub prawnym, w celu przetwarzania zgodnie z celami określonymi w niniejszej Polityce.
Uwzględniając kontekst relacji ustanowionych przez Corporate Counseling Services Sarl z jej partnerami oraz możliwość zmian w tych relacjach, nie jest możliwe wymienienie wszystkich tych partnerów z imienia i nazwiska, jednak będą oni wymieniani ogólnie, w zależności od ustanowionej/potencjalnej relacji z Corporate Counseling Services Sarl.
W tym zakresie dane osobowe mogą być przekazywane do:
- Procesorzy – współpracujący psycholodzy i akredytowani dostawcy usług psychologicznych.
- Usługi psychologiczne mogą być również świadczone przez akredytowanych specjalistycznych dostawców usług – współpracujących psychologów oraz kliniki partnerskie Corporate Counseling Services Sarl – w kraju lub za granicą.
W związku z tym zauważamy, że dane/informacje na temat stanu zdrowia osób, których dane dotyczą, niezależnie od ich zawartości czy objętości, mogą być przekazywane akredytowanym dostawcom opieki zdrowotnej w kraju lub innych krajach (zarówno w Unii Europejskiej, jak i poza nią), zgodnie z obowiązującymi przepisami prawa.
Corporate Counseling Services Sarl dokłada wszelkich starań, aby zapewnić, że jej współpracujący psycholodzy oraz inni akredytowani dostawcy przestrzegają przepisów dotyczących ochrony danych osobowych. Przed świadczeniem oferowanej usługi, gdy wymaga tego prawo, osoby, których dane dotyczą, otrzymają formularz zgody informujący o danych i informacji o partnerze firmy oraz kontekście przetwarzania danych osobowych przez firmę.
- Instytucje sądowe, śledcze, nadzorcze i kontrolne oraz/lub władze
W zakresie, w jakim, zgodnie z obowiązującymi przepisami prawa, dane osobowe/informacje są żądane przez różne organy i/lub instytucje (na przykład: organy ścigania, policję, organy finansowe, podatkowe, ubezpieczeń społecznych, sądy oraz inne instytucje nadzorujące i kontrolne), Corporate Counseling Services Sarl jest zobowiązana do udostępnienia żądanych danych/informacji bez wcześniejszej zgody osoby, której dane dotyczą, w tym w przypadku, gdy osoba ta zgłasza sprzeciw lub nie wyraża swojego zdania. Dodatkowo, w pewnych sytuacjach może być konieczne udostępnienie takich danych/informacji bez wcześniejszego żądania tych instytucji, organów i/lub władz, w takim przypadku Corporate Counseling Services Sarl udostępni niezbędne dane/informacje zgodnie z wymogami prawa.
- Inne osoby fizyczne/prawne, które mają dostęp do Twoich danych
Inne osoby fizyczne/prawne mają dostęp do danych osobowych osób, których dane dotyczą, takie jak: dostawcy usług wsparcia IT lub usług technicznych i organizacyjnych związanych z działalnością dotyczącą utrzymania sprzętu medycznego, usługi płatnicze, usługi archiwizacyjne, doradcy prawni, audytorzy, konsultanci finansowo-księgowi lub inni doradcy firmy w związku z nadzwyczajnymi operacjami biznesowymi (np. w przypadku fuzji, przejęć itp.), z którymi firma podpisze umowy o poufności, zgodnie z wymaganiami (w zakresie, w jakim określone wymogi prawne i/lub ustawowe dotyczące poufności nie będą miały zastosowania). Dane osobowe mogą również być przekazywane innym osobom fizycznym lub prawnym w Rumunii lub za granicą w zakresie niezbędnym do ustalenia, wykonania i/lub obrony prawa Corporate Counseling Services Sarl.
Firma dokłada należytej staranności w wyborze swoich dostawców usług i/lub partnerów oraz wymaga, aby ci dostawcy/partnerzy utrzymywali odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, do których mają dostęp, oraz przetwarzali je zgodnie z obowiązującymi przepisami prawa.
W przypadku, gdy operacje przetwarzania danych osobowych będą realizowane przez Corporate Counseling Services Sarl za pośrednictwem jej procesorów, nasza firma zapewni zgodność z wymaganiami określonymi w artykule 28 GDPR, zapewniając między innymi, że:
- operacje przetwarzania danych osobowych są realizowane na podstawie umowy/regulaminu regulującego szczegółowe kwestie dotyczące relacji kontroler-procesor, zgodnie z GDPR, oraz
- procesor będzie przetwarzał dane osobowe na podstawie instrukcji Corporate Counseling Services Sarl.
W pewnych szczególnych sytuacjach dane osobowe osób, których dane dotyczą, mogą być przekazywane podmiotom znajdującym się w innych państwach Unii Europejskiej i/lub Europejskiego Obszaru Gospodarczego.
Istnieją również sytuacje, w których dane osobowe mogą być również przekazywane podmiotom spoza Unii Europejskiej i/lub Europejskiego Obszaru Gospodarczego (np. Kanada, Australia, Nowa Zelandia). W takich przypadkach zapewnimy odpowiednie zabezpieczenia umożliwiające prawidłowe przekazanie danych zgodnie z wymogami przepisów o ochronie danych (zabezpieczenia mogą obejmować: stosowanie standardowych klauzul umownych dotyczących ochrony danych lub istnienie decyzji Komisji Europejskiej w tym zakresie).
W każdym przypadku, w celu przeprowadzenia faktycznego przekazania, osoby, których dane dotyczą, wypełnią formularz zgody w celu wyrażenia wyraźnej zgody na sytuację wymaganą przez usługę, stan zdrowia itp.
Dbamy o dokładność i aktualność danych osobowych osób, których dane dotyczą. Staramy się również przechowywać dane osobowe nie dłużej niż jest to konieczne do realizacji celów wymienionych w niniejszej Polityce lub zgodnie z wymogami obowiązującego prawa.
W związku z tym będziemy przechowywać dane osobowe Użytkowników przez cały okres relacji nawiązanej z Pracodawcami, a także przez pewien okres po jej zakończeniu, z uwzględnieniem obowiązujących przepisów prawa. W związku z tym dane osobowe będą przechowywane przez okres określony poniżej:
Dane o szczególnym charakterze, gromadzone przez podmioty przetwarzające, specjalistów, psychologów, kliniki psychologiczne, dostawców usług psychologicznych, będą przechowywane przez okres 2 lat po zakończeniu terapii, w celu analizy potrzeb terapeutycznych i ewolucji stanu Użytkownika, w przypadku jego późniejszego powrotu do specjalisty. Dostęp do nich będą miały wyłącznie zainteresowane osoby i psycholog. Następnie zostaną one usunięte, zniszczone lub zanonimizowane zgodnie z postanowieniami Polityki przechowywania danych CCS Sarl. W okresie przechowywania danych przez osobę upoważnioną będzie się to odbywać w warunkach maksymalnego bezpieczeństwa zgodnie z odpowiednimi przepisami prawa i postanowieniami załącznika do umowy o przetwarzaniu danych zawartej z administratorem danych CCS.
W zakresie, w jakim niektóre dane osobowe są zawarte lub odnoszą się również do niektórych dokumentów księgowych Spółki, dla których należy przestrzegać określonego okresu przechowywania (np. 5 lub 10 lat), takie dane osobowe będą przechowywane przez te obowiązujące okresy.
W odniesieniu do obrazów uzyskanych za pomocą nadzoru wideo, będą one przechowywane przez maksymalnie 30 dni kalendarzowych od daty nagrania, chyba że obowiązujące prawo zezwala lub wymaga dłuższego okresu.
Minimalne dane, imię, nazwisko, pracodawca, liczba odbytych sesji terapeutycznych, będą przekazywane przez podmiot przetwarzający dane do Corporate Counseling Services Sarl. Administrator danych wykorzysta je do raportowania usług świadczonych osobom, których dane dotyczą, ich pracodawcy, z którym CCS ma umowę o świadczenie usług. Dane te nie będą wykorzystywane do żadnych innych celów. Okres ich przechowywania jest ustalany zgodnie z okresem raportowania usług określonym w umowie i nie może przekraczać jednego roku.
Formularze zgody będą archiwizowane i przechowywane przez okres 3 (trzech) lat.
Dane osobowe są przetwarzane przez CCS Sarl w sposób zapewniający odpowiednie bezpieczeństwo. Inspektor ochrony danych regularnie przeprowadza ocenę ryzyka, biorąc pod uwagę wszystkie okoliczności operacji przetwarzania przeprowadzanych przez administratora. Określając bezpieczeństwo przetwarzania, inspektor ochrony danych bierze pod uwagę zakres możliwych szkód lub strat, które mogłyby zostać wyrządzone osobom, których dane dotyczą, w przypadku naruszenia bezpieczeństwa. Oceniając odpowiednie środki techniczne, inspektor ochrony danych bierze pod uwagę istnienie następujących środków bezpieczeństwa:
- Ochrona hasłem;
- Automatyczne blokowanie terminali (komputera/laptopa itp.), gdy nie są używane;
- Usunięcie praw dostępu do USB i innych nośników pamięci;
- Dostępność oprogramowania antywirusowego i zapór sieciowych;
- Regulowanie praw dostępu zgodnie z rolami, w tym przypisanymi pracownikom tymczasowym;
- Szyfrowanie urządzeń opuszczających siedzibę Towarzystwa, takich jak laptopy;
- Bezpieczeństwo sieci lokalnej;
- Istnienie technologii zwiększających prywatność, takich jak anonimizacja;
Oceniając odpowiednie środki organizacyjne, inspektor ochrony danych wziął również pod uwagę następujące kwestie:
- Odpowiedni poziom szkoleń w jednostce;
- wszyscy pracownicy/personel są odpowiedzialni za zapewnienie, że wszystkie dane osobowe przechowywane przez Administratora i za które Administrator jest odpowiedzialny, bezpieczne i nie są w żaden sposób ujawniane stronie trzeciej, chyba że ta strona trzecia została wyraźnie upoważniona do otrzymania tych informacji i zawarła umowę o zachowaniu poufności
- Środki ochrony danych są uwzględniane w umowach o pracę;
- W przypadku naruszenia danych dostępne są środki dyscyplinarne;
- pracownicy są monitorowani pod kątem zgodności z odpowiednimi standardami bezpieczeństwa;
- Zapewniona jest fizyczna kontrola dostępu do dokumentacji elektronicznej i papierowej;
- Dane papierowe są przechowywane w bezpiecznych szafach;
- Korzystanie z przenośnych urządzeń elektronicznych poza miejscem pracy jest ograniczone;
- Korzystanie z urządzeń osobistych pracownika w miejscu pracy jest ograniczone;
- Przyjęto jasne zasady dotyczące haseł i ich stosowania;
- Regularnie tworzone są kopie zapasowe danych osobowych;
- Na organizacje importujące nałożone są zobowiązania umowne do podjęcia odpowiednich środków bezpieczeństwa podczas przesyłania danych poza EOG.
- Wszystkie dane osobowe są dostępne wyłącznie dla osób, które muszą z nich korzystać, a dostęp jest przyznawany wyłącznie zgodnie z Polityką Kontroli Dostępu.
- Ekrany komputerów i terminali są widoczne tylko dla upoważnionych pracowników/personelu Administratora.
- Dane osobowe są usuwane lub utylizowane wyłącznie zgodnie z procedurą przechowywania dokumentacji. Akta w formacie fizycznym, które utraciły ważność, są niszczone i usuwane jako „odpady poufne”.
- Personel przetwarzający dane poza siedzibą firmy musi posiadać specjalne upoważnienie.
Podmioty przetwarzające dane ponoszą odpowiedzialność za zapewnienie bezpieczeństwa wyłącznie tym informacjom, danym osobowym i danym wrażliwym (dane dotyczące zdrowia fizycznego i psychicznego; dane genetyczne; w stosownych przypadkach dane biometryczne), które są im przekazywane i przetwarzane wyłącznie przez ich własny personel (w tym psychologów) oraz poprzez gromadzenie następujących współrzędnych:
- w klinice naszych podmiotów przetwarzających
- systemy komputerowe i/lub elektroniczne/instrumenty/urządzenia, sprzęt i oprogramowanie, rejestry i formularze CCS Sarl; oraz
jako część CCS Sarl.
Zgodnie z przepisami mającymi zastosowanie do danych osobowych, osoby, których dane dotyczą, mają następujące główne prawa:
(1) Prawo dostępu do przetwarzanych danych osobowych, oznaczające ich prawo do uzyskania od Spółki potwierdzenia, czy przetwarzane są dane osobowe ich dotyczące, a jeżeli ma to miejsce, dostępu do tych danych oraz warunków, na jakich są one przetwarzane (w tym celu przetwarzania, kategorii przetwarzanych danych, odbiorców danych).
(2) Prawo do żądania sprostowania danych osobowych, co oznacza prawo użytkowników/podmiotów danych do żądania od nas sprostowania niedokładnych lub nieaktualnych danych osobowych lub uzupełnienia niekompletnych danych.
(3) Prawo do usunięcia danych osobowych, z którego można skorzystać w pewnych okolicznościach przewidzianych przez obowiązujące prawo, w tym:
- dane osobowe nie są już niezbędne w związku z celami przetwarzania;
- gdy osoba, której dane dotyczą, sprzeciwia się przetwarzaniu i nie istnieją inne uzasadnione interesy przeważające dla przetwarzania;
- gdy dane osobowe były przetwarzane niezgodnie z prawem.
(4) Prawo do żądania ograniczenia przetwarzania, co oznacza prawo osoby, której dane dotyczą, do uzyskania od Spółki ograniczenia przetwarzania w następujących przypadkach:
- osoba, której dane dotyczą, kwestionuje prawidłowość danych (ograniczenie będzie trwało tak długo, jak długo Spółka będzie musiała weryfikować prawidłowość danych osobowych);
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych, żądając w zamian ograniczenia ich wykorzystywania;
- Firma nie potrzebuje już danych osobowych do wyżej wymienionych celów, ale osoba, której dane dotyczą, żąda danych osobowych w celu ustalenia, dochodzenia lub obrony roszczeń prawnych; lub
- osoba, której dane dotyczą, sprzeciwiła się przetwarzaniu przez okres, w którym Spółka sprawdza, czy uzasadnione prawa Spółki przeważają nad prawami osoby, której dane dotyczą.
(5) Prawo osoby, której dane dotyczą, do wniesienia sprzeciwu wobec przetwarzania, co oznacza prawo osoby, której dane dotyczą, do wniesienia sprzeciwu wobec przetwarzania z przyczyn związanych z jej szczególną sytuacją, gdy przetwarzanie:
- opiera się na prawnie uzasadnionych interesach Spółki lub strony trzeciej, w tym w przypadku profilowania opartego na tej podstawie, lub
- w zakresie, w jakim ma to zastosowanie, jest prowadzone w celu bezpośredniej komunikacji marketingowej obejmującej profilowanie.
(6) Prawo do niepodlegania zautomatyzowanej decyzji, co oznacza, że jako użytkownik naszych usług osoby, których dane dotyczą, nie będą podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu ich danych (w tym profilowaniu), która wywołuje skutki prawne dotyczące osoby, której dane dotyczą, lub która w podobny sposób wpływa na nią w znacznym stopniu.
(7) Prawo do przenoszenia danych, oznaczające prawo Użytkowników do żądania przeniesienia, skopiowania lub przekazania ich danych osobowych istniejących w bazie danych Spółki do innej bazy danych, w ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie, w przypadku gdy przetwarzanie odbywa się na podstawie zgody lub umowy i odbywa się w sposób zautomatyzowany.
(8) Prawo do wniesienia skargi do krajowego organu nadzorczego ds. przetwarzania danych osobowych oraz do wystąpienia do właściwych sądów.
Użytkownicy / osoby, których dane dotyczą, mogą skorzystać z praw, o których mowa w punktach (1) do (7) powyżej, składając pisemny wniosek, podpisany i zarejestrowany w Corporate Counseling Services Sarl przy użyciu następujących danych kontaktowych (do wiadomości inspektora ochrony danych): e-mail dpo@ccsint.ro.
We wniosku osoba, której dane dotyczą, ma możliwość wskazania, czy chce, aby informacje zostały przekazane na określony adres (może to być adres e-mail), czy za pośrednictwem firmy kurierskiej, która zapewnia osobiste dostarczenie informacji.
Żądane informacje zostaną przekazane w ciągu 1 (jednego) miesiąca od daty otrzymania żądania, z uwzględnieniem możliwych opcji komunikacji. Jeśli dotrzymanie powyższego terminu nie będzie możliwe, Użytkownik zostanie poinformowany o przyczynie odroczenia odpowiedzi, a także o przewidywanej procedurze rozwiązania jego wniosku i szacowanym terminie.
W przypadku incydentu/naruszenia bezpieczeństwa Administrator bez zbędnej zwłoki i w miarę możliwości nie później niż w terminie 72 godzin po powzięciu wiadomości o incydencie/naruszeniu bezpieczeństwa zawiadamia właściwy organ nadzorczy, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób, których dane dotyczą. Jeżeli powiadomienie organu nadzorczego nie zostanie dokonane w ciągu 72 godzin, należy podać przyczyny opóźnienia. Corporate Counseling Services Sarl opracowała własną procedurę mającą zastosowanie do naruszeń bezpieczeństwa, z którą można się zapoznać na żądanie.
Jeśli istotnie zmienimy nasze praktyki przetwarzania danych osobowych lub niniejszą Politykę, wydamy zmienioną Politykę i/lub podejmiemy inne kroki w celu powiadomienia użytkownika o tych zmianach zgodnie z obowiązującym prawem.
Jeśli osoby, których dane dotyczą, są niezadowolone ze sposobu, w jaki przetwarzamy ich dane, wolimy, aby skontaktowały się z nami bezpośrednio, abyśmy mogli rozwiązać ich obawy. Jeśli jednak nadal masz jakiekolwiek skargi, możesz skontaktować się z Krajowym Organem Nadzorczym ds. Przetwarzania Danych Osobowych (www.dataprotection.ro):
Adres. Gheorghe Magheru, Bukareszt, Rumunia; telefon: +40.318.059.211/ +40.318.059.212; fax: +40.318.059.602; e-mail: anspdcp@dataprotection.ro .
Administrator opublikuje niniejszą Politykę na swojej stronie internetowej (www.ccsint.com). W przypadku konkretnego żądania osoby, której dane dotyczą, Administrator prześle niniejszą Politykę bezpośrednio do osoby, której dane dotyczą.
Niniejsza Polityka wchodzi w życie z dniem jej publikacji.
Postanowienia niniejszej Polityki będą miały również zastosowanie do danych przetwarzanych w momencie wejścia w życie niniejszej Polityki.
Z dniem wejścia w życie niniejsza Polityka zastępuje i uchyla poprzednie polityki przetwarzania danych obowiązujące u Administratora.