top of page

Polityka ochrony danych

Polityka ochrony danych w podmiocie leczniczym

VENA CLINIC SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

§ 1

Niniejsza polityka ochrony danych określa zasady przetwarzania danych osobowych w podmiocie leczniczym

„VENA CLINIC SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ” w Sopocie.

§ 2

Użyte w niniejszej polityce ochrony danych określenia oznaczają:

1. Administrator – „VENA CLINIC SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ” w Sopocie, 81-877

Sopot, ul. Smolna 3c, NIP: 5851498161, REGON: 522641172;

2. Dane Osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w

tym w szczególności imię, nazwisko, adres zamieszkania lub innego miejsca pobytu, PESEL, adres

poczty elektronicznej, Dane Dotyczące Zdrowia oraz inne dane określające fizyczną, fizjologiczną,

genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

3. Dane Dotyczące Zdrowia – Dane Osobowe obejmujące dane o stanie zdrowia osoby, której dotyczą,

ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego

zdrowia osoby, której dotyczą, w tym w szczególności informacje zbierane podczas rejestracji do usług

opieki zdrowotnej lub podczas udzielania świadczeń zdrowotnych, numer, symbol lub oznaczenie

przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów

zdrowotnych, informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów

ustrojowych, w tym danych genetycznych i próbek biologicznych, a także wszelkie informacje, na

przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub

stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła;

4. Odbiorca - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia

się dane osobowe, niezależnie od tego, czy jest stroną trzecią, z wyłączeniem organów publicznych,

które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii

Europejskiej lub prawem polskim;

5. Pacjent – osoba zwracająca się o udzielenie świadczeń zdrowotnych lub korzystająca ze świadczeń

zdrowotnych udzielanych przez Administratora;

6. Personel –osoby świadczące pracę na rzecz Administratora w ramach stosunku pracy lub umów

cywilnoprawnych;

7. Polityka – niniejsza Polityka ochrony danych osobowych;

8. Procesor – podmiot, któremu Administrator powierzył przetwarzanie Danych Osobowych;

9. Prezes UODO – Prezes Urzędu Ochrony Danych Osobowych będący organem publicznym właściwym

w sprawach danych osobowych;

10. Przetwarzanie - operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach

danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taki jak zbieranie,

utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie,

pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub

innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

11. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w

sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie

swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;3. Administrator przetwarza Dane Osobowe z zachowaniem zasad zgodności z prawem, rzetelności i

przejrzystości.

4. Dane Osobowe są zbierane i przetwarzane wyłącznie w wyraźnych i prawnie uzasadnionych celach zgodnie z

zasadami ograniczenia celu oraz minimalizacji danych.

5. Administrator przechowuje Politykę w wersji elektronicznej oraz w wersji papierowej w swojej siedzibie i

udostępnia ją do wglądu osobom uprawnionym do przetwarzania Danych Osobowych oraz osobom, którym

takie uprawnienie ma zostać nadane przez Administratora.

§ 3.

Administrator jest podmiotem leczniczym wykonującym działalność leczniczą na podstawie ustawy z dnia 15 kwietnia

2011 r. o działalności leczniczej (tekst jedn. Dz. U. z 2022 r., poz. 633 ze zm.) i przetwarza Dane Osobowe:

1. Pacjentów:

1. w celach zdrowotnych, związanych z udzielaniem świadczeń zdrowotnych, w tym prowadzeniem i

udostępnianiem dokumentacji medycznej- na podstawie art. 9 ust. 2 lit h RODO oraz art. 6 ust. 1 lit. c

RODO ;

2. w celu ochrony przed roszczeniami oraz w celu dochodzenia roszczeń oraz zapewnienia

bezpieczeństwa osób i mienia – na podstawie prawnie uzasadnionego interesu Administratora,

zgodnie z art. 6 ust. 1 lit. f RODO;

3. w celach marketingowych oraz innych niewymienionych w lit. a i b – na podstawie zgody Pacjenta,

zgodnie z art. 6 ust 1 lit. a RODO;

2. Personelu:

1. w celu profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności do pracy – art. 9 ust. 2 lit. h RODO;

2. w celu zawarcia oraz realizacji umowy cywilnoprawnej - na podstawie art. 6 ust. 1 lit. b oraz art. 6 ust.

1 lit. c RODO;

3. w celu ochrony przed roszczeniami oraz w celu dochodzenia roszczeń, jak również w celu zapewnienia

procesu zarządzania przedsiębiorstwem Administratora i zapewnienia bezpieczeństwa osób i mienia –

na podstawie prawnie uzasadnionego interesu Administratora, zgodnie z art. 6 ust. 1 lit. f RODO;

4. w celach niewymienionych w lit. a – c – na podstawie zgody osoby, której dane dotyczą, zgodnie z art.

6 ust 1 lit. a RODO;

3. innych osób:

1. w zakresie zawartych umów, w celu zapewnienia ich realizacji – na podstawie art. 6 ust. 1 lit. b RODO;

2. w celu zapewnienia procesu zarządzania przedsiębiorstwem Administratora oraz zapewnienia

bezpieczeństwa osób i mienia – na podstawie prawnie uzasadnionego interesu Administratora,

zgodnie z art. 6 ust. 1 lit. f RODO;

3. w pozostałych celach - na podstawie zgody osoby, której dane dotyczą, zgodnie z art. 6 ust 1 lit. a RODO,

o ile nie zachodzą inne podstawy przetwarzania Danych Osobowych, o których mowa w art. 6 oraz art.

9 RODO.

1. 2. § 4.

Administrator zapewnia bezpieczeństwo Danych Osobowych w tym ochronę przed ich niedozwolonym lub

niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

Realizację celów, o których mowa w ust. 1, Administrator zapewnia poprzez:1. stosowanie dokumentacji przetwarzania Danych Osobowych, określonej w załącznikach nr 5 i 6 do

3. Polityki;

2. dopuszczenie do Przetwarzania Danych Osobowych wyłącznie osób upoważnionych przez

Administratora na piśmie oraz osób zobowiązanych do zachowania tajemnicy zawodowej w związku z

wykonywanym zawodem medycznym (lekarze, pielęgniarki), chyba, że upoważnienie do przetwarzania

danych osobowych wynika wprost z przepisów prawa powszechnie obowiązującego;

3. powierzanie Przetwarzania Danych Osobowych wyłącznie na podstawie odrębnych umów o

powierzenie Przetwarzania Danych Osobowych;

4. prowadzenie i udostępnianie dokumentacji medycznej zgodnie z przepisami prawa powszechnie

obowiązującego w tym m.in. ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw

Pacjenta (tekst jedn. Dz. U. z 2022 r., poz. 1876 ze zm.) oraz rozporządzenia Ministra Zdrowia z dnia 6

kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej

przetwarzania (tekst jedn. Dz. U. 2022, poz. 1304 ze zm.);

5. szkolenia Personelu z zakresu zasad Przetwarzania Danych Osobowych;

6. prowadzenie rejestru czynności Przetwarzania, zgodnie z wzorem stanowiącym załącznik nr 1 do

Polityki;

7. monitorowanie naruszeń ochrony Danych Osobowych i prowadzenie rejestru naruszeń, zgodnie z

wzorem stanowiącym załącznik nr 2 do Polityki;

8. stosowanie środków technicznych ochrony Danych Osobowych, w szczególności:

1. ochrony budynku i systemu alarmowego;

2. zabezpieczeń antywłamaniowych w stolarce drzwiowej i okiennej;

3. stosowanie szaf i pojemników zapewniających należyty poziom bezpieczeństwa Danych

Osobowych;

4. zabezpieczeń teleinformatycznych (m.in. ograniczony dostęp do systemów, oprogramowanie

antywirusowe, firewall, certyfikaty SSL na stronie internetowej).

Administrator wyznaczył inspektora ochrony danych z którym możesz się kontaktować: pisemnie na adres: 81-

877 Sopot, ul. Smolna 3c; e-mailem: kontakt@venaclinic.pl lub telefonicznie: nr tel. 572 570 161

§ 5.

1. Dostęp Personelu do Danych Osobowych uzasadniony jest zakresem ich zadań i obowiązków.

2. Personel zobowiązany jest do:

1. 2. 3. 4. 5. zapoznania się z treścią Polityki, a także – w zakresie uzasadnionym zakresem zadań i obowiązków – z

przepisami prawa z zakresu ochrony danych osobowych, oraz do bezwarunkowego ich przestrzegania;

dbałości o bezpieczeństwo przetwarzanych Danych Osobowych, w tym w szczególności do ich ochrony

przed dostępem osób nieuprawnionych, utratą, bezprawną modyfikacją lub zniszczeniem;

prowadzenia i udostępniania dokumentacji medycznej Pacjentów zgodnie z obowiązującymi w tym

zakresie przepisami prawa oraz jej zabezpieczenia przed utratą lub zniszczeniem;

w przypadku udostępniania dokumentacji medycznej – do rzetelnej weryfikacji tożsamości osoby,

której dane są udostępniane;

w przypadku udostępniania dokumentacji medycznej w formie elektronicznej – do jej uprzedniego

zaszyfrowania lub innego zabezpieczenia przed dostępem osób nieuprawnionych;6. niewynoszenia nośników zawierających Dane Osobowe poza teren zakładu leczniczego Administratora;

7. korzystania z urządzeń oraz systemów teleinformatycznych Administratora w sposób zapewniający

ochronę Danych Osobowych przed dostępem osób nieuprawnionych m.in. poprzez:

1. stosowanie indywidualnych, niepowtarzalnych haseł dostępu,

2. niepozostawianie urządzeń bez nadzoru,

3. zamykanie pomieszczeń, w których pracują urządzenia, na których przetwarzane są Dane

Osobowe,

4. wyłączanie urządzeń po zakończeniu użytkowania,

5. nieudostępniania danych dostępowych (loginów i haseł) osobom nieuprawnionym,

6. stosowanie oprogramowania antywirusowego oraz oprogramowania typu firewall.

8. zamykania na klucz pomieszczeń, w których przechowywane są Dane Osobowe;

9. przechowywania w miejscu pracy (pokoje, gabinety, recepcja itp.) dokumentów i innych nośników

zawierających Dane Osobowe wyłącznie w przeznaczonych do tego pojemnikach/szafach/biurkach;

10. niepozostawiania dokumentów i innych nośników zawierających Dane Osobowe w miejscu pracy w

sposób niezabezpieczony przed dostępem osób nieuprawnionych, również po zakończonej pracy

(„zasada czystego biurka”);

11. nieudostępniania Danych Osobowych osobom, których tożsamości nie można zweryfikować, lub co do

której istnieją uzasadnione wątpliwości;

12. nieujawniania Danych Osobowych Pacjentów w ogólnodostępnych pomieszczeniach zakładu

leczniczego Administratora;

13. niezwłocznego informowania Administratora o każdym przypadku niezgodnego z prawem lub niniejszą

Polityką przypadku przetwarzania Danych Osobowych;

14. zachowania poufności Danych Osobowych również po ustaniu stosunku pracy lub innego stosunku

prawnego łączącego członka Personelu z Administratorem;

3. Naruszenie postanowień Polityki przez członka Personelu stanowi ciężkie naruszenie obowiązków

pracowniczych, a w przypadku osób świadczących na rzecz Administratora pracę na innej podstawie niż

stosunek pracy, stanowi rażące naruszenie obowiązków umownych.

§ 6.

1. Administrator może powierzyć Przetwarzanie Danych Osobowych podmiotom trzecim, z których usług

korzysta, jeżeli realizacja tych usług wymaga przetwarzania Danych Osobowych, w szczególności:

1. dostawcom usług hostingowych;

2. podmiotom serwisującym urządzenia i systemy teleinformatyczne, o ile świadczenie tych usług wiąże

się z dostępem do Danych Osobowych;

3. dostawcom oprogramowania do obsługi informatycznej Administratora, w tym w szczególności

oprogramowania do prowadzenia dokumentacji medycznej.

2. Szczegółowe warunki powierzenia Procesorowi przetwarzania Danych Osobowych określa umowa.

3. Administrator może udostępnić Dane Osobowe innym podmiotom wykonującym działalność leczniczą jeżeli

jest to uzasadnione procesem leczenia, w szczególności dla zapewnienia ciągłości świadczeń zdrowotnych, oraz

innym podmiotom uprawnionym do otrzymania Danych Osobowych na podstawie odrębnych przepisów.

§ 7.1. Administrator przetwarza Dane Osobowe z poszanowaniem praw osób, których dane dotyczą:

1. prawa do informacji o Przetwarzaniu Danych Osobowych (art. 13 - 14 RODO);

2. prawa dostępu do Danych Osobowych oraz uzyskania kopii Danych Osobowych (art. 15 RODO);

3. prawa żądania sprostowania Danych Osobowych (art. 16 RODO);

4. prawa żądania usunięcia Danych Osobowych (art. 17 RODO);

5. prawa żądania ograniczenia Przetwarzania Danych Osobowych (art. 18 RODO);

6. prawo przenoszenia Danych Osobowych (art. 20 RODO);

7. prawo sprzeciwu wobec Przetwarzania Danych Osobowych (art. 21 RODO);

8. praw wynikających z przepisów odrębnych.

2. Prawo do informacji jest realizowane przez Administratora poprzez przekazanie osobie, której dane dotyczą,

informacji w formie klauzuli informacyjnej. Wzory klauzul informacyjnych stanowią załączniki nr 5 i 6

do Polityki.

3. Na żądanie osoby, której dane dotyczą, Administrator udostępnia jej kopię Danych Osobowych. Pierwsze

udostępnienie następuje nieodpłatnie. Za każde kolejne udostępnienie Administrator może pobrać opłatę w

wysokości wynikającej z kosztów administracyjnych. O wysokości opłaty Administrator informuje osobę, której

dane dotyczą przed udostępnieniem kopii Danych Osobowych.

4. W przypadku, gdy udostępnienie, o którym mowa w ust. 3, dotyczy danych zawartych w dokumentacji

medycznej Pacjenta, Administrator udostępnia dokumentację na zasadach określonych w ustawie z dnia 6

listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn. Dz. U. 2022 r., poz. 1876 ze zm.)

oraz w regulaminie organizacyjnym Administratora.

5. W przypadku otrzymania żądania sprostowania Danych Osobowych Administrator niezwłocznie dokonuje

weryfikacji zasadności żądania, a w przypadku, gdy żądanie jest uzasadnione – dokonuje sprostowania Danych

Osobowych i informuje o tym osobę, której dane dotyczą oraz każdego odbiorcę Danych Osobowych, chyba,

że będzie to niemożliwe lub będzie wymagać nadmiernego wysiłku.

6. W przypadku otrzymania żądania usunięcia Danych Osobowych Administrator niezwłocznie dokonuje ich

usunięcia, z wyłączeniem przypadków określonych w art. 17 ust. 3 RODO. W odniesieniu do Danych Osobowych

zawartych w dokumentacji medycznej Pacjenta usunięcie Danych Osobowych nie może nastąpić przed

upływem okresu przechowywania dokumentacji medycznej wynikającego z przepisów prawa powszechnie

obowiązującego.

7. Prawo przenoszenia Danych Osobowych oraz prawo sprzeciwu wobec przetwarzania Danych Osobowych nie

dotyczą Danych Osobowych przetwarzanych na podstawie art. 9 ust. 2 lit. h RODO.

8. W przypadku otrzymania od osoby, której dane dotyczą, żądania związanego z realizacją praw, o których mowa

w ust. 1 lit. b-g, Administrator zobowiązany jest bez zbędnej zwłoki udzielić osobie, której dane dotyczą,

informacji o podjętych działaniach. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z

uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania

administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn

opóźnienia.

9. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także

są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

10. W przypadku odmowy podjęcia działań w związku z żądaniem Administrator informuje osobę, której dane

dotyczą o powodach niepodjęcia działań oraz o możliwości złożenia skargi na do Prezesa UODO oraz

skorzystania ze środków ochrony prawnej przed sądem.

§ 8.1. 2. Administrator prowadzi rejestr czynności Przetwarzana Danych Osobowych. Wzór rejestru stanowi załącznik

nr 1 do Polityki.

Rejestr czynności Przetwarzania prowadzony jest w formie pisemnej lub elektronicznej i jest udostępniany na

każde żądanie Prezesa UODO.

§ 9.

1. Administrator prowadzi rejestr naruszeń ochrony Danych Osobowych. Wzór rejestru stanowi załącznik nr 2 do

Polityki.

2. Naruszeniem ochrony Danych Osobowych jest każde naruszenie bezpieczeństwa prowadzące do

przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego

ujawnienia lub nieuprawnionego dostępu do Danych Osobowych, w szczególności:

3. 4. 5. 1. 2. 3. 1. naruszenie bezpieczeństwa systemów teleinformatycznych wykorzystywanych w działalności

Administratora;

2. udostępnienie Danych Osobom nieuprawnionym lub powstanie bezpośredniego niebezpieczeństwa

takiego udostępnienia;

3. Przetwarzanie Danych Osobowych w sposób sprzeczny z przepisami prawa lub niniejszą Polityką;

4. bezprawne uszkodzenie, utrata, zmiana lub ujawnienie Danych Osobowych;

5. naruszenie praw, o których mowa w § 7 ust. 1.

W przypadku podejrzenia naruszenia ochrony Danych Osobowych Administrator niezwłocznie weryfikuje, czy

doszło do naruszenia i czy naruszenie mogło spowodować ryzyko naruszenia praw i wolności osób, których

dane dotyczą.

W przypadku stwierdzenia naruszenia, Administrator niezwłocznie, nie później jednak niż w terminie 72 godzin

o stwierdzeniu naruszenia zawiadamia Prezesa UODO. Wzór zawiadomienia określa załącznik nr 3 do Polityki.

Jeżeli naruszenie ochrony Danych Osobowych może powodować wysokie ryzyko naruszenia praw lub wolności

osób fizycznych, Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu,

chyba, że zachodzą okoliczności wskazane w art. 34 ust. 3 RODO.

§ 10.

Wszystkie załączniki do Polityki stanowią jej integralną część.

Administrator zapoznaje Personel z treścią Polityki i poucza o obowiązku bezwzględnego jej stosowania.

Z załącznikami można zapoznać się w Vena Clinic

Ostatnia aktualizacja 03.12.2025

Skontaktuj się
Wybierz miasto

Dziękujemy za zgłoszenie!

Vena Clinic Sopot

Adres: Smolna 3c,

81-877 Sopot,

woj. pomorskie

NIP: 5851498161

Telefon:  +48 572 570 161

Vena Clinic Olsztyn

Adres: Niepodłeglośći 57/B,

10-044 Olsztyn,

​woj. warmińsko-mazurskie

NIP: 7394005513

Telefon:  +48 789 899 142

Email: kontakt@venaclinic.pl

© 2026 by Vena Clinic

bottom of page