§1
Postanowienia ogólne
1. Regulamin określa zasady korzystania przez pacjenta z systemu online Biowaves (dalej: „System”), w szczególności w zakresie dostępu do wyników badań, informacji terapeutycznych oraz danych udostępnianych pacjentowi w ramach procesu diagnostycznego i terapeutycznego.
2. System jest narzędziem informatycznym wspierającym obsługę gabinetu i relację terapeuta–pacjent. System nie zastępuje konsultacji z terapeutą ani lekarzem.
3. Dostęp do Systemu jest możliwy wyłącznie po spełnieniu warunków określonych w niniejszym Regulaminie oraz po wyrażeniu przez pacjenta odpowiednich zgód (w tym zgody na dostęp online, jeśli jest wymagana w danym zakresie).
4. W przypadku niewyrażenia zgody na udostępnianie danych przez Internet, pacjent ma dostęp do swoich wyników i informacji wyłącznie w gabinecie.
§2
Definicje
1. „Administrator danych” – podmiot ustalający cele i sposoby przetwarzania danych osobowych pacjentów w związku z korzystaniem z Systemu. Administratorem danych osobowych jest firma Singerton Tomasz Śpiewak z siedzibą w Szczecinie przy ulicy Struga 25/4, NIP: 9551857965, REGON: 812396676.
2. „Terapeuta” – użytkownik Systemu upoważniony do przetwarzania danych pacjentów w zakresie niezbędnym do realizacji usług diagnostycznych i terapeutycznych, posiadający dostęp wyłącznie do swoich pacjentów.
3. „Pacjent” – osoba fizyczna, której dane dotyczą, korzystająca z usług diagnostycznych lub terapeutycznych oraz uprawniona do uzyskania dostępu do danych poprzez System.
4. „Dane” – dane osobowe pacjenta, w tym dane szczególnej kategorii (dotyczące zdrowia) w rozumieniu art. 9 RODO, przetwarzane w Systemie.
§3
Warunki uzyskania i utrzymania dostępu
1. Uzyskanie dostępu do Systemu wymaga łącznie:
- założenia konta pacjenta (rejestracji) lub aktywacji dostępu przez terapeutę/administratorów Systemu,
- pozytywnej weryfikacji tożsamości pacjenta w sposób przyjęty w gabinecie (np. na podstawie oświadczenia i danych identyfikacyjnych),
- ustanowienia danych uwierzytelniających (login/hasło lub inna metoda autoryzacji),
- wyrażenia zgód wymaganych do udostępniania danych w Systemie, w tym zgody na dostęp online – jeśli pacjent chce korzystać z dostępu przez Internet.
2. Administrator danych może wstrzymać lub ograniczyć dostęp do Systemu, jeżeli jest to niezbędne dla ochrony danych pacjenta, bezpieczeństwa Systemu, realizacji obowiązków prawnych lub w przypadku podejrzenia nieuprawnionego dostępu.
3. Pacjent zobowiązuje się do podawania danych prawdziwych i aktualnych w zakresie niezbędnym do obsługi konta oraz do niezwłocznej aktualizacji danych kontaktowych.
§4
Zakres udostępnianych informacji i dostępów
1. System może udostępniać pacjentowi w szczególności:
- wyniki badań i analiz wprowadzonych do Systemu,
- informacje terapeutyczne związane z przebiegiem usług,
- historię wizyt/zdarzeń w Systemie w zakresie udostępnionym pacjentowi.
2. Zakres danych udostępnianych pacjentowi może zależeć od rodzaju usługi, konfiguracji Systemu oraz decyzji terapeuty prowadzącego, przy zachowaniu zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO).
3. Terapeuci posiadają dostęp wyłącznie do danych swoich pacjentów, zgodnie z upoważnieniami i rolami w Systemie. Administrator danych oraz podmioty upoważnione mogą posiadać dostęp administracyjny/techniczny wyłącznie w zakresie niezbędnym do zapewnienia ciągłości działania, bezpieczeństwa i utrzymania Systemu.
§5
Zasady bezpieczeństwa po stronie pacjenta
1. Pacjent zobowiązuje się do zachowania poufności danych dostępowych do Systemu, w szczególności do:
- nieudostępniania loginu i hasła osobom trzecim,
- stosowania hasła o odpowiednim poziomie złożoności oraz okresowej zmiany hasła, jeśli System to umożliwia,
- korzystania z Systemu wyłącznie na zaufanych urządzeniach oraz w bezpiecznym środowisku sieciowym,
- wylogowania się z Systemu po zakończeniu korzystania, zwłaszcza na urządzeniach współdzielonych.
2. Pacjent powinien niezwłocznie poinformować Administratora danych lub gabinet o podejrzeniu nieuprawnionego dostępu do konta, utracie urządzenia, ujawnieniu hasła lub innym zdarzeniu mogącym skutkować naruszeniem ochrony danych.
3. Pacjent przyjmuje do wiadomości, że udostępnienie danych logowania osobom trzecim może skutkować nieuprawnionym dostępem do danych, za co Administrator danych nie ponosi odpowiedzialności w zakresie wskazanym w §9.
§6
Przetwarzanie danych osobowych i dane szczególnej kategorii
1. Dane pacjenta przetwarzane są w Systemie w związku z realizacją usług diagnostycznych i terapeutycznych oraz prowadzeniem dokumentacji, a także – w razie wyrażenia zgody – w celu udostępnienia danych pacjentowi przez Internet.
2. W Systemie mogą być przetwarzane dane szczególnej kategorii (dotyczące zdrowia) w rozumieniu art. 9 RODO, w szczególności informacje o stanie zdrowia, jednostkach chorobowych, nałogach, wynikach diagnoz paramedycznych oraz inne informacje przekazane dobrowolnie przez pacjenta.
3. Podstawy prawne przetwarzania danych wynikają z RODO oraz właściwych przepisów krajowych, a szczegółowe informacje dotyczące podstaw prawnych, okresów przechowywania, odbiorców danych oraz praw pacjenta określa klauzula informacyjna RODO udostępniana pacjentowi przez Administratora danych.
4. Pacjent przyjmuje do wiadomości, że cofnięcie zgody na udostępnianie danych przez Internet nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem, a w zakresie wymaganym prawem dane mogą być nadal przetwarzane niezależnie od zgody.
§7
Dostęp pacjenta do danych bez dostępu online
1. Jeżeli pacjent nie wyrazi zgody na udostępnianie danych poprzez Internet lub cofnie taką zgodę, dostęp do wyników i informacji terapeutycznych jest zapewniany w gabinecie w formie ustalonej przez terapeutę lub Administratora danych (np. wgląd, wydruk, omówienie wyników).
2. Ograniczenie dostępu online nie wpływa na możliwość korzystania z usług terapeutycznych ani na przetwarzanie danych w zakresie niezbędnym do realizacji tych usług.
§8
Środki bezpieczeństwa po stronie Administratora
1. Administrator danych deklaruje stosowanie odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 RODO, adekwatnych do ryzyka związanego z przetwarzaniem danych, w szczególności danych dotyczących zdrowia.
2. W szczególności mogą być stosowane (w zależności od konfiguracji Systemu):
- szyfrowanie transmisji danych (np. SSL/TLS),
- kontrola dostępu i uprawnień w oparciu o role użytkowników,
- mechanizmy autoryzacji i rejestracji zdarzeń (logi),
- kopie zapasowe oraz procedury odtwarzania danych,
- monitoring i aktualizacje bezpieczeństwa.
3. Administrator danych może okresowo wprowadzać dodatkowe mechanizmy bezpieczeństwa (np. wymóg zmiany hasła, dodatkowa weryfikacja), jeżeli jest to uzasadnione ochroną danych pacjentów.
§9
Odpowiedzialność
1. Administrator danych dokłada należytej staranności w celu zapewnienia bezpieczeństwa Systemu oraz ochrony danych pacjentów.
2. Administrator danych nie ponosi odpowiedzialności za dostęp osób trzecich do danych pacjenta w przypadku, gdy dostęp ten nastąpił wskutek:
- udostępnienia przez pacjenta danych logowania osobom trzecim,
- braku zachowania zasad bezpieczeństwa po stronie pacjenta, o których mowa w §5,
- działania złośliwego oprogramowania na urządzeniu pacjenta lub naruszeń bezpieczeństwa wynikających z używania niezabezpieczonych urządzeń/sieci przez pacjenta.
3. Administrator danych nie ponosi odpowiedzialności za czasową niedostępność Systemu spowodowaną zdarzeniami niezależnymi (awarie dostawców usług, prace serwisowe, siła wyższa), przy czym dołoży starań w celu możliwie szybkiego przywrócenia działania Systemu.
§10
Postanowienia końcowe
1. Regulamin może być aktualizowany w przypadku zmian prawnych, organizacyjnych lub technicznych dotyczących Systemu lub sposobu świadczenia usług.
2. Aktualna wersja Regulaminu jest udostępniana pacjentowi w Systemie lub w gabinecie.
3. W sprawach nieuregulowanych zastosowanie mają przepisy powszechnie obowiązujące, w szczególności RODO oraz przepisy prawa polskiego.