Realizując konstytucyjne prawo każdej osoby do ochrony życia prywatnego oraz postanowienia rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w celu zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ww. rozporządzenia oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, wprowadza się następujący zestaw procedur.
1. Ilekroć w dokumencie jest mowa o:
rozporządzeniu – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
zbiorze danych – rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
przetwarzaniu danych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie,przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
administratorze danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
zgodzie osoby, której dane dotyczą – oznacza to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
odbiorcy danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego;
środkach technicznych i organizacyjnych – należy przez to rozumieć środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych;
ograniczeniu przetwarzania – należy przez to rozumieć oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;
profilowaniu – oznacza to dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
pseudonimizacji – oznacza to przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
podmiocie przetwarzającym – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
naruszeniu ochrony danych osobowych – oznacza to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
1. Administrator danych w szczególności:
wdraża środki techniczne i organizacyjne, uwzględniające charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia oraz umożliwiające przetwarzanie danych zgodnie z rozporządzeniem. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane, prowadzi rejestr czynności przetwarzania danych osobowych, w przypadku gdy ten obowiązek ma zastosowanie, wyznacza Inspektora Ochrony Danych (IOD), w razie zaistnienia przesłanek określonych w rozporządzeniu.
1) Celem ochrony danych spełniono wymogi, określone w rozporządzeniu, w szczególności:
2. W celu zapewnienia ochrony danych osobowych stosuje się następujące środki ochrony fizycznej danych osobowych:
3. W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
4. Celem zapewnienia ochrony danych osobowych stosuje się następujące środki ochrony w ramach narzędzi programowych i baz danych:
5. W celu ochrony danych osobowych stosuje się następujące środki organizacyjne:
1. Każdorazowy właściciel procesu wskazany przez administratora danych przeprowadza ocenę skutków dla ochrony danych osobowych (DPIA) na podstawie arkusza stanowiącego załącznik nr 1 do niniejszej umowy.
2. DPIA jest przeprowadzana przy każdorazowej istotnej zmianie procesu przetwarzania danych osobowych, polegającej m.in. na zmianie dostawcy usług, zmianie sposobu przetwarzania danych, wymianie zasobów biorących udział w procesie.
3. DPIA jest przeprowadzana wraz z analizą ryzyka nie rzadziej niż raz w roku w stosunku do procesów, które w wyniku poprzednio przeprowadzonego DPIA wykazały wysokie ryzyko dla praw i wolności osób, których dane dotyczą.
1. Każdorazowy właściciel procesu wskazany przez administratora danych lub administrator danych samodzielnie przeprowadza analizę ryzyka dla zasobów biorących udział w procesach.
2. Właściciel procesu lub administrator danych przeprowadza analizę ryzyka nie rzadziej niż raz w roku. Przeprowadzona analiza ryzyka stanowi podstawę do aktualizacji sposobu postępowania z ryzykiem.
3. Właściciel procesu lub administrator danych samodzielnie wdrażają, w oparciu o wyniki przeprowadzonej analizy ryzyka, sposoby postępowania z ryzykiem.
4. Każdorazowo administrator danych wybiera sposób postępowania z ryzykiem i określa, które ryzyka i w jakiej kolejności będą rozpatrywane jako pierwsze.
1. Każdorazowe skorzystanie z usług podmiotu przetwarzającego poprzedzane jest zawarciem umowy powierzenia przetwarzania danych osobowych zgodnie z załącznikiem nr 2.
2. Administrator danych weryfikuje zgodność z rozporządzeniem wszystkich podmiotów przetwarzających, z których usług korzysta lub ma zamiar skorzystać z listy kontrolnej. Weryfikacja następuje nie rzadziej niż raz w roku oraz każdorazowo przed zawarciem umowy powierzenia przetwarzania danych osobowych.
1. Administrator danych realizując zamiar rozpoczęcia przetwarzania danych osobowych w nowym procesie, przeprowadza DPIA w stosunku do tego procesu.
2. Administrator danych tworząc nowy produkt lub usługę uwzględnia prawa osób, których dane dotyczą, na każdym strategicznym etapie jego projektowania i wdrażania.
1. Administrator danych weryfikuje każdy przypadek potencjalnego ryzyka naruszenia praw lub wolności osób fizycznych w związku z przetwarzaniem danych osobowych.
2. W przypadku stwierdzenia ryzyka naruszenia praw lub wolności osób fizycznych w związku z przetwarzaniem danych osobowych, administrator danych zawiadamia o tym fakcie organ nadzorczy niezwłocznie, jednak nie później niż w ciągu 72 godzin od identyfikacji naruszenia.
3. Administrator danych zawiadamia osoby, których dane dotyczą, w przypadku wystąpienia wobec nich naruszeń skutkujących ryzykiem naruszenia ich praw lub wolności. Konieczność zawiadomienia osób, których dane dotyczą, nie zachodzi, jeżeli administrator danych zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww. naruszenia.
4. Administrator danych dokumentuje naruszenia, które skutkują naruszeniem praw i wolności osób fizycznych.
1. Administrator danych rozpatruje indywidualnie każde zgłoszenie przez osobę, której dane dotyczą, woli skorzystania z praw określonych w rozporządzeniu.
2. Administrator danych niezwłocznie realizuje następujące prawa osób, których dane dotyczą:
3. Administrator danych niezwłocznie informuje odbiorców danych, którym udostępnił dane osobowe o realizacji prawa do sprostowania, usunięcia i ograniczenia przetwarzania danych, chyba że jest to niemożliwe albo wymaga podjęcia niewspółmiernie dużego wysiłku.
4. Administrator danych odmawia realizacji praw osób, których dane dotyczą, jeżeli możliwość taka wynika z przepisów rozporządzenia. Każda odmowa realizacji praw osób, których dane dotyczą, wymaga podania uzasadnienia z powołaniem podstawy prawnej wynikającej z rozporządzenia.
1. Administrator danych informuje osobę, której dane dotyczą, o każdym przypadku pobierania danych, zgodnie z załącznikiem nr 3.
2. Administrator danych informuje osobę, której dane dotyczą o każdym przypadku pobierania danych z innych źródeł której dane dotyczą. Przedmiotowa informacja jest przekazywana niezwłocznie, jednak nie później niż przy pierwszym kontakcie z osobą, której dane dotyczą, zgodnie z załącznikiem nr 3.
3. Administrator danych korzysta z klauzul zgody, według wzorów zawartych w załączniku nr 3 w każdym przypadku odbierania zgody od osoby, której dane dotyczą.
1. Wszelkie zasady opisane w niniejszym dokumencie są przestrzegane przez osoby upoważnione do przetwarzania danych osobowych ze szczególnym uwzględnieniem dobra osób, których dane te dotyczą.
2. Dokument niniejszy obowiązuje od dnia jego zatwierdzenia przez administratora danych.
Załączniki:
– Arkusz DPIA (załącznik nr 1),
– Umowa powierzenia przetwarzania danych osobowych (załącznik nr 2)
– Przykładowe klauzule (załącznik nr 3)