„Polityka bezpieczeństwa” służy do przetwarzania danych osobowych i została opracowana na podstawie niżej wymienionych aktów prawnych:

1. Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. 1997 nr 78
   poz. 483 z późn. zm.);

 

1. ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

 

SŁOWNIK POJĘĆ

1) „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

3) „ograniczenie przetwarzania” to oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

4) „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

5) „pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

6) „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

7) „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

8) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

9) „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

10) „strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

11) „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

12) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

13) „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

14) „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

15) „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

Powyższe definicje są tożsame z definicjami ujętymi w ROZPORZĄDZENIU PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

 

 

OGÓLNE ZASADY DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

 

Zasady dotyczące przetwarzania danych osobowych przedstawione zostały w Rozdziale II artykule 5 ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Dane osobowe muszą być:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami („ograniczenie celu”);

c) adekwatne, stosowne oraz ograniczone niezbędnych celów, w których są przetwarzane („minimalizacja danych”);

d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”). Dane powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Administrator jest odpowiedzialny za przestrzeganie przepisów i powyższych zasad. Musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

POTENCJALNE ZAGROŻENIA

Zasoby istotne dla wykonywania działalności Personnel and Media Solutions s.c.,
a w szczególności informacje i sprzęt niezbędny do ich przechowywania i przetwarzania,
są narażone na różne zagrożenia, które identyfikuje się w następujących obszarach ryzyka:

1) naruszenie poufności - rozumiane jako udostępnienie informacji i zasobów, osobom nieupoważnionym np.: przekazanie informacji osobom nieupoważnionym, kradzież zasobu, zagubienie zasobu;

2) naruszenie dostępności - rozumiane jako znaczne obniżenie istotnych parametrów funkcjonalnych zasobów lub utrata danych np.: zniszczenie zasobu, kradzież zasobu na skutek wystąpienia sił wyższych albo nieumyślnego, umyślnego lub przypadkowego działania;

3) naruszenie integralności - rozumiane jako, nieautoryzowana zmiana treści informacji na skutek nieumyślnego, umyślnego lub przypadkowego działania;

4) naruszenie autentyczności – rozumiane jako, uniemożliwienie weryfikacji informacji
lub danych je opisujących;

5) naruszenie niezaprzeczalności – rozumiane jako, zanegowanie swego uczestnictwa
w procesie wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie;

6) naruszenie rozliczalności – rozumiane jako, uniemożliwienie weryfikacji działań przez osoby biorące udział w procesach wytwarzania i przetwarzania informacji.

Zadaniem regulacji zawartych w niniejszej „Polityce bezpieczeństwa” jest zmniejszenie ryzyka płynącego z zagrożeń do akceptowalnego poziomu, to znaczy zminimalizowanie możliwości naruszenia bezpieczeństwa zasobów informacyjnych Personnel and Media Solutions s.c., umożliwienie wczesnego wykrycia takiego naruszenia, zminimalizowanie strat związanych z takim naruszeniem oraz sprawne usunięcie jego skutków.

 

KATEGORIE DANYCH OSOBOWYCH

 

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) dotyczy:

- danych osobowych przetwarzanych w sposób całkowicie lub częściowo zautomatyzowany;

- danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

Pośród danych osobowych wyróżnić można:

a. szczególne kategorie danych osobowych

b. dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Do szczególnych kategorii danych osobowych należą te, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, biometryczne dotyczące zdrowia, seksualności lub orientacji seksualnej osoby. Ogólnie rzecz biorąc zabrania się przetwarzania wspomnianych powyżej danych osobowych.

Dane należące do szczególnych kategorii danych osobowych można przetwarzać, jeśli spełniony jest jeden z poniższych warunków:

a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach;

b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu;

e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;

g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, nie narusza prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;

h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego

i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych,

j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

Dane należące do szczególnych kategorii danych osobowych mogą być przetwarzane do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego, jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej.

 

PRZETWARZANIE DANYCH OSOBOWYCH A ZGODNOŚĆ Z PRAWEM

Przetwarzanie jest zgodne z  prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z poniższych warunków:

a)osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

 

b)przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

 

c)przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

 

d)przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

 

e)przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

 

 

Podstawa przetwarzania, o którym mowa w punktach: c) i e), musi być określona:

- w prawie Unii;

lub

- w prawie państwa członkowskiego, któremu podlega administrator.

Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego ani nie podlega ograniczeniu, o którym mowa w art. 23 ust. 1 ROZPORZĄDZENIU PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:

a)wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;

 

b)kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;

 

c)charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa ;

 

d)ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;

 

e)istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

Przypadki takie rozpatrywane są przez administratora danych i inspektora ochrony danych.

 

ADMINISTRATOR I PODMIOT PRZETWARZAJĄCY

 

Obowiązki administratora

 

Administratorem ochrony danych osobowych w Personnel and Media Solutions s.c. są wspólnicy spółki cywilnej.

Zgodnie z artykułem 24 ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) obowiązkiem administratora jest dbanie o każdy aspekt ochrony danych osobowych.

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z ROZPORZĄDZENIEM PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) i w taki sposób, aby móc to wykazać. Środki techniczne zostały opisane w „Rejestrze czynności przetwarzania”, który stanowi załącznik nr 1 do niniejszego dokumentu. Natomiast do środków organizacyjnych należy przede wszystkim wprowadzenie „Polityki bezpieczeństwa przetwarzania danych osobowych w Personnel and Media Solutions s.c.”

Środki te są w razie potrzeby poddawane przeglądom i uaktualniane, a zajmuje Administrator.

Zgodnie z art. 25 wspomnianego rozporządzenia administrator musi uwzględnić ochronę danych w fazie projektowania środki techniczne i organizacyjne, takie jak pseudonimizacja, minimalizacja - zaprojektowane w celu skutecznej realizacji zasad ochrony danych. Jeśli chodzi o system teleinformatyczny to środki te opisane zostały w „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Personnel and Media Solutions s.c.”. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.

W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby, nieokreślonej liczbie osób.

 

 

 

 

Obowiązki podmiotu przetwarzającego

 

Przez „podmiot przetwarzający” należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, to należy wówczas stosować zapisy artykułu 28 ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), to administrator może korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora.

Zgodnie ze wspomnianym rozporządzeniem określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c) podejmuje wszelkie środki techniczne i organizacyjne ochrony danych

d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego,

e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą,

Po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji.

Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

W Personnel and Media Solutions s.c. obowiązuje zasada, iż przed powierzeniem danych osobowych danemu podmiotowi, należy podpisać z nim stosowną umowę, której wzór wskazany jest w załączniku nr 2. Zapisy umowy powinny odnosić się do artykułu 28 RODO. Istotnym aspektem powierzenia przetwarzania danych jest bezpośrednie wskazanie zakresu operacji wykonywanych na powierzonych danych osobowych.

 

 

REJESTROWANIE CZYNNOŚCI PRZETWARZANIA

 

Administrator prowadzi „Rejestr czynności przetwarzania danych osobowych”, za które odpowiada. W rejestrze tym – stanowiącym załącznik nr 1 zamieszcza się następujące informacje:

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora

b) cele przetwarzania;

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Jeśli chodzi o podmiot przetwarzający, to on również prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Podmiot przetwarzający udostępnia rejestr na żądanie organu nadzorczego.

 

UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH

 

Do przetwarzania danych osobowych w Personnel and Media Solutions s.c. mogą być dopuszczone wyłącznie osoby posiadające odpowiednie upoważnienie wydane przez administratora danych osobowych (załącznik nr 9 do niniejszej „Polityki bezpieczeństwa”).

 

 

PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ

 

Przejrzyste informowanie, przejrzysta komunikacja, wykonywanie praw przez osobę, której dane dotyczą

 

Jeżeli osoba, której dane dotyczą tego zażąda, informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Zadanie to realizowane będzie przez Administratora.

Administrator zawsze ułatwia osobie, której dane dotyczą, wykonanie praw jej przysługujących i realizuje obowiązki względem tej osoby, co ogólnie oznacza:

- prawo dostępu

- prawo do sprostowania

- prawo do usunięcia danych – „prawo do bycia zapomnianym”

- prawo do ograniczenia przetwarzania

- obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania

- prawo do przenoszenia danych

- prawo do sprzeciwu

- brak zautomatyzowane podejmowania decyzji w indywidualnych przypadkach, w tym profilowania.

Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji dotyczących sposobów przetwarzania danych, rozwiązań organizacyjnych oraz praw jej przysługujących w zakresie ochrony danych osobowych.

 

Przetwarzanie niewymagające identyfikacji

 

Może nastąpić również przetwarzanie niewymagające identyfikacji. Zgodnie z artykułem 11 RODO, jeżeli cele, w których administrator przetwarza dane osobowe, które nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą.

Osoba, której dane dotyczą:

a) jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz szeregu informacji (Artykuł 15),

b) ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe (Artykuł 16),

c) ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych w wyszczególnionych okolicznościach (Artykuł 17),

d) ma prawo żądania od administratora ograniczenia przetwarzania danych w wyszczególnionych przypadkach (Artykuł 18),

e) ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi,

f) ma prawo, w wymienionych przypadkach, przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane (Artykuł 20).

Aby nie musieć spełniać tych obowiązków, administrator musi być w stanie wykazać, że:

1) cele, w których przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą,

2) nie jest w stanie zidentyfikować osoby, której dane dotyczą bez dodatkowych działań dla identyfikacji tej osoby.

Chodzi tu o dane, które nie posiadają już walorów danych osobowych.

Fakt, że cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, nie zwalniają go z obowiązku zadośćuczynienia jej prawom. Musi on jeszcze być w stanie wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą bez dodatkowych działań dla jej identyfikacji. Ponadto, jeśli osoba, której dane dotyczą przekaże mu informacje potrzebne do jej identyfikacji, zyska ona możliwość wykonania praw przysługujących jej na mocy tych przepisów.

Jednocześnie administrator nie może odmówić przyjęcia takich dodatkowych informacji od osoby, której dane dotyczą, by ułatwić jej wykonywanie jej praw.

W przypadku przetwarzania danych niewymagających identyfikacji administrator nie odmawia podjęcia działań na żądanie osoby, której dane dotyczą, pragnącej wykonać prawa przysługujące. Administrator bez zbędnej zwłoki, w terminie miesiąca od otrzymania żądania udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z jej żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:

a) pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo

b) odmówić podjęcia działań w związku z żądaniem. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze. Jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

 

WARUNKI WYRAŻENIA ZGODY NA PRZETWARZANIE

 

Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe, jak jej wyrażenie.

Co cechuje warunki wyrażenia zgody?

dobrowolność – oznacza, że osoba, której dane dotyczą ma faktycznie wolny wybór, co do udzielenia zgody oraz może jej odmówić lub ją wycofać w dowolnym czasie. Odmawia się miana dobrowolności zgodzie, od której złożenia zostało uzależnione wykonanie umowy.

konkretność i odrębność – administrator nie może odebrać ogólnej zgody na przetwarzanie danych osobowych bez określenia konkretnego celu. W klauzuli zgody powinien być określony cel przetwarzania danych osobowych oraz zakres tych danych.

świadomość – osoba wyrażająca zgodę powinna co najmniej znać tożsamość administratora oraz zamierzone przez niego cele przetwarzania danych osobowych. Zgodnie z zasadą przejrzystości informacje przekazywane osobie, której dane dotyczą powinny być sformułowane w sposób zrozumiały, jasnym i prostym językiem. Istotna jest także dostępność tych treści – klauzule powinny być widoczne i wyczerpujące.

jednoznaczność – nie mogą istnieć wątpliwości co do intencji osoby wyrażającej zgodę. Wyrażenie zgody może mieć formę oświadczenia woli lub wyraźnego działania potwierdzającego. Zgoda powinna mieć charakter uprzedni do rozpoczęcia przetwarzania danych, a więc powinna zostać odebrana w momencie zbierania danych.

Każde przetwarzanie danych osobowych powinno odbywać się na konkretnej podstawie prawnej. Zgoda osoby, której dane dotyczą jest przesłanką legalizującą:

• przetwarzanie danych zwykłych;

• przetwarzanie danych szczególnych kategorii (tzw. danych wrażliwych);

• zautomatyzowane podejmowanie decyzji, w tym profilowanie;

• przekazywanie danych do państwa trzeciego (czyli należącego do Europejskiego Obszaru Gospodarczego – EOG).

Wyraźna zgoda jest obowiązkowa w przypadku, gdy administrator danych osobowych przewiduje profilowanie i/lub transfer danych osoby poza obszar EOG.

 

Co do samego przetwarzania danych osobowych, może ono odbywać się również na innej podstawie prawnej przewidzianej w RODO. Zbieranie zgody nie będzie więc konieczne, jeśli przetwarzanie danych osobowych jest niezbędne do realizacji jednego z celów wskazanych w rozporządzeniu. Będą to:

- przetwarzanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z następujących przepisów prawa;

- przetwarzanie danych jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

- przetwarzanie danych jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

- przetwarzanie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych osobowych albo odbiorców tych danych,

a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą;

- przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem;

- przetwarzanie danych jest niezbędne do wykonania zadań administratora danych osobowych, odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w przepisach prawa;

- przetwarzanie danych jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych bądź zarządzaniem udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;

- przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane te dotyczą;

- przetwarzanie danych jest niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, a publikowanie wyników badań naukowych uniemożliwia identyfikację osób, których dane zostały przetworzone;

- przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

 

INFORMACJE PODAWANE I DOSTĘP DO INFORMACJI

 

Dane mogą być zbierane:

a. od osoby, której dotyczą

b. w sposób inny niż od osoby, której dane dotyczą.

 

 

Obowiązek informacyjny w sytuacji pozyskania danych od osoby, której dane dotyczą

Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej następujące informacje:

a) swoją tożsamość i dane kontaktowe;

b) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

c) jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, należy podać prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

d) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

Podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, również następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

c) jeżeli przetwarzanie odbywa się na podstawie wyrażenia zgody informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność przetwarzania z prawem;

d) informacje o prawie wniesienia skargi do organu nadzorczego;

e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji.

W tej sytuacji należy użyć danych z załącznika nr 11.

 

Obowiązek informacyjny w sytuacji pozyskania danych nie od osoby, której dane dotyczą

Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:

a) swoją tożsamość i dane;

b) cele przetwarzania, do których mają posłużyć dane osobowe oraz podstawę prawną przetwarzania;

c) kategorie danych osobowych;

d) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

Poza informacjami administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:

a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

c) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

d) jeżeli przetwarzanie odbywa się podstawie zgody, informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania;

e) informacje o prawie wniesienia skargi do organu nadzorczego;

f) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

g) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,

Powyższe informacje administrator podaje:

a) w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;

b) jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą;

c) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji.

Zasady te nie mają zastosowania, gdy:

a) osoba, której dane dotyczą, dysponuje już tymi informacjami;

b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

c) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;

d) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

W tej sytuacji należy użyć danych z załącznika nr 12.

 

DOSTĘP DO INFORMACJI

 

Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

a) cele przetwarzania;

b) kategorie odnośnych danych osobowych;

c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

f) informacje o prawie wniesienia skargi do organu nadzorczego;

g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.

Informowaniu osób o administrowaniu ich danymi odbywa się w różnorodny sposób. Obowiązek informacyjny spełniają poszczególne komórki organizacyjne, pracownicy na stanowiskach pracy. Informowanie następuje przez stronę internetową, Biuletyn Informacji Publicznej, ulotki i ogłoszenia.

 

SPROSTOWANIE I USUWANIE DANYCH, PRAWO DO SPRZECIWU

 

Prawo do sprostowania danych

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

W tym celu osoba ta składa wniosek w dowolnie przyjętej formie, jednak jasno określający prośbę o sprostowanie danych. Rozpatrzenia wniosku dokonują: administrator danych osobowych, inspektor ochrony danych i kierownik/naczelnik odpowiedniej komórki organizacyjnej.

Prawo do „bycia zapomnianym”, czyli prawo do usunięcia danych

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie i nie ma innej podstawy prawnej przetwarzania;

c) osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;

d) dane osobowe były przetwarzane niezgodnie z prawem;

e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

W tym celu osoba ta składa swe żądanie, co do usunięcia danych. Rozpatrzenia żądania dokonują: administrator danych osobowych, inspektor ochrony danych i kierownik/naczelnik odpowiedniej komórki organizacyjnej.

 

Prawo do ograniczenia przetwarzania

Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:

a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;

b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

d) osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Jeżeli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

W tym celu osoba ta składa wniosek o ograniczenie przetwarzania danych. Rozpatrzenia wniosku dokonują: administrator danych osobowych, inspektor ochrony danych i kierownik/naczelnik odpowiedniej komórki organizacyjnej.

 

OBOWIĄZEK POWIADOMIENIA O SPROSTOWANIU LUB USUBIĘCIU DANYCH OSOBOWYCH LUB ORGANICZENIU PRZETWARZANIA

 

Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

 

PRAWO DO PRZENOSZENIA DANYCH

Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy oraz przetwarzanie odbywa się w sposób zautomatyzowany.

Prawo to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

 

PRAWO DO SPRZECIWU

 

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych. w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie do sprzeciwu oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.

 

ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI W INDYWIDUALNYCH PRZYPADKACH, W TYM PROFILOWANIE

 

Zautomatyzowanym podejmowaniem decyzji jest proces, w wyniku którego decyzja zostaje wydana bez ludzkiej ingerencji w jej podejmowanie. Za jego przykład można podać automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Do takiego przetwarzania zalicza się „profilowanie” – które polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania.

 

PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH

 

Ogólna zasada przekazywania

Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego, następuje tylko, gdy administrator i podmiot przetwarzający spełnią określone warunki.

Przekazanie danych osobowych do państwa trzeciego, gdy Komisja stwierdzi, że to państwo trzecie, zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.

Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń

Administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego wyłącznie, gdy zapewnią odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

Odpowiednie zabezpieczenia można zapewnić za pomocą, jednego ze środków:

a) prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;

b) wiążących reguł korporacyjnych;

c) standardowych klauzul ochrony danych;

e) zatwierdzonego kodeksu postępowania;

f) zatwierdzonego mechanizmu certyfikacji;

Z zastrzeżeniem zezwolenia właściwego organu nadzorczego odpowiednie zabezpieczenia, można także zapewnić w szczególności za pomocą:

a) klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej;

b) postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.

 

BEZPIECZEŃSTWO PRZETWARZANIA

 

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Należy pamiętać, że anonimizacja prowadzi do nieodwracalnego uniemożliwienia zidentyfikowania osoby. Wszystkie dane, które mogłyby umożliwić identyfikacje zostają zaczernione, co pozwala na utworzenie zbioru danych, z których nie da się wyodrębnić konkretnej osoby fizycznej. Z dokumentu zostają usunięte identyfikatory – informacje takie jak nazwiska, imiona, adresy, daty urodzenia, numery PESEL i NIP. Dokumenty, które zostały poprawnie zanonimizowane nie podlegają pod prawo o przetwarzaniu danych osobowych i mogą zostać udostępnione osobom wnioskującym lub upublicznione bez zgody osób, których dane dotyczą.

Celem anonimizacji jest uniemożliwienie wykorzystania danych osobowych lub wrażliwych do zidentyfikowania osoby fizycznej za pomocą „wszystkich sposobów, jakimi może posłużyć się” administrator danych lub osoba trzecia. Proces anonimizacji można przeprowadzić od razu przy wprowadzaniu dokumentów („na wejściu”) lub – w razie potrzeby – na istniejącym zbiorze danych osobowych.

Natomiast pseudonimizacja to nowe narzędzie ochrony danych osobowych, którego do tej pory polskie przepisy nie przewidywały. W przeciwieństwie do anonimizacji jest procesem odwracalnym. Polega na zmianie identyfikatorów, które są danymi osobowymi na takie, które nimi nie są. Na przykład imiona i nazwiska osób fizycznych zastępowane są liczbami. Najważniejszym aspektem pseudonimizacji jest utajnienie powiązania – reguły – starych identyfikatorów z nowymi. Dane osobowe zostaną zabezpieczone, natomiast można je odzyskać jeżeli zna się regułę zamiany starych identyfikatorów. W efekcie pseudonimizacji nie otrzymamy anonimowego zbioru danych, chociaż dane wrażliwe zostają zabezpieczone i zmniejsza się ryzyko dla osób, których one dotyczą. Należy jednak pamiętać, że dokumenty po psuedonomizacji nadal podlegają pod prawo o przetwarzaniu danych osobowych – to znaczy, że potrzebna jest podstawa prawna do ich przetwarzania.

 

ŚRODKI ORGANIZACYJNE I TECHNICZNE ZASTOSOWANE DO ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH

 

Środki organizacyjne ochrony danych osobowych

Administrator danych osobowych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

W celu stworzenia właściwych zabezpieczeń, które powinny bezpośrednio oddziaływać na procesy przetwarzania danych wprowadza się następujące środki organizacyjne:

• przetwarzanie danych osobowych może odbywać się wyłącznie w ramach wykonywania zadań służbowych, a zakres uprawnień wynika z zakresu tych zadań;

• do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie;

• dostęp zarówno do budynków, pomieszczeń, jak i do urządzeń służących do przetwarzania danych osobowych powinny mieć wyłącznie osoby do tego uprawnione;

• dane osobowe powinny być przetwarzane wyłącznie w budynkach oraz pomieszczeniach do tego przystosowanych i zabezpieczonych przez osoby upoważnione;

• zbiory danych (bazy danych), w których dokonuje się przetwarzania danych osobowych powinny być zabezpieczone przed nieuprawnionym dostępem i zewidencjonowane
  w „Rejestrze czynności przetwarzania”;

• każdy pracownik musi odbyć szkolenie z zakresu ochrony danych osobowych; nowo przyjęty pracownik obowiązkowo odbywa szkolenie z zakresu ochrony danych osobowych przed przystąpieniem do przetwarzania tych danych;

• każdy upoważniony do przetwarzania danych osobowych potwierdza pisemnie fakt zapoznania się z niniejszą dokumentacją i zrozumieniem wszystkich zasad bezpieczeństwa;

• przebywanie osób, nieuprawnionych w ww. obszarze jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych;

• pomieszczenia stanowiące obszar przetwarzania danych muszą być zamykane na klucz po zakończeniu pracy;

• monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane;

• przed opuszczeniem pomieszczenia stanowiącego obszar przetwarzania danych należy zamknąć okna oraz w miarę możliwości usunąć z biurka wszystkie dokumenty i nośniki informacji oraz umieścić je w odpowiednich zamykanych szafach, szufladach lub biurkach.

• Niedopuszczalne jest pozostawianie haseł dostępu do komputerów.

 

Środki techniczne ochrony danych osobowych

Stosowane w Personnel and Media Solutions s.c. środki techniczne dzielą się na: środki ochrony fizycznej, środki ochrony w ramach systemowych narzędzi programowych
i baz danych oraz środki sprzętowe, infrastruktury informatycznej i telekomunikacyjnej.

W związku z tym przetwarzane zbiory danych zabezpiecza się poprzez:

a) środki ochrony fizycznej, co znaczy że:

• zbiory danych osobowych przechowywane są w pomieszczeniach zabezpieczonych przed swobodnym dostępem;

• dostęp do budynku kontrolowany jest przez system monitoringu;

• zbiory danych osobowych w formie papierowej przechowywane są w szafach zamykanych na klucz;

• drzwi pomieszczeń, w których odbywa się przetwarzanie danych osobowych,
  są dodatkowo zabezpieczane za pomocą kodowanych drzwi korytarzowych, które otwierane są jedynie przy pomocy karty;

• archiwalne zbiory danych osobowych przechowywane są w pomieszczeniu o nazwie „archiwum”. Klucz do tego pomieszczenia przechowywany jest w zamykanej szafie,
  a dostęp do niego mają wyłącznie pracownicy archiwum;

• kopie bezpieczeństwa (kopie zapasowe) przechowuje się miejscach zabezpieczonych przed nieuprawnionym przejęciem, modyfikacją uszkodzeniem lub zniszczeniem, co szczegółowo określa „Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Starostwie Powiatowym w Piasecznie”,

• kopie bezpieczeństwa (kopie zapasowe) zbiorów danych osobowych na nośnikach danych (dysk zewnętrzny) przechowywane są w zamkniętym pomieszczeniu, a dostęp do niego mają wyłącznie upoważnione osoby;

• pomieszczenia, w których przetwarzane są zbiory danych osobowych zabezpieczone są przed skutkami pożaru za pomocą wolnostojącej gaśnicy oraz systemu przeciwpożarowego;

• dokumenty zawierające dane osobowe o ustanej przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów, po zniszczeniu dokumentów spisuję się protokół zniszczenia.

 

b) środki sprzętowe, infrastruktury informatycznej i telekomunikacyjnej, co znaczy że:

• zbiory danych osobowych przetwarzane są przy użyciu komputerów stacjonarnych,

• dostęp z poziomu Administratora do systemu, w którym przetwarzane są dane osobowe na komputerze posiadają wyłącznie inspektor ochrony danych i jego zastępca oraz informatycy, a przy tym dostęp ten zabezpieczony jest za pomocą procesu uwierzytelniania z wykorzystaniem identyfikatora oraz hasła;

• zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, konie trojańskie, rootkity itp.;

• użyto zapory Firewall stanowiącej element programu antywirusowego do ochrony dostępu do sieci komputerowej;

• urząd posiada skonfigurowaną i zabezpieczoną przed spamami pocztę elektroniczną;

• dostęp do urządzeń aktywnych w sieci LAN (np. przełączniki sieciowe, routery)
  w urzędzie ma wyłącznie ASI.

• dostęp do sieci LAN mają wyłącznie komputery, które uzyskały zgodę na pracę w sieci nad czym każdorazowo czuwa zastępca inspektora ochrony danych;

 

c) środki ochrony w ramach systemowych narzędzi programowych i baz danych,
co znaczy że:

• dostęp do zbiorów danych osobowych wymaga uwierzytelnienia z wykorzystaniem spersonalizowanego identyfikatora użytkownika oraz unikatowego hasła użytkownika;

• identyfikator użytkownika, który utracił dostęp do danych osobowych nie może być przydzielony innej osobie;

• zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego;

• zastępca inspektora ochrony danych sporządza okresowo (co miesiąc) kopie bezpieczeństwa danych osobowych ze wszystkich wykorzystywanych w urzędzie systemów informatycznych, programów, żeby zabezpieczyć się przed utratą danych spowodowaną awarią sprzętu komputerowego;

• zmiana haseł dostępowych następuję przynajmniej raz na 30 dni;

• dyski twarde uszkodzone lub wyłączone z eksploatacji przed oddaniem do utylizacji należy trwale pozbawić zapisu lub zniszczyć dysk twardy w ten sposób,
  aby niemożliwym stało się odzyskanie z niego danych.

 

ZABEZPIECZENIE DOKUMENTACJI PAPIEROWEJ I ELEKTRONICZNEJ
PRZED UTRATĄ, ZNISZCZENIEM, ZMIANĄ, SFAŁSZOWANIEM, DOSTĘPEM
OSÓB NIEUPOWAŻNIONYCH

 

Dokumentacja w formie elektronicznej i papierowej

Dokumentacja zawierająca dane osobowe - ze względu na wrażliwość danych -powinna być szczególnie chroniona na każdym etapie swojego użytkowania. Poszczególne rodzaje dokumentacji powinny być chronione w następujący sposób:

a) dokumentacja w formie elektronicznej

Dostęp do dokumentacji, w szczególności danych osobowych mają tylko zalogowani użytkownicy systemu Informatycznego w urzędzie z odpowiednimi uprawnieniami. Jednocześnie istnieje możliwość identyfikacji tego z użytkowników, który odpowiada za dane edytowane bądź wprowadzone.

• Przed zniszczeniem tych danych system zabezpieczony jest urządzeniami zabezpieczającymi system (fizycznie) oraz poprzez regularne sporządzanie kopii bezpieczeństwa, które przechowywane są w wyznaczonym miejscu.

• Użytkownicy mają uprawnienia dobrane tak, żeby ograniczyć do minimum możliwość wypływu informacji oraz ich przekłamania lub zmiany. Do programu komputerowego wprowadza się dane po ich fizycznej autoryzacji przez osoby uprawnione do tego.

1. dokumentacja w formie papierowej

• Dokumentacja jest własnością wytwarzającego i powinna od momentu powstawania do momentu zniszczenia, po ustaniu okresu archiwizacyjnego, być zabezpieczona przed nieuprawnionym dostępem wypłynięciem, zmianą bądź zniszczeniem.

• Dokumentację należy przechowywać w pomieszczeniach, szafach, bądź szufladach zabezpieczonych sprawnym zamkiem, a w momencie, kiedy jest ona w użytku nie można jej pozostawić bez dozoru osób uprawnionych do posługiwania się nią.

• Dokumentację archiwizujemy w wyodrębnionym pomieszczeniu (archiwum). Dostęp do pomieszczenia archiwum mają wyłącznie osobowy upoważnione przez administratora danych.

• Po ustaniu okresu archiwizacyjnego dokonuje się zniszczenia dokumentacji, z której sporządza się protokół zniszczenia.

• O udostępnieniu dokumentacji, w szczególności dokumentacji zawierającej dane osobowe każdorazowo decyduje administrator danych.

 

UWAGA! zabronione jest:

• przechowywanie danych osobowych w szafach na korytarzach;

• pozostawienie niezabezpieczonych pomieszczeń, w których przetwarzane są dane osobowe pod nieobecność osób upoważnionych do przetwarzania danych osobowych;

• pozostawienie dokumentów z danymi osobowymi na biurku po zakończeniu pracy, w pomieszczeniu nie zabezpieczonym.

 

Zasady kasacji i utylizacji sprzętu komputerowego, elementów eksploatacyjnych i nośników danych

 

Głównym celem jest zapewnienie bezpiecznej likwidacji sprzętu komputerowego, elementów eksploatacyjnych tego sprzętu oraz nośników danych. Procedurę stosuje się w wypadku kasacji i utylizacji sprzętu komputerowego, jego elementów eksploatacyjnych oraz nośników danych.

 

Procedura przedstawia się następująco:

• Przed zniszczeniem należy pozbawić sprzęt komputerowy oraz nośniki danych wszystkich informacji możliwych do odczytu.

• Nośniki danych należy zniszczyć w taki sposób, aby stało się niemożliwe odzyskanie
  z nich jakichkolwiek danych.

• Sprzęt w przypadku, gdy jest wpisany do ewidencji środków trwałych, zostaje zdjęty
  z ewidencji środków trwałych i przekazany firmie zajmującej się utylizacją na podstawie protokołu przekazania odpadu

 

Zasady nadzoru nad zainstalowanym na komputerach oprogramowaniem

• Nadzór nad oprogramowaniem zainstalowanym na komputerach będących własnością firmy pełni Administrator.

 

OCHRONA BUDYNKÓW, OBIEKTÓW I POMIESZCZEŃ ORAZ SYSTEM
ALARMOWY

 

Ochrona budynków

• Usługi z zakresu konserwacji systemu alarmowego świadczy firma zewnętrzna. Na podstawie zawartej umowy zleceniobiorca zobowiązał się do działania w trybie alarmowym oraz w przypadku konserwacji systemu alarmowego, celem utrzymania w stałej sprawności eksploatacyjnej urządzeń i instalacji systemu alarmowego.

 

 

24.3. Bieżące postępowanie w trakcie dnia pracy i po zakończeniu pracy

• Klucze służące do zabezpieczenia biurek i szaf muszą być jednoznacznie opisane.

• W godzinach pracy klucze pozostają pod nadzorem pracowników, którzy ponoszą pełną odpowiedzialność za ich należyte zabezpieczenie.

• Zabrania się pozostawiania kluczy podczas chwilowej nieobecności osób upoważnionych w pomieszczeniu.

• Po zakończeniu pracy klucze służące do zabezpieczenia biurek i szaf muszą być przechowywane w bezpiecznym miejscu.

• Po zakończeniu pracy wszyscy pracownicy są zobowiązani do:

- wyłączenia i zabezpieczenia urządzeń elektrycznych oraz elektronicznych,

- wyłączenia oświetlenia,

- zabezpieczenia i zamknięcia okien oraz drzwi,

• Klucze zapasowe do pomieszczeń, w którym przetwarzane są dane osobowe, wydawane są wyłącznie upoważnionym pracownikom. Wydanie kluczy zapasowych do pomieszczeń, w których przetwarzane są dane osobowe może odbywać się tylko w uzasadnianych sytuacjach awaryjnych, wyłącznie za zgodą administratora danych osobowych.

 

PROCEDURY POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH ORAZ DZIAŁANIA KONTROLNE

 

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Osoba lub podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. Zgłoszenie musi opisywać, co najmniej:

a) charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe Administratora lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych.

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentowaniu incydentów i naruszeń służy – „Raport z naruszenia ochrony danych” – załącznik nr 21 oraz „Rejestr naruszeń ochrony danych osobowych” – według załącznika nr 22.

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych 1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych.

Zawiadomienie nie jest wymagane, w następujących przypadkach:

a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;

c) wymagałoby ono niewspółmiernie dużego wysiłku.

W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy może od niego tego zażądać.

 

26. POSTANOWIENIA KOŃCOWE

 

• Wobec osoby, która w przypadku naruszenia ochrony danych osobowych lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego
  w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zadaniami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, wszczyna się postępowanie dyscyplinarne.

• Inspektor ochrony danych zobowiązany jest prowadzić ewidencję osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych.

• Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być traktowane jako ciężkie naruszenie obowiązków pracowniczych,
  w szczególności przez osobę, która wobec naruszenia ochrony danych osobowych lub uzasadnionego domniemania takiego naruszenia nie powiadomiła o tym Administratora.

• Orzeczona kara dyscyplinarna wobec osoby uchylającej się od powiadomienia Administratora nie wyklucza możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat.