Polityka ochrony danych osobowych
Polska Rada Facility Management
(Polityka prywatności)
Rozdział I
Postanowienia ogólne
§ 1
- Polityka ochrony danych (zwana dalej „Polityką”) określa zasady dotyczące przetwarzania i zabezpieczenia danych osobowych w Polskiej Radzie Facility Management (zwanej dalej Stowarzyszeniem) zgodnie z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwanego dalej RODO).
- Niniejszy dokument stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 RODO.
- Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych w Stowarzyszeniu w ramach procesów przetwarzania danych osobowych.
- Obowiązek ochrony danych osobowych przetwarzanych w Stowarzyszeniu dotyczy wszystkich osób, które mają do nich dostęp bez względu na zajmowane stanowisko oraz miejsce wykonywania pracy, jak również charakter stosunku pracy.
- Każda osoba, która ma mieć dostęp do danych osobowych, będzie mogła je przetwarzać wyłącznie na podstawie otrzymanego upoważnienia.
- Osoby mające dostęp do danych osobowych są zobowiązane do zapoznania się z Polityką i innymi powiązanymi z nią dokumentami oraz stosowanie zawartych w nich regulacji.
- Polityka zachowuje zgodność z innymi wewnętrznymi regulacjami z obszaru bezpieczeństwa informacji i systemów informatycznych obowiązującymi w Stowarzyszeniu.
- Nadzór nad opracowaniem i aktualizacją Polityki sprawuje Prezes Zarządu
- Prezes Zarządu stowarzyszenia zatwierdza w drodze uchwały Politykę i jej aktualizacje.
§ 2
Występujące w niniejszej Polityce zwroty oznaczają:
Administrator Danych Osobowych (ADO) – Polska Rada Facility Management – stowarzyszenie, która w ramach swojej działalności statutowej świadczy usługi
Celami stowarzyszenia są:
- konsolidacja oraz integracja osób i podmiotów działających w obszarze FM,
- promowanie oraz edukacja idei Facility Management jako nowej i stałej dyscypliny zawodowej,
- promowanie najlepszych praktyk i doświadczeń z zakresu Facility Management,
- budowanie prestiżu zawodu Facility Managera i jego promocja wśród: , rządu, instytucji szkolnictwa wyższego, środowisk klienckich, młodzieży i absolwentów oraz tworzenie standardów zawodowych tej grupy zawodowej,
- kształtowanie i upowszechnianie zasad etyki zawodowej związanej z Facility Management, w szczególności opracowywanie i doskonalenie kodeksu etyki zawodowej,
- reprezentowanie interesów członków stowarzyszenia w szczególności wobec organów administracji państwowej i samorządowej, a także innych organizacji społecznych, gospodarczych, konsumenckich i ekologicznych.
Stowarzyszenie realizuje swoje cele poprzez:
- Konsolidację podmiotów świadczących usługi z obszaru Facility Management
- Współpracę z innymi organizacjami branżowymi (IFMA, RICS, PRCH, Lewiatan, etc.),
- Organizowanie udziału członków Stowarzyszenia w konferencjach tematycznych i spotkaniach branżowych,
- Opracowanie planu promocji usług Facility Management dla obiektów biurowych, centrów handlowych, magazynów, obiektów przemysłowych, obiektów administracji publicznej i innych),
- Wydawanie cyklicznych publikacji w zakresie przykładów usług Facility Management dla rynków: biurowego, administracji publicznej, centrów handlowych, magazynów i produkcji,
- Wydawanie opinii, rekomendacji oraz zaleceń dla branży Facility Management,
- Organizowanie oraz wspieranie szkoleń, programów uprawnień, systemów autoryzacji, egzaminów certyfikacji dla Facility Managerów,
- Wdrażanie branżowych i spokrewnionych norm istniejących w kraju i za granicą (PKN, CEN, ISO, BIFM, GEFMa, IFMA, RICS etc.),
- Promowanie i edukację w obszarze wysokich standardów i dobrych praktyk w obszarze Facility Management,
- Wymianę doświadczeń zawodowych pomiędzy członkami,
- podwyższanie standardów zawodowych poprzez stosowanie nowoczesnych metod zarządzania (benchmarking, zarządzanie procesowe) i wykorzystanie nowoczesnych narzędzi informatycznych (BIM, CAFM etc.),
- Standaryzację całego procesu świadczenia usługi Facility Management dla wszystkich rodzajów usługobiorców, w tym standaryzacja zapytań ofertowych,
- Lobbowanie na rzecz wpisania zawodu Facility Managera do Klasyfikacji Zawodów i Specjalności oraz wpisania Facility Management do Polskiej Klasyfikacji Działalności i do Polskiej Klasyfikacji Wyrobów i Usług,
- Współpracę ze szkołami i uczelniami kształcącymi w zawodach zbliżonych do obszaru Facility Management,
- Lobbowanie na rzecz utworzenia kierunku studiów wyższych w zakresie Facility Management,
- Organizowanie i stwarzanie warunków do rozstrzygania sporów w drodze postępowania polubownego i pojednawczego oraz uczestniczenie w postępowaniach sądowych związanych z działalnością gospodarczą członków Stowarzyszenia na zasadach przewidzianych w prawie powszechnie obowiązującym.
Dane osobowe – wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane osobowe wrażliwe – szczególne kategorie danych określone w art. 9 RODO, w tym: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby; jak również dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa, o których mowa w art. 10 RODO.
Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Obszar przetwarzania danych osobowych – pomieszczenia lub części pomieszczeń we wszystkich lokalizacjach Spółce, w których są przetwarzane dane osobowe, zarówno w formie papierowej, jak i w systemie informatycznym.
Odbiorca danych – podmiot, któremu udostępniane są dane osobowe.
Osoba upoważniona – osoba upoważniona do przetwarzania danych osobowych przez Administratora danych lub osobę przez niego upoważnioną, mająca bezpośredni dostęp do danych, przetwarzanych w systemie informatycznym lub w dokumentacji papierowej.
Podmiot przetwarzający – podmiot, któremu stowarzyszenie powierza czynności przetwarzanie danych osobowych w swoim imieniu.
Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
PUODO – Prezes Urzędu Ochrony Danych Osobowych.
RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
UODO – Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Zasób danych osobowych – wszystkie dane osobowe, niezależnie od sposobu ich utrwalenia, zarówno w formie elektronicznej – w systemie informatycznym oraz na nośnikach (płyty CD/DVD/BD, pamięci flash i inne) jak i papierowej przetwarzane przez KO/Spółkę w celu realizacji jej zadań.
Rozdział II
Zarządzanie przetwarzaniem danych osobowych oraz ich bezpieczeństwem
§ 3
- Zarząd jest odpowiedzialny za przetwarzanie i ochronę danych osobowych w stowarzyszeniu zgodnie przepisami prawa, w tym za zaakceptowanie niniejszej Polityki.
- Zarząd wyznacza osobę odpowiedzialną za ochronę danych osobowych w stowarzyszeniu, który wykonuje zadania w zakresie monitorowania zasad przetwarzania danych osobowych w stowarzyszeniu.
- Zarząd może wyznaczyć zastępców osoby odpowiedzialnej za przetwarzanie danych oraz inne osoby, które wchodzą w skład Zespołu Inspektora i wspomagają wykonywanie zadań monitorowania ochrony danych w stowarzyszeniu.
§ 4
- Zarząd stowarzyszenia jest odpowiedzialny za zarządzanie procesami przetwarzania danych osobowych w swoich komórkach/ w stowarzyszeniu. Do obowiązków zarządu stowarzyszenia należy:
- zarządzanie czynnościami przetwarzania danych osobowych w ramach zadań, realizowanych przez swoje stowarzyszenie;
- występowanie z wnioskami do prezesa zarządu o nadanie, zmianę lub cofnięcie uprawnień pracownikom do określonych zasobów danych osobowych przetwarzanych w systemie informatycznym, zgodnie z zakresem upoważnienia do przetwarzania danych osobowych;
- zapoznanie podległych pracowników i innych osób (np. współpracowników) z zasadami przetwarzania i ochrony danych w stowarzyszeniu;
- wypełnianie obowiązków dotyczących zabezpieczenia obszaru przetwarzanych danych osobowych w stowarzyszeniu;
- zgłaszanie do osoby odpowiedzialnej za ochronę danych osobowych w stowarzyszeniu zamiaru rozpoczęcia nowego procesu przetwarzania danych osobowych lub zmiany w czynnościach przetwarzania danych realizowanych w stowarzyszeniu;
- w przypadku zbierania danych osobowych, konsultowanie z osobą odpowiedzialną za ochronę danych osobowych w stowarzyszeniu oraz osobą odpowiedzialną za ochronę danych osobowych w stowarzyszeniu podstaw prawnych przetwarzania danych osobowych, w tym zbierania i archiwizowanie zgód osób na przetwarzanie ich danych osobowych wymaganych przypadkach;
- ustalanie w porozumieniu z prezesem zarządu. zasad tworzenia kopii zapasowych plików z danymi osobowymi, znajdującymi się na stacjach roboczych użytkowników w stowarzyszeniu
- realizacja procesu udostępniania danych osobowych innemu podmiotowi lub osobie, której dane dotyczą;
- realizacja procesów związanych z powierzaniem przetwarzania danych osobowych przez Spółkę innym podmiotom - zgodnie z zawartymi umowami powierzenia przetwarzania danych osobowych.
§ 5
- Prezes Zarządu jest odpowiedzialny za:
- przygotowanie upoważnienia do przetwarzania danych osobowych wraz
z umową o pracę/zlecenia/dzieło; - przechowywanie nadanych upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu tajemnicy danych osobowych i sposobów ich zabezpieczania wraz z aktami osobowymi pracowników lub umowami zlecenia.
- prowadzenie aktualnej ewidencji osób upoważnionych do przetwarzania danych osobowych.
Rozdział III
Upoważnienie osób do przetwarzania danych osobowych
§ 7
- Wszystkie osoby, które wykonują czynności związane z przetwarzaniem danych osobowych w stowarzyszeniu, w ramach wykonywania zadań służbowych na stanowiskach pracy lub prac zleconych, muszą posiadać pisemne upoważnienie do przetwarzania danych osobowych oraz podpisać oświadczenie o zachowaniu tajemnicy danych oraz sposobów ich zabezpieczenia (wzór upoważnienia oraz oświadczenia - załącznik nr 1 do niniejszej polityki).
- Upoważnienia do przetwarzania danych osobowych nadaje prezes zarządu. na podstawie pełnomocnictwa od zarządu stowarzyszenia
- Upoważnienia do przetwarzania danych są przygotowywane i przechowywane przez zarząd stowaryszenia
- Każda osoba upoważniona do przetwarzania danych osobowych przechodzi szkolenie z zasad ochrony danych w stowarzyszeniu.
- Szkolenia wstępne i okresowe dla osób upoważnionych przeprowadza osoba odpowiedzialna za ochronę danych osobowych w stowarzyszeniu wg ustalonego planu.
Rozdział IV
Podstawowe zasady, które powinny przestrzegać osoby upoważnione do przetwarzania danych osobowych
§8
- Osoba upoważniona do przetwarzania danych osobowych w stowarzyszeniu jest zobowiązana do:
- zapoznania się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz dokumentacją dotyczącą ochrony danych osobowych w stowarzyszeniu;
- przechodzenia okresowych szkoleń z obszaru ochrony danych osobowych;
- przetwarzania danych osobowych wyłącznie w celu i zakresie wynikającym z nałożonych obowiązków służbowych;
- zachowania wyjątkowej staranności przy przetwarzaniu danych osobowych, w szczególności danych wrażliwych w celu ochrony interesów osób, których dane dotyczą;
- stosowania określonych w stowarzyszeniu procedur i środków przetwarzania oraz zabezpieczania danych osobowych;
- podporządkowania się poleceniom osoby odpowiedzialnej za ochronę danych osobowych w stowarzyszeniu oraz osoby zarządzającej stowarzyszeniem w zakresie ochrony danych osobowych;
- zachowania w poufności danych osobowych oraz danych objętych tajemnicą stowarzyszeniu;
- zabezpieczenia danych osobowych przed: ich utratą, uszkodzeniem lub zniszczeniem, zmianą lub ich udostępnieniem osobom nieupoważnionym;
- dopilnowania, aby przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej;
- dopilnowania, aby przeznaczone do usunięcia dokumenty, zawierające dane osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie - zabronione jest wyrzucanie dokumentów do koszy na śmieci bez ich właściwej anonimizacji;
- przestrzegania procedur właściwego użytkowania systemów informatycznych, w których przetwarza się dane osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł;
- zachowania należytej staranności podczas przekazywania danych osobowych drogą telefoniczną (konieczność właściwej identyfikacji rozmówcy, konieczność ustalenia, czy rozmówca jest uprawniony do pozyskania danych osobowych, przekazywanie jedynie niezbędnych informacji);
- przesyłania danych osobowych za pomocą sieci Internet jedyne z użyciem metod kryptograficznych (szyfrowanie danych, kanały bezpiecznej transmisji);
- niewysyłania za pomocą wiadomości e-mail danych osobowych na prywatne adresy, niekopiowanie danych na inne nośniki bez uzasadnionej potrzeby biznesowej;
- zachowania należytej ostrożności przy transporcie dokumentów oraz nośników informatycznych, zawierających dane osobowe, poza obszarem przetwarzania w stowarzyszeniu.
- niepozostawiania dokumentów, zawierających dane osobowe na urządzeniach wielofunkcyjnych (drukowanie, kopiowanie);
- nieopuszczania stanowiska bez zabezpieczenia dokumentów papierowych, zawierających dane osobowe (zasada „czystego biurka”) oraz bez zabezpieczania dostępu do danych przetwarzanych w systemie informatycznym (zasada „czystego ekranu”);
- informowania o zdarzeniu operacyjnym dotyczącym danych osobowych, zgodnie z obowiązującymi w tym zakresie procedurami;
- zaprzestania przetwarzania danych osobowych po ustaniu stosunku zatrudnienia.
Rozdział V
Prowadzenie rejestrów czynności przetwarzania danych osobowych
§ 9
- Stowarzyszenie prowadzi rejestr czynności przetwarzania danych osobowych zgodnie z wymaganiami art. 30 ust. 1 RODO w stosunku do danych których Kancelaria jest administratorem;
- Wzór rejestru czynności jest określony w Załączniku nr 2 do niniejszej Polityki.
- Za prowadzenie rejestrów czynności odpowiedzialny jest osoba odpowiedzialna za ochronę danych osobowych w stowarzyszeniu.
- Osoba odpowiedzialna za ochronę danych osobowych w kancelarii inwentaryzuje procesy przetwarzania danych osobowych w stowarzyszeniu, przypisując do nich określone czynności przetwarzania danych.
- Osoba odpowiedzialna za ochronę danych osobowych w stowarzyszeniu okresowo dokonuje przeglądów procesów przetwarzania danych w celach aktualizacji prowadzonych rejestrów.
- Zarząd ma obowiązek na bieżąco informować osobę odpowiedzialną za ochronę danych osobowych w stowarzyszeniu o procesach przetwarzania danych osobowych realizowanych stowarzyszeniu oraz o wszelkich zmianach w tych procesach, w szczególności dotyczących:some text
- celów przetwarzania danych, w tym realizowanych czynności;
- kategorii osób, których dane są przetwarzane;
- zakresów przetwarzanych danych;
- podmiotów przetwarzających, którym dane są powierzane;
- odbiorców danych, którym dane są udostępniane.
Rozdział VI
Realizacja obowiązków przy przetwarzaniu danych osobowych
§ 10
- Osoby odpowiedzialne w stowarzyszeniu za procesy, w których zbierane są dane osobowe, mają obowiązek zachowania szczególnej staranności przy ich zbieraniu, w tym:
- sprawdzać czy są spełnione podstawy prawne na pozyskiwanie danych osobowych, zgodnie z art. 6 RODO oraz art. 9 – 10 RODO;
- zbierać dane osobowe dla określonych, zgodnych z prawem celów realizowanych w stowarzyszeniu;
- zbierać dane w zakresie adekwatnym do celów w jakich dane będą przetwarzane w stowarzyszeniu.
- W przypadku konieczności odbierania zgody na przetwarzanie danych osobowych, należy zapewnić dobrowolność jej pozyskania oraz powiadamiać o prawie do odwołania takiej zgody.
- Za stosowanie właściwych oświadczeń zgody przy zbieraniu danych osobowych odpowiada osoba zarządzająca stowarzyszeniem odpowiedzialnej za proces zbierania danych.
- Oświadczenia dotyczące odbierania zgody na przetwarzanie danych osobowych muszą być konsultowane z prawnikiem odpowiedzialnym za ochronę danych osobowych w stowarzyszeniu
- Inspektor w porozumieniu z prawnikiem odpowiedzialnym za ochronę danych osobowych w Stowarzyszeniu może ustalić obowiązujące wzory oświadczeń zgody dla poszczególnych procesów przetwarzania danych realizowanych w stowarzyszeniu.
§ 11
- Osoby, które wykonują zadania związane ze zbieraniem danych osobowych są odpowiedzialne za realizację obowiązków informacyjnych określonych w art. 13 i 14 RODO.
- Za stosowanie właściwych klauzuli informacyjnych przy zbieraniu danych osobowych odpowiada zarząd odpowiedzialny za proces osoba zarządzająca stowarzyszeniem.
- Klauzule informacyjne muszą być konsultowane z prawnikiem odpowiedzialnym za ochronę danych osobowych w stowarzyszeniu.
- Inspektor w porozumieniu z prawnikiem odpowiedzialnym za ochronę danych osobowych w stowarzyszeniu może ustalić obowiązujące wzory klauzul informacyjnych dla poszczególnych procesów przetwarzania danych realizowanych w Stowarzyszeniu.
§ 12
- Dane osobowe zbierane w ramach procesów realizowanych w stowarzyszeniu są przetwarzane przez czas określony przez właściwe przepisy prawa lub wewnętrzne przepisy kancelaryjno-archiwalne.
- Za określenie odpowiednich czasów retencji danych osobowych w procesach przetwarzania danych w stowarzyszeniu odpowiada osoba odpowiedzialna za ochronę danych osobowych w stowarzyszeniu.
- Dane osobowe, dla których okres przetwarzania nie wynika z obowiązujących przepisów prawa i dla których nie jest możliwe określenie z góry tego okresu w wewnętrznych przepisach kancelaryjno archiwalnych, są przetwarzane tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla ich przetwarzania.
- Ustanie celu przetwarzania danych jest równoznaczne z koniecznością usunięcia danych osobowych.
- Dane osobowe przetwarzane wyłącznie w oparciu o przesłankę zgody na przetwarzanie danych osobowych są usuwane zawsze niezwłocznie po wycofaniu takiej zgody.
§ 13
- Osoby, które udostępniają w imieniu stowarzyszeniu dane osobowe do podmiotu zewnętrznego (w formie papierowej lub elektronicznej), przed ich udostępnieniem mają obowiązek sprawdzić czy istnieją podstawy prawne umożliwiające wykonanie tych czynność, w tym:some text
- wymóg prawa dotyczący udostępnienia danych;
- zgoda osoby na udostępnienie danych innemu podmiotowi;
- zapis w umowie z podmiotem współpracującym, przy spełnieniu warunku, że udostępnienie nie narusza praw i wolności osoby, której dane dotyczą;
- wniosek o udostępnienie danych od podmiotu uprawnionego, ze wskazaniem podstawy prawnej do otrzymywania danego rodzaju danych osobowych.
- Każda sytuacja dotycząca udostępnienia danych osobowych musi być konsultowana z osobą odpowiedzialną za ochronę danych osobowych w stowarzyszeniu.
§ 14
- W sytuacji powierzania czynności przetwarzania danych osobowych zewnętrznemu podmiotowi (podmiotowi przetwarzającemu), należy zawrzeć z nim umowę powierzenia przetwarzania danych osobowych zgodnie z art. 28 ust. 3 RODO.
- W trakcie dokonywania wyboru podmiotu przetwarzającego należy zweryfikować czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których dane dotyczą.
- Osoby, które przygotowują w imieniu stowarzyszeniu umowę z podmiotem zewnętrznym, któremu zlecone zostanie wykonywanie czynności związanych z przetwarzaniem danych osobowych zobowiązane są skonsultować odpowiednie zapisy dotyczące powierzenia przetwarzania danych z prawnikiem odpowiedzialnym za ochronę danych osobowych w stowarzyszeniu.
- Wzór umowy powierzenia znajduje się w Załączniku nr 3 do niniejszej Polityki.
- Kontrola podmiotów przetwarzających, którym zostały powierzone czynności przetwarzania danych osobowych należących do stowarzyszenia jest przeprowadzana przez inne wyznaczone osoby zgodnie z zapisami zawartymi w umowach powierzenia przetwarzania danych osobowych, w odniesieniu do uprawnienia określonego w art. 28 ust. 3 lit. h RODO.
§ 15
- W sytuacji przekazywania danych osobowych do podmiotu znajdującego się w państwie trzecim (poza Europejskim Obszarem Gospodarczym) należy taką sytuację skonsultować z osobą odpowiedzialną za ochronę danych osobowych w stowarzyszeniu.
- Osoba odpowiedzialna za ochronę danych osobowych w stowarzyszeniu może ustalić wzory zapisów do umów w ramach, których dochodzi do transferu danych do państwa trzeciego lub organizacji międzynarodowej.
Rozdział VII
Realizacja praw osób, których dane dotyczą
§ 16
- Każdej osobie, której dane osobowe są przetwarzane przez Spółkę przysługują prawa określone w art. 15 – 22 RODO, w tym:some text
- prawo dostępu do danych jej dotyczących;
- prawo do sprostowania danych;
- prawo do usunięcia danych;
- prawo do ograniczenia przetwarzania;
- prawo do przenoszenia danych;
- prawo do sprzeciwu na przetwarzanie jej danych;
- prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu.
- Za rozpatrywanie złożonych w stosunku do stowarzyszenia żądań w zakresie uprawnień, o których mowa w ust. 1 odpowiada w stowarzyszeniu
- W sytuacji powierzania danych podmiotom przetwarzającym lub udostępniania danych innym administratorom danych należy ich powiadamiać o każdym sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, które było wynikiem realizacji wniosku otrzymanego od osoby, której dane dotyczą.
Rozdział VIII
Dobór środków technicznych i organizacyjnych dotyczących przetwarzania
i zabezpieczania danych osobowych
§ 17
- Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczania danych osobowych w stowarzyszeniu realizowany jest w oparciu o szacowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą.
- Przy doborze zabezpieczeń należy i oceniać ryzyko zarówno w kontekście skutków dla osoby, której dane dotyczą w tym np. dyskryminacja, pozbawienie przysługujących praw, szkody majątkowe i niemajątkowe), jak również ryzyko w kontekście skutków dla stowarzyszenia w przypadku niepodjęcia działań związanych z zapewnieniem przetwarzania danych osobowych zgodnie z RODO.
- Ustalone wymagania dotyczące zabezpieczenia danych osobowych w odniesieniu do danego procesu przetwarzania danych osobowych są odnotowywane przez osobę odpowiedzialną za ochronę danych osobowych w stowarzyszeniu w prowadzonym rejestrze czynności przetwarzania danych osobowych.
§ 18
- Planowanie realizacji nowych procesów związanych z przetwarzaniem danych osobowych, w tym w szczególności nowych systemów informatycznych służących do przetwarzania danych osobowych, musi uwzględniać zasady ochrony danych w fazie projektowania („privacy by design”) oraz domyślnej ochrony danych („privacy by default”)
- Za realizację w stowarzyszeniu obowiązków, o których mowa w ust.1 odpowiada zarząd stowarzyszenia.
§ 19
- W przypadku realizacji procesów przetwarzania danych osobowych w Stowarzyszeniu, które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania należy dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych zgodnie z art. 35 RODO.
- Za realizację w stowarzyszeniu obowiązków, o których mowa w ust. 1 odpowiada prezes zarządu
- Wykonanie oceny skutków dla danego procesu przetwarzania danych jest konsultowane z Osobą odpowiedzialną za ochronę danych osobowych w stowarzyszeniu, który stwierdza czy w danym przypadku takie działanie jest konieczne.
- Osoba odpowiedzialna za ochronę danych osobowych w stowarzyszeniu prowadzonym rejestrze czynności przetwarzania danych osobowych, wskazuje procesy dla których należy przeprowadzać ocenę skutków oraz odnotowuje jej przeprowadzenie.
- Jeżeli dokonana ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby nie zostały zastosowane środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania należy skonsultować się z PUODO.
- W przypadku konieczności przeprowadzenia konsultacji z organem nadzorczym osoba odpowiedzialna za ochronę danych osobowych w stowarzyszeniu przygotowuje odpowiedni wniosek o konsultacje zgodnie z art. 36 RODO i kontaktuje się w tej sprawie z organem.
Rozdział IX
Postępowanie w sytuacji naruszenia ochrony danych
§ 20
- W sytuacji powzięcia informacji o naruszeniu lub podejrzeniu naruszenia ochrony danych osobowych należy postępować zgodnie z zasadami wynikającymi z art. 33 i 34 RODO.
- Inspektor przygotowuje wykaz sytuacji, które można uznać za naruszenie ochrony danych osobowych, z uwzględnieniem naruszenia prawa i wolności osób, których dane dotyczą.
- Zgłoszenia naruszenia ochrony danych osobowych przez osobę, której dane dotyczą lub inną osobę inną osobę spoza stowarzyszenia są przyjmowane i rozpatrywane przez [do uzupełnienia] we współpracy z osobą odpowiedzialną za ochronę danych osobowych w stowarzyszeniu.
§ 21
- W sytuacji stwierdzenia wystąpienia naruszenia ochrony danych osobowych oraz prawdopodobieństwa zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, informacja o naruszeniu powinna zostać zgłoszona do PUODO.
- Zgłoszenie naruszenia przygotowuje prezes zarządu w terminie 72 godzin po stwierdzeniu naruszenia, zgodnie z wymaganiami art. 33 RODO.
- Zgłoszenie przekazywane jest do PUODO w formie elektronicznej za pomocą systemu informatycznego zgodnie z trybem określonym przez organ.
§ 22
- W sytuacji, gdy stwierdzone naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, o naruszeniu należy zawiadomić wszystkie osoby, których dane dotyczą. Inspektor analizuje czy w odniesieniu do wymogów art. 34 ust. 3 RODO zawiadomienie osób, których dane dotyczą będzie wymagane.
- Zawiadomienie o naruszeniu przygotowuje osoba odpowiedzialna za ochronę danych osobowych w stowarzyszeniu po potwierdzeniu konieczności jego realizacji zgodnie z załącznikiem nr 5 do Polityki.
§ 23
- Wszystkie stwierdzone naruszenia ochrony danych osobowych są dokumentowane przez osobę odpowiedzialną za ochronę danych osobowych w stowarzyszeniu
- Wzór ewidencji naruszeń ochrony danych osobowych stanowi załącznik nr 4 do Polityki.
Rozdział X
Rozliczalność zgodności realizacji obowiązków RODO
§ 24
- W celu weryfikacji zastosowanych w stowarzyszeniu środków technicznych i organizacyjnych, zapewniających przetwarzanie danych osobowych zgodnie z RODO, wykonuje się ich monitorowanie.
- Monitorowanie ochrony danych osobowych prowadzone jest:
- na bieżąco przez osoby zarządzające stowarzyszeniem;
- poprzez audyty okresowe i doraźne (w sytuacji wystąpienia incydentów naruszenia ochrony danych) wykonywane przez Inspektora/osobę odpowiedzialną za ochronę danych osobowych w stowarzyszeniu;
- podczas audytów wewnętrznych przeprowadzanych przez upoważnione podmioty.
- Osoba odpowiedzialna za ochronę danych osobowych w stowarzyszeniu okresowo analizuje zgodność dokumentacji przetwarzania danych osobowych przyjętej w stowarzyszeniu z przepisami o ochronie danych osobowych oraz nadzoruje jej aktualizację.
Rozdział XI
Odpowiedzialność karna za naruszenie zasad ochrony danych
§ 25
- Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi, określonymi w art. 107 – 108 UODO oraz w art. 130, 266 - 269, 287 Kodeksu karnego.
- Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w pkt 1, naruszenie zasad ochrony danych osobowych, obowiązujących Kancelarię, może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością na podstawie przepisów prawa pracy.
Rozdział XII
Postanowienia końcowe
§ 26
- W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO oraz UODO.
- Pracownicy i współpracownicy Spółki zobowiązani są do bezwzględnego stosowania zasad określonych w Polityce.
Załączniki:
- Wzór dokumentu upoważnienia do przetwarzania danych osobowych
- Wzór rejestru czynności przetwarzania danych osobowych prowadzonego przez administratora
- Wzór umowy powierzenia przetwarzania danych osobowych
- Wzór ewidencji naruszeń ochrony danych
- Wzór zawiadomienia osoby, której dane dotyczą, o naruszeniu jej danych osobowych
- Wzór dokumentu wyznaczenia Inspektora ochrony danych
Oraz
- Powołanie zespołu do obsługi naruszeń ochrony danych
- Upoważnienie do przetwarzania danych klientów
- Zgoda na wykorzystanie wizerunku
- Zasady bezpiecznego korzystania z poczty mailowej