POLITYKA OCHRONY DANYCH OSOBOWYCH
- Polityka Ochrony Danych Osobowych służy ustaleniu wymogów, zasad i regulacji dotyczących ochrony danych osobowych w Miejskim Żłobku w Knurowie.
- Polityka jest polityką ochrony danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
- Terminologia:
1) Polityka – oznacza niniejszą Politykę Ochrony Danych Osobowych;
2) RODO lub Rozporządzenie – oznacza Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
3) Żłobek – oznacza Miejski Żłobek w Knurowie;
4) Podmiot przetwarzający – oznacza osobę lub podmiot, któremu Żłobek powierzył przetwarzanie danych osobowych;
5) Osoba – oznacza osobę, której dane dotyczą, chyba że co innego wynika wyraźnie z kontekstu;
6) IOD lub Inspektor – oznacza Inspektora Ochrony Danych Osobowych;
7) RCPD lub Rejestr – oznacza Rejestr Czynności Przetwarzania Danych Osobowych.
- W Żłobku realizowane są zasady ochrony danych osobowych wynikające z RODO, w tym:
4.1. legalność – Żłobek dba o ochronę prywatności i przetwarza dane osobowe zgodnie z prawem;
4.2. bezpieczeństwo – Żłobek zapewnia odpowiedni poziom bezpieczeństwa danych, podejmując stale działania w tym zakresie;
4.3. prawa jednostki – Żłobek umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje;
4.4. rozliczalność – Żłobek dokumentuje to, w jaki sposób spełnia obowiązki z zakresie ochrony danych, aby w każdej chwili móc wykazać zgodność z obowiązującymi przepisami.
- Żłobek przetwarza dane osobowe z poszanowaniem następujących zasad:
5.1. w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
5.2. rzetelnie (rzetelność);
5.3. w sposób przejrzysty dla osoby, której danej dotyczą (transparentność);
5.4. w konkretnych i wyraźnych celach (ograniczenie celu);
5.5. w zakresie nie większym, niż niezbędny (minimalizacja);
5.6. z dbałością o prawidłowość danych (prawidłowość);
5.7. nie dłużej, niż jest to niezbędne (ograniczenie przechowywania);
5.8. zapewniając odpowiednie bezpieczeństwo danych (integralność i poufność).
- System ochrony danych osobowych w Żłobku składa się z następujących elementów:
6.1. Inwentaryzacja danych – Żłobek dokonuje identyfikacji zasobów danych osobowych i sposobów ich wykorzystania;
6.2. Rejestr – Żłobek opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych Osobowych w Żłobek;
6.3. Podstawy prawne – Żłobek zapewnia, identyfikuje i weryfikuje podstawy prawne przetwarzania danych osobowych i rejestruje je w Rejestrze;
6.4. Obsługa praw jednostki – Żłobek spełnia obowiązki informacyjne wobec osób, których dane przetwarza oraz zapewnia obsługę ich praw;
6.5. Bezpieczeństwo – Żłobek zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
6.5.1. przeprowadza analizy ryzyka dla czynności przetwarzania lub ich kategorii;
6.5.2. przeprowadza oceny skutków dla ochrony danych;
6.5.3. dostosowuje środki ochrony do ustalonego ryzyka;
6.5.4. posiada system zarządzania bezpieczeństwem informacji;
6.5.5. stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych ochrony danych Urzędowi Ochrony Danych Osobowych;
6.6. Przetwarzający – Żłobek posiada zasady doboru podmiotów przetwarzających dane osobowe na rzecz Żłobek, wymogi co do warunków przetwarzania (umowa powierzenia), zasady weryfikacji wykonywania umów powierzenia;
6.7. Eksport danych – Żłobek posiada zasady weryfikacji, czy Żłobek nie przekazuje danych do państw trzecich (czyli poza Unię Europejską, Norwegię, Lichtenstein, Islandię) lub do organizacji międzynarodowych oraz zapewnienia zgodnych z prawem warunków takiego przekazywania.
- Żłobek prowadzi Rejestr Czynności Przetwarzania Danych Osobowych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
- Żłobek spełnia obowiązki informacyjne wobec osób, których dane osobowe są przetwarzane poprzez zamieszczenie odpowiednich informacji na stronie internetowej oraz tablicach informacyjnych oraz poprzez bezpośrednie przekazywanie odpowiednich informacji dotyczących przetwarzania danych.
- Żłobek realizuje prawa osób, których dane są przetwarzane, w szczególności w zakresie:
9.1. Dostępu do danych – na żądanie osoby dotyczące dostępu do jej danych, Żłobek informuje tę osobę, czy przetwarza jej dane oraz informuje ją o szczegółach przetwarzania;
9.2. Uzyskiwania kopii danych – na żądanie Żłobek wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych; za wydanie kolejnych kopii danych Żłobek może pobrać opłatę odpowiadającą kosztom obsługi żądania wydania kopii danych;
9.3. Sprostowania danych – Żłobek dokonuje sprostowania nieprawidłowych danych na żądanie osoby, której dane dotyczą oraz na jej żądanie informuje ją o odbiorcach, którym ujawniono jej dane osobowe;
9.4. Uzupełnienia danych – Żłobek na żądanie osoby, której dane dotyczą, uzupełnia jej dane osobowe; MCE ma prawo odmówić uzupełnienia danych, jeżeli byłoby ono niezgodne z celami przetwarzania, w szczególności gdy przetwarzanie tych danych nie jest niezbędne;
9.5. Usunięcia danych – osoba, które dane dotyczą ma prawo żądania usunięcia jej danych, a Żłobek, o ile nie zachodzi wyjątek, o którym mowa w art. 17 ust. 3 RODO, jest zobowiązane do ich usunięcia, gdy:
9.5.1. dane nie są niezbędne do celów, do której zostały zebrane ani przetwarzane w innych zgodnych z prawem celach;
9.5.2. zgoda na przetwarzanie danych została cofnięcia, a nie ma innej podstawy przetwarzania danych;
9.5.3. osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych;
9.5.4. dane były przetwarzane niezgodnie z prawem;
9.5.5. konieczność usunięcia danych wynika z obowiązku prawnego;
9.5.6. żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku.
Żłobek na żądanie osoby informuje ją o odbiorcach, którym ujawniono jej dane osobowe.
9.6. Ograniczenia przetwarzania danych – osoba ma prawo żądania od Żłobka ograniczenia przetwarzania danych, gdy:
9.6.1. kwestionuje prawidłowość danych osobowych – na okres pozwalający sprawdzić ich prawidłowość;
9.6.2. przetwarzanie danych jest niezgodne z prawem, a osoba, której dane dotyczą sprzeciwia się usunięciu tych danych, żądając w zamian ograniczenia ich wykorzystywania;
9.6.3. Żłobek nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
9.6.4. Osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia czy po stronie Żłobka zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
W trakcie ograniczenia przetwarzania danych, Żłobek przechowuje dane, natomiast nie przetwarza ich w inny sposób (nie przekazuje, nie wykorzystuje) bez zgody osoby, której dane dotyczą, chyba że działa w celu ustalenia, dochodzenia lub obrony roszczeń lub w celu ochrony praw innej osoby fizycznej lub prawnej, z uwagi na ważne względy interesu publicznego.
Przed uchyleniem ograniczenia przetwarzania, Żłobek informuje o tym osobę, której dane dotyczą.
Żłobek na żądanie osoby informuje ją o odbiorcach, którym ujawniono jej dane osobowe.
9.7. Przenoszenia danych – jeżeli przetwarzanie danych odbywa się na podstawie zgody osoby lub na podstawie umowy w systemach informatycznych Żłobka, na żądanie tej osoby, Żłobek wydaje jej w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, a jeżeli jest to techniczne możliwe, przesyła je na żądanie osoby bezpośrednio innemu podmiotowi.
9.8. Sprzeciwu – osoba może zgłosić umotywowany jej szczególną sytuacją sprzeciw wobec przetwarzania jej danych, jeżeli dane przetwarzane są w oparciu o powierzone Żłobkowi zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. e) RODO). MCE uwzględni sprzeciw, o ile nie zachodzą po stronie Żłobka ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, zgłaszającej sprzeciw lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
- Żłobek dba o minimalizację przetwarzania danych pod kątem:
10.1. Minimalizacji zakresu – Żłobek weryfikuje zakres pozyskiwanych danych pod kątem adekwatności do celów przetwarzania oraz dokonuje ich okresowego przeglądu nie rzadziej niż raz na rok;
10.2. Minimalizacja dostępu – Żłobek stosuje ograniczenia dostępu do danych osobowych
10.2.1. Prawne – zobowiązania do poufności, zakresy upoważnień;
10.2.2. Fizyczne – strefy dostępu, zamykanie pomieszczeń.
Szczegółowe zasady kontroli dostępu określone są w Polityce Bezpieczeństwa Żłobka.
10.3. Minimalizacja czasu – Żłobek wdraża mechanizmy kontroli okresu przechowywania danych osobowych oraz stosuje procedury archiwizacji danych.
- Żłobek zapewnia stopień bezpieczeństwa danych odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez Żłobek, w szczególności poprzez:
11.1. Przeprowadzanie i dokumentowanie analizy ryzyka i adekwatności środków bezpieczeństwa;
11.2. Dokonywanie oceny skutków planowanych operacji przetwarzania danych;
11.3. Stosowanie środków bezpieczeństwa ustalonych w ramach analizy ryzyka i adekwatności środków bezpieczeństwa;
11.4. Stosowanie procedur pozwalających na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych osobowych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia.
- Żłobek posiada i stosuje zasady doboru i weryfikacji podmiotów przetwarzających dane osobowe na rzecz Żłobek opracowane, aby przetwarzający dawali gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków w zakresie ochrony danych osobowych spoczywających na Żłobek.
- Żłobek rejestruje w Rejestrze przypadki eksportu danych, czyli przekazywania ich poza Europejski Obszar Gospodarczy.
- Żłobek zarządza zmianą mającą wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizację ich przetwarzania.