Ułatwienia dostępu

Ogólna polityka ochrony danych osobowych w fundacji Ludzie z Natury

1. CEL POLITYKI

1. Niniejszy dokument stanowi politykę ochrony danych osobowych w rozumieniu art. 24 ust. 2 RODO –rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1) (dalej: „RODO”)

1.2. Celem Polityki ochrony danych osobowych (dalej: „Polityka”) jest określenie zasad i trybu ochrony danych osobowych w

(dalej: „Administrator”).

1.3. Za wdrożenie i utrzymanie niniejszego dokumentu odpowiedzialne są osoby uprawnione do reprezentacji i prowadzące sprawy Administratora (dalej: „Zarząd”).

1.4. Za nadzór nad przestrzeganiem niniejszego dokumentu odpowiadają Zarząd oraz Inspektor Ochrony Danych Osobowych, o ile został u Administratora powołany.

1.5. Za stosowanie niniejszego dokumentu odpowiada Administrator i jego cały personel, w szczególności osoby odpowiedzialne za obszar ochrony danych osobowych i bezpieczeństwo informacji.

1.6. Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych przez Administratora w ramach procesów przetwarzania danych osobowych.

1.7. Obowiązek ochrony danych osobowych przetwarzanych przez Administratora dotyczy wszystkich osób, które mają do nich dostęp bez względu na zajmowane stanowisko oraz miejsce wykonywania pracy, jak również podstawę zatrudnienia. Każda osoba, która ma mieć dostęp do danych osobowych, będzie mogła je przetwarzać wyłącznie na podstawie otrzymanego upoważnienia. Osoby mające dostęp do danych osobowych są zobowiązane do zapoznania się z Polityką i innymi powiązanymi z nią dokumentami oraz stosowanie zawartych w nich regulacji.

2. DEFINICJE

Dane” (lub „dane osobowe”) – oznaczają dane osobowe zgodnie z definicją zawarta w art. 4 pkt 1 RODO, o ile co innego nie wynika wyraźnie z kontekstu, tj. wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Dane szczególnych kategorii” – oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne oraz biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Dane karne” – oznaczają dane wymienione w art. 10 RODO, tj. dane dotyczące wyroków skazujących i naruszeń prawa.

Dane dzieci” – oznaczają dane osób poniżej 16. roku życia.

Eksport danych” – oznacza przekazanie danych do państwa trzeciego lub organizacji międzynarodowej.

Inspektor Ochrony Danych Osobowych” (lub „Inspektor”) – oznacza Inspektora Ochrony Danych Osobowych - osobę wyznaczoną przez Administratora na podstawie art. 37 RODO, która realizuje zadania monitorowania przestrzegania przepisów o ochronie danych osobowych określone w art. 39 RODO.

Naruszenie ochrony danych osobowych” – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Osoba” – oznacza osobę, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu.

Podmiot przetwarzający” (lub „przetwarzający”) – oznacza jednostkę organizacyjną lub osobę, której Administrator powierzył przetwarzanie danych osobowych (np. usługodawca IT, zewnętrzna księgowość).

Polityka” – oznacza Politykę ochrony danych osobowych w rozumieniu RODO, o ile co innego nie wynika wyraźnie z kontekstu.

Profilowanie” – oznacza profilowanie zgodnie z definicją zawarta w art. 4 pkt 4 RODO, tj. dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Przetwarzanie danych osobowych” – oznacza przetwarzanie zgodnie z definicją zawarta w art. 4 pkt 2 RODO, tj. operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

RCPD (lub „Rejestr”) – oznacza Rejestr Czynności Przetwarzania Danych Osobowych.

RODO” – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1).

PUODO” – oznacza Prezesa Urzędu Ochrony Danych Osobowych.

UODO” – oznacza ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018, poz. 1000).

3. ZASADY OCHRONY DANYCH OSOBOWYCH U ADMINISTRATORA

3.1. Zasady ochrony danych

Administrator przetwarza dane osobowe z poszanowaniem zasad:

  1. legalizmu – Administrator przetwarza dane osobowe w oparciu o odpowiednią podstawę prawną i zgodnie z prawem;
  2. rzetelności – Administrator przetwarza dane osobowe w sposób rzetelny i uczciwy;
  3. transparentności – Administrator przetwarza dane osobowe w sposób przejrzysty dla osoby, której dane dotyczą;
  4. minimalizacji – Administrator przetwarza dane osobowe w konkretnych, jasno określonych celach;
  5. adekwatności – Administrator przetwarza dane osobowe w zakresie nie większym niż konieczny do realizacji danego celu;
  6. prawidłowości – Administrator przetwarza dane osobowe z dbałością o ich prawidłowość;
  7. czasowości – Administrator przetwarza dane osobowe przez okres nie dłuższy niż konieczny do realizacji danego celu;
  8. bezpieczeństwa – Administrator przetwarza dane osobowe zapewniając ich odpowiednie bezpieczeństwo.

3.2. System ochrony danych

Na system ochrony danych osobowych u Administratora składają się: inwentaryzacja danych, Rejestr Czynności Danych Osobowych u Administratora (Rejestr), podstawy przetwarzania, obsługa praw jednostki, minimalizacja, bezpieczeństwo, przetwarzający, eksport danych, projektowanie prywatności (privacy by design) oraz przetwarzanie transgraniczne.

3.3. Kompetencje i odpowiedzialność

Do obowiązków Zarządu należy w szczególności:

  1. zarządzanie czynnościami przetwarzania danych osobowych w ramach zadań, realizowanych Administratora;
  2. nadawanie, zmiana lub cofanie uprawnień członkom personelu Administratora do określonych zasobów danych osobowych przetwarzanych w systemie informatycznym, zgodnie z zakresem upoważnienia do przetwarzania danych osobowych;
  3. zapoznanie członków personelu Administratora z zasadami przetwarzania i ochrony danych;
  4. wypełnianie obowiązków dotyczących zabezpieczenia obszaru przetwarzanych danych osobowych;
  5. ustalanie podstaw prawnych przetwarzania danych osobowych, w tym zbierania i archiwizowanie zgód osób na przetwarzanie ich danych osobowych wymaganych przypadkach;
  6. ustalanie zasad tworzenia kopii zapasowych plików z danymi osobowymi;
  7. realizacja procesu udostępniania danych osobowych innemu podmiotowi lub osobie, której dane dotyczą;
  8. realizacja procesów związanych z powierzaniem przetwarzania danych osobowych przez Administratora innym podmiotom - zgodnie z zawartymi umowami powierzenia przetwarzania danych osobowych;
  9. zapewnienie przechowywania nadanych upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu tajemnicy danych osobowych i sposobów ich zabezpieczania wraz z aktami osobowymi pracowników lub umowami zlecenia;
  10. prowadzenie aktualnej ewidencji osób upoważnionych do przetwarzania danych osobowych.

3.4. Upoważnianie osób do przetwarzania danych osobowych

Wszystkie osoby, które wykonują na rzecz Administratora czynności związane z przetwarzaniem danych osobowych, muszą posiadać pisemne upoważnienie do przetwarzania danych osobowych oraz złożyć oświadczenie o zachowaniu tajemnicy danych i sposobów ich zabezpieczenia.

Każda osoba upoważniona do przetwarzania danych osobowych przechodzi szkolenie z zasad ochrony danych osobowych u Administratora.

3.5. Podstawowe obowiązki personelu

Osoba upoważniona do przetwarzania danych osobowych u Administratora jest zobowiązana do:

  1. zapoznania się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz dokumentacją dotyczącą ochrony danych osobowych u Administratora;
  2. przechodzenia okresowych szkoleń z obszaru ochrony danych osobowych;
  3. przetwarzania danych osobowych wyłącznie w celu i zakresie wynikającym z nałożonych obowiązków służbowych;
  4. zachowania wyjątkowej staranności przy przetwarzaniu danych osobowych, w szczególności danych wrażliwych w celu ochrony interesów osób, których dane dotyczą;
  5. stosowania określonych u Administratora procedur i środków przetwarzania oraz zabezpieczania danych osobowych;
  6. podporządkowania się poleceniom Inspektora lub innej osoby odpowiedzialnej za ochronę danych osobowych u Administratora w zakresie ochrony danych osobowych;
  7. zachowania w poufności danych osobowych oraz zabezpieczenia danych osobowych przed: ich utratą, uszkodzeniem lub zniszczeniem, zmianą lub ich udostępnieniem osobom nieupoważnionym;
  8. dopilnowania, aby przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej;
  9. dopilnowania, aby przeznaczone do usunięcia dokumenty, zawierające dane osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie;
  10. przestrzegania procedur właściwego użytkowania systemów informatycznych, w których przetwarza się dane osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł;
  11. zachowania należytej staranności podczas przekazywania danych osobowych drogą telefoniczną (konieczność właściwej identyfikacji rozmówcy, konieczność ustalenia, czy rozmówca jest uprawniony do pozyskania danych osobowych, przekazywanie jedynie niezbędnych informacji);
  12. przesyłania danych osobowych za pomocą sieci Internet jedyne z użyciem metod kryptograficznych (szyfrowanie danych, kanały bezpiecznej transmisji);
  13. niewysyłania za pomocą wiadomości e-mail danych osobowych na prywatne adresy, niekopiowanie danych na inne nośniki bez uzasadnionej potrzeby;
  14. zachowania należytej ostrożności przy transporcie dokumentów oraz nośników informatycznych, zawierających dane osobowe, poza obszarem przetwarzania u Administratora.
  15. niepozostawiania dokumentów, zawierających dane osobowe, na urządzeniach wielofunkcyjnych (drukowanie, kopiowanie);
  16. nieopuszczania stanowiska pracy bez zabezpieczenia dokumentów papierowych, zawierających dane osobowe (zasada „czystego biurka”) oraz bez zabezpieczania dostępu do danych przetwarzanych w systemie informatycznym (zasada „czystego ekranu”);
  17. informowania o zdarzeniu operacyjnym dotyczącym danych osobowych, zgodnie z obowiązującymi w tym zakresie procedurami;
  18. zaprzestania przetwarzania danych osobowych po ustaniu stosunku zatrudnienia.

3.6. Rozliczalność zgodności realizacji obowiązków RODO

W celu weryfikacji zastosowanych środków technicznych i organizacyjnych, zapewniających przetwarzanie danych osobowych zgodnie z RODO, wykonuje się ich monitorowanie. Monitorowanie ochrony danych osobowych prowadzone jest:

  1. na bieżąco przez Inspektora (o ile został powołany) lub Zarząd;
  2. poprzez audyty okresowe i doraźne (w sytuacji wystąpienia incydentów naruszenia ochrony danych) wykonywane przez Inspektora (o ile został powołany) lub Zarząd;
  3. podczas audytów wewnętrznych przeprowadzanych przez upoważnione podmioty.

Inspektor (o ile został powołany) lub Zarząd analizuje zgodność dokumentacji przetwarzania danych osobowych przyjętej u Administratora z przepisami o ochronie danych osobowych oraz nadzoruje aktualizację dokumentacji.

4. INWENTARYZACJA

4.1. Dane szczególnych kategorii i dane karne

Administrator identyfikuje przypadki przetwarzania danych szczególnych kategorii lub danych karnych. W sytuacji zidentyfikowania przypadku przetwarzania danych szczególnej kategorii lub danych karnych, Administrator stosuje przyjęte w tym zakresie zasady, w tym mechanizmy zapewniające zgodność takiego rodzaju przetwarzania danych z prawem.

4.2. Dane niezidentyfikowane

Administrator identyfikuje przypadki przetwarzania danych niezidentyfikowanych. W sytuacji zidentyfikowania takiego przypadku, Administrator ułatwia realizację praw osób, których te dane dotyczą, zwłaszcza poprzez utrzymywane w tym celu mechanizmy.

4.3. Profilowanie

W razie dokonywania przez Administratora profilowania przetwarzanych danych, Administrator zapewnia zgodność procesu profilowania z prawem, zwłaszcza poprzez przyjęte zasady i mechanizmy dot. profilowania i zautomatyzowanego podejmowania decyzji.

4.4. Współadministrowanie

W razie współadministrowania danymi, Administrator postępuje zgodnie z przyjętymi zasadami.

5. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH

5.1. Administrator prowadzi Rejestr Czynności Przetwarzania Danych. Rejestr służy inwentaryzacji i monitorowaniu sposobu wykorzystywania danych przez Administratora.

5.2. Rejestr zawiera dane Administratora i dane Inspektora Ochrony Danych Osobowych, o ile został powołany u Administratora.

5.3. Dla każdej odrębnej czynności przetwarzania danych, Administrator odnotowuje w Rejestrze co najmniej: (i) nazwę czynności, (ii) cel przetwarzania danych, (iii) kategorie osób, (iv) kategorie danych, (v) podstawę prawną (w przypadku gdy podstawą przetwarzania danych przez Administratora jest uzasadniony interes – szczegółowe określenie tego interesu), (vi) sposób zbierania danych, (vii) kategorie odbiorców danych (łącznie z przetwarzającymi), (viii) informację o przekazaniu danych poza kraje Europejskiego Obszaru Gospodarczego (kraje UE oraz Norwegia, Islandia i Liechtenstein); (ix) opis środków ochrony danych (technicznych i organizacyjnych).

5.4. Za prowadzenie rejestrów czynności odpowiedzialny jest Inspektor/osoba odpowiedzialna za ochronę danych osobowych w Organizacji. Inspektor/osoba odpowiedzialna za ochronę danych osobowych w Organizacji inwentaryzuje procesy przetwarzania danych osobowych przypisując do nich określone czynności przetwarzania danych. Inspektor/osoba odpowiedzialna za ochronę danych osobowych w Organizacji okresowo dokonuje przeglądów procesów przetwarzania danych w celach aktualizacji prowadzonych rejestrów.

6. PODSTAWY PRZETWARZANIA DANYCH OSOBOWYCH

6.1. Administrator przetwarza dane na określonej podstawie, którą wskazuje w Rejestrze.

6.2. W razie potrzeby Administrator dookreśla wskazaną w Rejestrze ogólną podstawę prawną przetwarzania danych (np. zgoda, prawo, uzasadniony cel Administratora), poprzez uszczegółowienie danej podstawy (np. dla zgody – wskazanie zakresu, dla prawa – przepisu, wskazanie właściwej umowy, dla uzasadnionego celu – celu przetwarzania itd.).

6.3. Administrator zarządza danymi, poprzez wdrożenie metod umożliwiających rejestrację i weryfikację posiadania zgody danej osoby na przetwarzanie jej danych w konkretnym celu, zgody na komunikację na odległość (e-mail, telefon, SMS itp.) oraz rejestrację odmowy zgody, cofnięcia zgody i podobnych czynności (sprzeciw, ograniczenie itp.).

6.4. Osoby dokonujące określonych czynności przetwarzania danych, mają obowiązek znać podstawy prawne dla danej czynności. W razie realizacji uzasadnionego interesu Administratora, osoba dokonująca określonych czynności przetwarzania danych ma obowiązek znać realizowany przez daną czynność interes Administratora.

6.5. Osoby odpowiedzialne u Administratora za procesy, w których zbierane są dane osobowe, mają obowiązek zachowania szczególnej staranności przy ich zbieraniu, w tym:

  1. sprawdzać czy są spełnione podstawy prawne na pozyskiwanie danych osobowych, zgodnie z art. 6 RODO oraz art. 9 – 10 RODO;
  2. zbierać dane osobowe dla określonych, zgodnych z prawem celów realizowanych przez Administratora;
  3. zbierać dane w zakresie adekwatnym do celów w jakich dane będą przetwarzane przez Administratora;
  4. W przypadku konieczności odbierania zgody na przetwarzanie danych osobowych, należy zapewnić dobrowolność

7. SPOSÓB OBSŁUGI PRAW JEDNOSTKI I OBOWIĄZKÓW INFORMACYJNYCH

7.1. Administrator przekazuje informacje i komunikuje się z osobami, których dane przetwarza w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

7.2. Administrator ułatwia osobom, których dane przetwarza, korzystanie z ich uprawnień, w szczególności poprzez zamieszczenie na stronie internetowej Administratora odpowiednich informacji lub odwołań (linków) do informacji o uprawnieniach i sposobie korzystania z nich, zamieszczenie informacji na temat wymagań dot. identyfikacji i umożliwienie kontaktu z Administratorem w tym celu.

7.3. Administrator dba o terminową realizację uprawnień osób, których dotyczą przetwarzane dane, oraz o terminową realizację swoich zobowiązań wobec tych osób.

7.4. Administrator realizuje prawa osób, których dane przetwarza oraz obowiązki informacyjne, poprzez prowadzanie adekwatnych metod identyfikacji i uwierzytelniania osób, których dotyczą przetwarzane dane oraz poprzez zapewnienie procedur i mechanizmów pozwalających na identyfikacje danych konkretnych osób, integracje tych karnych, wprowadzenie do nich zmian i ich ewentualne usunięcie.

8. OBOWIĄZKI INFORMACYJNE

8.1. Administrator wykonuje obowiązki informacyjne w sposób efektywny i zgodny z prawem.

8.2. Administrator niezwłocznie informuje osobę, której dane przetwarza, o przedłużeniu terminu rozpatrzenia jej żądania ponad jeden miesiąc oraz przyczynach takiego przedłużenia.

8.3. Administrator informuje osobę o przetwarzaniu jej danych, przy pozyskiwaniu danych tej osoby, niezależnie od sposobu pozyskania tych danych (czy dane były pozyskane bezpośrednio od osoby, której dotyczą czy nie).

8.5. Tam gdzie jest to możliwe, Administrator informuje o przetwarzaniu danych niezidentyfikowanych (np. poprzez informację o objęciu danego miejsca monitoringiem wizyjnym).

8.6. Administrator informuje osobę, której dane przetwarza, o wszelkich planowanych zmianach odnośnie celu przetwarzania danych tej osoby.

8.7. Administrator informuje osobę, której dane przetwarza, o uchyleniu ograniczenia przetwarzania danych tej osoby.

8.8. Administrator informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych dotyczących danej osoby, o ile nie wymaga to niewspółmiernie dużego wysiłku lub jest niemożliwe.

8.9. Administrator informuje osobę, której dotyczą przetwarzane dane, o prawie sprzeciwu względem przetwarzania danych tej osoby dotyczących najpóźniej przy pierwszym kontakcie z tą osobą.

8.10. Administrator bez zbędnej zwłoki zawiadamia osobę, której dane przetwarza, o naruszeniu ochrony danych osobowych jej

9. ŻĄDANIA OSÓB FIZYCZNYCH

9.1. Prawa osób trzecich

W trakcie realizacji praw osób, których dotyczą przetwarzane dane, Administrator chroni również, poprzez wprowadzenie odpowiednich proceduralnych gwarancji ochrony, prawa i wolności osób trzecich.

W szczególności jeśli Administrator powziął wiarygodną wiadomość o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności osób trzecich (np. prawa związane z ochroną danych tych osób, ich prawa własności intelektualnej, tajemnicę handlową czy dobra osobiste), Administrator może zwrócić się do danej osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.

9.2. Nieprzetwarzanie

Jeżeli osoba, której danych Administrator nie przetwarza, zgłosiła żądanie, Administrator informuje taką osobę o nie przetwarzaniu jej danych.

9.3. Odmowa

Administrator informuje osobę, która zgłosiła żądanie, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.

9.4. Dostęp do danych

W odpowiedzi na żądanie osoby dotyczące dostępu do jej danych Administrator informuje osobę, czy przetwarza jej dane oraz o szczegółach przetwarzania, zgodnie z art. 15 RODO (cele i kategorie przetwarzania, informacje o odbiorcach, okres przechowywania danych, informacje o prawach osoby, źródła danych itd. – zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych, przy czym kopia danych wydana w związku z wykonaniem prawa dostępu do danych nie będzie przez Administratora uznana za pierwszą nieodpłatną kopię danych.

9.5. Kopie danych

Na żądanie Administrator wydaje danej osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii tych danych. Administrator może wprowadzić cennik kopii danych, zgodnie z którym pobiera opłaty za kolejne kopie danych. Cena jednej kopii danych kalkulowana będzie na podstawie oszacowanego jednostkowego kosztu obsługi żądania jej wydania.

9.6. Sprostowanie danych

Na żądanie danej osoby Administrator dokonuje sprostowania nieprawidłowych danych. Administrator ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych Administrator informuje, na żądanie danej osoby, o odbiorcach danych.

9.7. Uzupełnienie danych

Na żądanie danej osoby Administrator uzupełnia i aktualizuje jej dane, przy czym, jeśli takie uzupełnienie byłaby niezgodne z celami przetwarzania, Administrator ma prawo odmówić uzupełnienia danych (np. Administrator nie musi przetwarzać danych zbędnych). Administrator może polegać na oświadczeniu osoby co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Administratora procedur (np. co do pozyskiwania takich danych), prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.

9.8. Usunięcie danych

Administrator usuwa dane na żądanie osoby, której te dane dotyczą w przypadku gdy:

  1. przetwarzanie danych nie jest konieczne do realizacji celów, dla których zostały zebrane, ani do realizacji innych, zgodnych z prawem celów;
  2. osoba, której dane dotyczą, cofnęła zgodę na ich przetwarzanie, a jednocześnie brak innej podstawy prawnej przetwarzania;
  3. osoba, której dane dotyczą, wniosła skuteczny sprzeciw względem przetwarzania tych danych;
  4. dane były przetwarzane niezgodnie z prawem;
  5. konieczność usunięcia wynika z obowiązku prawnego;
  6. żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. profil dziecka na portalu społecznościowym, udział w konkursie na stronie internetowej).

Administrator określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.

Jeżeli dane podlegające usunięciu zostały upublicznione przez Administratora, Administrator podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe o potrzebie usunięcia danych i dostępu do nich.

W przypadku usunięcia danych Administrator informuje – na żądanie tej osoby – o odbiorcach danych.

9.9. Ograniczenie przetwarzania

Administrator ogranicza przetwarzanie danych na żądanie osoby, której te dane dotyczą, w przypadku gdy:

  1. osoba, której dane dotyczą, kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość;
  2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
  3. Administrator nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony przed roszczeniami;
  4. osoba, której dane dotyczą, wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Administratora zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu. W trakcie ograniczenia przetwarzania Administrator przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony przed roszczeniami, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego. Administrator informuje osobę przed uchyleniem ograniczenia przetwarzania. W przypadku ograniczenia przetwarzania danych Administrator informuje – na żądanie tej osoby – o odbiorcach danych.

9.10. Przenoszenie danych

Na żądanie osoby, której dane dotyczą, Administrator wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi (jeśli jest to możliwe) dane, które ta osoba dostarczyła Administratorowi, przetwarzane w systemach informatycznych Administratora na podstawie zgody lub w celu zawarcia lub wykonania umowy z nią zawartej.

9.11. Sprzeciw w szczególnej sytuacji

Jeżeli osoba, której dane dotyczą, zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Administratora w oparciu o uzasadniony interes Administratora lub o powierzone Administratorowi zadanie w interesie publicznym, Administrator uwzględni sprzeciw, o ile nie zachodzą po stronie Administratora ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.

9.12. Sprzeciw przy badaniach naukowych, historycznych lub celach statystycznych

Jeżeli Administrator prowadzi badania naukowe, historyczne lub przetwarza dane w celach statystycznych, osoba, której dane dotyczą, może wnieść umotywowany jej szczególną sytuacją sprzeciw względem takiego przetwarzania. Administrator uwzględni taki sprzeciw, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

9.13. Sprzeciw względem marketingu bezpośredniego

Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez Administratora na potrzeby marketingu bezpośredniego (w tym ewentualnie profilowania), Administrator uwzględni sprzeciw i zaprzestanie takiego przetwarzania

9.14. Prawo do ludzkiej interwencji przy automatycznym przetwarzaniu

Jeżeli Administrator przetwarza dane w sposób automatyczny, w tym w szczególności profiluje osoby, i w konsekwencji podejmuje względem osoby decyzje wywołujące skutki prawne lub inaczej istotnie wpływające na osobę, Administrator zapewnia możliwość odwołania się do interwencji i decyzji człowieka po stronie Administratora, chyba że taka automatyczna decyzja: (i) jest niezbędna do zawarcia lub wykonania umowy między odwołującą się osobą a Administratorem, lub (ii) jest wprost dozwolona przepisami prawa, lub (iii) opiera się na wyraźnej zgodzie odwołującej osoby.

10. MINIMALIZACJA DANYCH OSOBOWYCH

10.1. Administrator dba o minimalizację przetwarzania danych pod kątem: (i) adekwatności danych do celów (ilości danych i zakresu ich przetwarzania),(ii) dostępu do danych, (iii) czasu przechowywania danych.

10.2. Minimalizacja zakresu

Administrator weryfikuje zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO.

Administrator dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok.

Administrator przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych w ramach procedur zarządzania zmianą (privacy by design).

10.3. Minimalizacja dostępu

Administrator stosuje ograniczenia dostępu do danych osobowych w następujących zakresach:

  1. prawnym – poprzez zobowiązania do poufności, ograniczenie zakresów upoważnień;
  2. fizycznym – poprzez ustanawianie określonych stref dostępu oraz zamykanie pomieszczeń i kontrolowanie fizycznego dostępu do danych;
  3. logicznym – poprzez stosowanie ograniczeń dostępu do systemów przetwarzających dane osobowe i zasobów sieciowych, mieszczących dane osobowe.

Administrator udziela pisemnych upoważnień swoim pracownikom do przetwarzania danych osobowych jej powierzonych.

Przy zmianach w składzie personelu, zmianach ról osób oraz zmianach podmiotów przetwarzających, Administrator aktualizuje uprawnienia dostępowe.

Administrator dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok.

Szczegółowe zasady kontroli dostępu fizycznego i logicznego zawarte są w procedurach bezpieczeństwa fizycznego i bezpieczeństwa informacji Administratora.

10.4. Minimalizacja czasu

Administrator wdraża mechanizmy kontroli retencji danych osobowych w Administratora, w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w Rejestrze.

Dane osobowe, dla których okres przetwarzania nie wynika z obowiązujących przepisów prawa i dla których nie jest możliwe określenie z góry tego okresu w wewnętrznych regulacjach, są przetwarzane tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla ich przetwarzania. Dane osobowe przetwarzane wyłącznie w oparciu o przesłankę zgody na przetwarzanie danych osobowych są usuwane zawsze niezwłocznie po wycofaniu takiej zgody.

Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu, są usuwane z systemów Administratora, jak też z akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez Administratora. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystania kopii zapasowych uwzględniają wymagania kontroli nad cyklem życia danych, a w tym wymogi usuwania danych.

Administrator dokonuje co najmniej jeden raz w każdym roku kalendarzowym weryfikacja zasobów danych osobowych prowadzonych w formie papierowej jak i elektronicznej. Administrator sprawdza czy zostały usunięte dane osobowe, dla których upłynął okres przechowywania.

W przypadku danych osobowych, których czas przechowywania nie został określony przez właściwe przepisy prawa lub wewnętrzne regulacje, Administrator sprawdza czy nadal istnieje podstawa prawna oraz cel przetwarzania danych osobowych. W razie ustalenia, że okres przetwarzania danych osobowych upłynął bądź nie istnieje podstawa prawna lub cel do dalszego przetwarzania danych osobowych, dane osobowe powinny zostać trwale usunięte z nośników papierowych, elektronicznych oraz systemów informatycznych.

11. BEZPIECZEŃSTWO DANYCH OSOBOWYCH

11.1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Administrator i przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

11.2. Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczania danych osobowych u Administratora realizowany jest w oparciu o szacowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą. Przy doborze zabezpieczeń należy i oceniać ryzyko zarówno w kontekście skutków dla osoby, której dane dotyczą w tym np. dyskryminacja, pozbawienie przysługujących praw, szkody majątkowe i niemajątkowe), jak również ryzyko w kontekście skutków dla Administratora w przypadku niepodjęcia działań związanych z zapewnieniem przetwarzania danych osobowych zgodnie z RODO.

11.3. Ustalone wymagania dotyczące zabezpieczenia danych osobowych w odniesieniu do danego procesu przetwarzania danych osobowych są odnotowywane w prowadzonym rejestrze czynności przetwarzania danych osobowych.

11.4. Planowanie realizacji nowych procesów związanych z przetwarzaniem danych osobowych, w tym w szczególności nowych systemów informatycznych służących do przetwarzania danych osobowych, musi uwzględniać zasady ochrony danych w fazie projektowania („privacy by design”) oraz domyślnej ochrony danych („privacy by default”)

11.5. Administrator przeprowadza oraz dokumentuje analizy adekwatności stosowanych środków bezpieczeństwa danych osobowych, w związku z czym:

  1. Administrator zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania – wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych;
  2. Administrator kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają;
  3. Administrator przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii. Administrator analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych, uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o rożnym prawdopodobieństwie wystąpienia i wadze zagrożenia;
  4. Administrator ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania. W tym Administrator ustala przydatność i stosuje takie środki i podejście, jak: anonimizacja, pseudonimizacja, szyfrowanie danych osobowych, inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, oraz środki zapewnienia ciągłości działania i zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.

11.6. W przypadku realizacji procesów przetwarzania danych osobowych, które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania należy dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych zgodnie z art. 35 RODO. Jeżeli dokonana ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby nie zostały zastosowane środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania należy skonsultować się z PUODO.

12. POSTĘPOWANIE W SYTUACJI NARUSZENIA OCHRONY DANYCH

12.1. Administrator stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia.

12.2. W sytuacji powzięcia informacji o naruszeniu lub podejrzeniu naruszenia ochrony danych osobowych należy postępować zgodnie z zasadami wynikającymi z art. 33 i 34 RODO.

12.3. Zgłoszenia naruszenia ochrony danych osobowych przez osobę, której dane dotyczą lub inną osobę inną osobę spoza personelu Administratora są przyjmowane i rozpatrywane przez Inspektora (o ile został powołany) lub przez Zarząd. W sytuacji stwierdzenia wystąpienia naruszenia ochrony danych osobowych oraz prawdopodobieństwa zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, informacja o naruszeniu powinna zostać zgłoszona do PUODO.

12.4. Zgłoszenie naruszenia przygotowuje Zarząd w terminie 72 godzin po stwierdzeniu naruszenia, zgodnie z wymaganiami art. 33 RODO. Zgłoszenie przekazywane jest do PUODO w formie elektronicznej za pomocą systemu informatycznego zgodnie z trybem określonym przez organ.

12.5. W sytuacji gdy stwierdzone naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o naruszeniu należy zawiadomić wszystkie osoby, których dane dotyczą. Inspektor (o ile został powołany) lub Zarząd analizuje czy w odniesieniu do wymogów art. 34 ust. 3 RODO pawiadomienie osób, których dane dotyczą, będzie wymagane.

12.6. Wszystkie stwierdzone naruszenia ochrony danych osobowych są dokumentowane przez Inspektora (o ile został powołany) lub przez Zarząd w ramach właściwej ewidencji naruszeń ochrony danych osobowych.

13. PRZETWARZAJĄCY DANE OSOBOWE

13.1. Administrator dokonuje doboru i weryfikacji przetwarzających dane osobowe na jego rzecz według przyjętych zasad. Administrator zapewnia, aby przetwarzający dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych, spoczywających na Administratorze.

13.2. W sytuacji powierzania czynności przetwarzania danych osobowych zewnętrznemu podmiotowi, należy zawrzeć z nim umowę powierzenia przetwarzania danych osobowych zgodnie z art. 28 ust. 3 RODO.

13.3. Administrator kontroluje sposób przetwarzania danych przez przetwarzających oraz rozlicza ich ze współpracy z podprzetwarzającymi, jak też ze spełnienia innych wymagań wynikających z zasad powierzenia przetwarzania danych osobowych

14. EKSPORT DANYCH OSOBOWYCH

14.1. Administrator ujawnia w Rejestrze wszelkie przekazania danych poza obszar Europejskiego Obszaru Gospodarczego (kraje UE, Islandia, Liechtenstein i Norwegia) (eksport danych osobowych).

14.2. W celu uniknięcia sytuacji nieautoryzowanego eksportu danych w szczególności w związku z wykorzystaniem publicznie dostępnych usług chmurowych (shadow IT), Administrator okresowo weryfikuje zachowania żytkowników oraz w miarę możliwości udostępnia zgodne z prawem rozwiązania równoważne.

15. PRYWATNOŚĆ

15.1. Administrator zarządza zmianami mającymi wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizacji ich przetwarzania.

15.2. W powyższym celu, w przypadku prowadzenia projektów i inwestycji przez Administratora, odwołuje się on się do zasad bezpieczeństwa danych osobowych i minimalizacji, wymagając oceny wpływu na prywatność i ochronę danych, uwzględnienia i zaprojektowania bezpieczeństwa oraz minimalizacji przetwarzania danych od samego początku realizacji projektu lub inwestycji.

16. POSTANOWIENIA KOŃCOWE

16.1. Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.

16.2. W sprawach nieuregulowanych w niniejszej Polityce, mają zastosowanie przepisy RODO oraz UODO.

Projekt realizowany przez:
Budowa strony sfinansowana przez Islandię, Liechtenstein i Norwegię z Funduszy EOG i Funduszy Norweskich w ramach Programu Aktywni Obywatele – Fundusz Regionalny.

Chcesz nas wesprzeć ?

Zobacz jakie masz szerokie możliwości wsparcia naszej inicjatywy. Kliknij w przycisk i sprawdź.
WspieraJ
Copyright © 2024 Ludzie z natury
Created by: 
SquareTech
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram