Dzienniki Urzędowe - rok 2018 poz. 34

Na podstawie art. 24 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L 119 z 04.05.2016, str. 1) zarządza się, co następuje:

1. W Ministerstwie Rodziny, Pracy i Polityki Społecznej, wprowadza się Politykę ochrony danych osobowych Ministerstwa Rodziny, Pracy i Polityki Społecznej, stanowiącą załącznik nr 1 do zarządzenia.

2. Określa się:

1) Wzór oświadczenia o zapoznaniu się z treścią Polityki ochrony danych osobowych, stanowiący załącznik nr 2 do zarządzenia;

2) Postępowanie w zakresie udzielania upoważnienia do przetwarzania danych osobowych, stanowiące załącznik nr 3 do zarządzenia;

3) Postępowanie dotyczące sporządzania rejestru czynności przetwarzania danych osobowych oraz rejestr kategorii przetwarzania danych osobowych, stanowiące załącznik nr 4 do zarządzenia;

4) Postępowanie w zakresie zawierania umów lub porozumień w sprawie powierzenia przetwarzania danych osobowych, stanowiące załącznik nr 5 do zarządzenia;

5) Wzór klauzuli informacyjnej w przypadku zbierania danych osobowych od osoby, której dane dotyczą, stanowiący załącznik nr 6 do zarządzenia;

6) Wzór klauzuli informacyjnej w przypadku zbierania danych osobowych w sposób inny niż od osoby, której dane dotyczą, stanowiący załącznik nr 7 do zarządzenia;

7) Postępowanie dotyczące wpłynięcia wniosku obywatela w zakresie przysługujących mu praw, stanowiące załącznik nr 8 do zarządzenia;

8) Wzór zgody na przetwarzanie danych osobowych, stanowiący załącznik nr 9 do zarządzenia;

9) Postępowanie w przypadku naruszenia ochrony danych osobowych, stanowiące załącznik nr 10 do zarządzenia.

Zarządzenie wchodzi w życie z dniem następnym po dniu ogłoszenia.

Załączniki do zarządzenia nr 33 Ministra Rodziny, Pracy i Polityki Społecznej
z dnia 28.12.2018 r.

Załącznik nr 1

POLITYKA OCHRONY DANYCH OSOBOWYCH MINISTERSTWA RODZINY, PRACY I POLITYKI SPOŁECZNEJ

ROZDZIAŁ I

Podstawowe pojęcia:

1) Administrator - Minister Rodziny Pracy i Polityki Społecznej, który decyduje o celach i sposobach przetwarzania danych osobowych;

2) BKA - Biuro Kontroli i Audytu w Ministerstwie;

3) dane osobowe - wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

4) Inspektor Ochrony Danych (IOD) - pracownik ministerstwa, który realizuje zadania określone w art. 39 RODO oraz inne zadania i obowiązki, jeżeli nie powodują konfliktu interesów;

5) Minister - Minister Rodziny, Pracy i Polityki Społecznej;

6) Ministerstwo - Ministerstwo Rodziny, Pracy i Polityki Społecznej;

7) odbiorca - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, którym ujawnia się dane osobowe, niezależnie od tego, czy są stroną trzecią; organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców (przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania);

8) ograniczenie przetwarzania - oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

9) organizacja międzynarodowa - organizacja i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy;

10) państwo trzecie - państwo niebędące członkiem Unii Europejskiej oraz nienależące do Europejskiego Obszaru Gospodarczego;

11) podmiot przetwarzający - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, którzy przetwarzają dane osobowe w imieniu administratora;

12) Polityka - Polityka ochrony danych osobowych;

13) profilowanie - dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

14) pseudonimizacja - przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

15) RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

16) strona trzecia - osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które z upoważnienia administratora lub podmiotu przetwarzającego mogą przetwarzać dane osobowe;

17) UODO - Urząd Ochrony Danych Osobowych - organ nadzorczy;

18) zgoda - dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych;

ROZDZIAŁ II

Postanowienia ogólne

§ 1.

1. Polityka ma zastosowanie do przetwarzania danych osobowych w Ministerstwie, w szczególności w związku z realizacją:

1) zadań wynikających z przepisów prawa krajowego oraz Unii Europejskiej i określonych szczegółowo w Regulaminie organizacyjnym Ministerstwa;

2) obowiązków pracodawcy w rozumieniu Kodeksu pracy;

3) umów o organizację staży, praktyk, wolontariatu;

4) innych zadań niezbędnych do zapewnienia funkcjonowania Ministerstwa.

2. W Ministerstwie dane osobowe przetwarzane są co do zasady na podstawie następujących przesłanek:

1) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

2) przetwarzanie jest niezbędne do wypełniania obowiązku prawnego ciążącego na administratorze.

3) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

4) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.

3. Dane osobowe mogą być przetwarzane w Ministerstwie w postaci papierowej oraz przy użyciu systemów informatycznych, które zostały wskazane w Polityce Bezpieczeństwa Informacji Ministerstwa.

ROZDZIAŁ III

Ogólne zasady przetwarzania danych osobowych

§ 2.

1. Przetwarzanie danych osobowych w Ministerstwie oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, tj.:

1) zbieranie;

2) utrwalanie;

3) organizowanie;

4) porządkowanie;

5) przechowywanie;

6) adaptowanie lub modyfikowanie;

7) pobieranie;

8) przeglądanie;

9) wykorzystywanie;

10) ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie;

11) dopasowywanie lub łączenie;

12) ograniczanie;

13) usuwanie lub niszczenie.

2. Zbieranie danych osobowych należy rozumieć jako pozyskiwanie danych osobowych.

3. Za utrwalanie należy przyjąć wszelkie formy i postaci zarejestrowania (zapisania) informacji na materialnym nośniku - informacja utrwalona, co do zasady, nadawać się powinna do dalszego przetwarzania zgodnie z celem, w jakim ją zebrano.

4. Organizowanie danych to operacje nieodnoszące się do zmiany treści lub postaci przechowania samych danych, a polegające na nadaniu określonej struktury zbiorowi czy zestawowi, w jakim dane są przetwarzane, lub zmianie jego dotychczasowej struktury.

5. Porządkowanie to operacja, która ma poprawić funkcjonalność użytkowania danych, w szczególności poprzez wprowadzenie jakichkolwiek lub lepszych niż dotychczasowe kryteriów wyszukiwania dostępu do określonych kategorii informacji.

6. Operacja przechowania jest związana z uprzednim utrwaleniem danych osobowych na nośniku materialnym z możliwością ich odtworzenia w późniejszym czasie.

7. Adaptowanie lub modyfikowanie danych osobowych polega na uzyskaniu nowej wiedzy na temat osoby, której dane są przetwarzane. Adaptowanie danych osobowych jest zmianą wynikającą ze skorzystania przez osobę, której dane są przetwarzane, z przysługujących jej praw, w szczególności: ograniczenia przetwarzania, usunięcia części danych. Modyfikacja danych związana jest z ingerencją osoby, której dane dotyczą, tj. sprostowania danych.

8. Pobieranie danych osobowych jest operacją związaną z wykonywaniem kopii danych osobowych lub ich części pozyskanych za pośrednictwem sieci telekomunikacyjnej lub innego kanału przesyłu informacji.

9. Przeglądanie danych należy rozumieć jako wyszukiwanie danych poprzez wpisywanie odpowiednich haseł, które dzięki zastosowanemu mechanizmowi indeksującemu pozwalają na zapoznanie się z konkretnymi danymi.

10. Wykorzystywanie danych jest celowym działaniem zmierzającym do konkretnego celu.

11. Ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie należy rozumieć jako operacje, które prowadzą do zapoznania się z danymi przez podmioty zewnętrzne za zgodą administratora.

12. Dopasowywanie lub łączenie danych osobowych polega na aktywnym działaniu podjętym przez administratora w celu weryfikacji poprawności danych, uzyskanie dodatkowych informacji wynikających ze skali przetwarzania czy usprawnienie procesów przetwarzania.

13. Ograniczenie oznacza każdą formę zawężenia możliwości przetwarzania. Dotyczy to zarówno zakresu przetwarzanych informacji, jak i celów dla jakich są one wykorzystywane.

14. Usuwanie lub niszczenie polega na trwałym kasowaniu danych.

§ 3.

1. Administrator przetwarza dane osobowe zgodnie z następującymi zasadami:

1) legalności;

2) rzetelności;

3) przejrzystości;

4) ograniczenia celu;

5) minimalizacji danych;

6) prawidłowości danych;

7) ograniczenia przechowywania;

8) integralności i poufności;

9) ochrony danych osobowych w fazie projektowania;

10) domyślnej ochrony danych osobowych.

2. Zasada legalności oznacza przetwarzanie danych zgodnie z prawem. Realizując tę zasadę, dane osobowe przetwarzane są na podstawie co najmniej jednej z przesłanek przetwarzania danych osobowych.

3. Zasada rzetelności wymaga, by dane były przetwarzane z uwzględnieniem interesów i uzasadnionych oczekiwań osób, których dane dotyczą.

4. Zasada przejrzystości wymaga by osoba, której dane dotyczą została należycie poinformowana o istotnych dla niej aspektach tego przetwarzania, tj. w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

5. Zasada ograniczenia celu polega na przetwarzaniu danych osobowych jedynie w celu zgodnym z odpowiednią przesłanką dopuszczalności przetwarzania danych osobowych.

6. Zasada minimalizacji danych oznacza, że administrator przetwarza tylko te dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania.

7. Zasada prawidłowości danych oznacza, że administrator przetwarza dane osobowe prawidłowe i uaktualnia je w razie potrzeby.

8. Zasada ograniczenia przechowywania oznacza, że administrator przechowuje dane osobowe w dokumentacji tworzącej akta spraw przez okres wynikający z Jednolitego Rzeczowego Wykazu Akt, uzgodnionego w trybie ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz.U. z 2018 r. poz. 217, z poźn. zm.), z właściwym archiwum państwowym.

9. Zasada integralności i poufności jest realizowana przez dopuszczenie do przetwarzania danych osobowych jedynie osób upoważnionych oraz zastosowanie takich środków technicznych i organizacyjnych, by dane nie były zmieniane przez osoby nieupoważnione lub by dane nie były udostępniane osobom nieupoważnionym.

10. Zasada ochrony danych osobowych w fazie projektowania oznacza, że ochrona prywatności jest realizowana na etapie projektowanych działań skutkujących przetwarzaniem danych osobowych.

11. Zasada domyślnej ochrony danych osobowych oznacza, że domyślne ustawienia przetwarzania danych osobowych umożliwią przetwarzanie jedynie danych niezbędnych do osiągnięcia każdego konkretnego celu przetwarzania. Jednocześnie ustawienia systemów przetwarzania danych nie powinny umożliwiać udostępnienia danych nieokreślonej liczbie osób fizycznych bez interwencji osoby, której dane dotyczą.

ROZDZIAŁ IV

Wydawanie upoważnień do przetwarzania danych osobowych

§ 4.

1. W Ministerstwie przetwarzanie danych osobowych odbywa się na podstawie upoważnień.

2. Upoważnienie wydawane jest osobie, która:

1) w ramach obowiązków służbowych przetwarza dane osobowe;

2) złożyła oświadczenie o zachowaniu poufności;

3) została przeszkolona w zakresie ochrony danych osobowych przez IOD.

3. Sposób wydawania upoważnień do przetwarzania danych osobowych określa załącznik nr 3 do zarządzenia.

4. Osoba upoważniona do przetwarzania danych osobowych jest obowiązana do:

1) zapoznania się z obowiązującymi przepisami prawa dotyczącymi ochrony danych osobowych;

2) przechodzenia okresowych szkoleń z obszaru ochrony danych osobowych;

3) stosowania określonych w Ministerstwie procedur i środków przetwarzania;

4) zabezpieczenia danych osobowych przed ich utratą, uszkodzeniem lub zniszczeniem, zmianą lub udostępnieniem osobom nieupoważnionym;

5) przestrzegania procedur właściwego użytkowania systemów informatycznych, w których przetwarza się dane osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł;

6) nieopuszczania stanowiska bez zabezpieczenia dokumentów papierowych, zawierających dane osobowe oraz bez zabezpieczania dostępu do danych osobowych przetwarzanych w systemie informatycznym;

7) zaprzestania przetwarzania danych osobowych po ustaniu stosunku zatrudnienia.

ROZDZIAŁ V

Rejestr czynności przetwarzania danych oraz rejestr kategorii czynności przetwarzania danych

§ 5.

1. W Ministerstwie prowadzi się rejestr czynności przetwarzania danych oraz rejestr kategorii czynności przetwarzania danych.

2. Rejestr czynności przetwarzania danych i rejestr kategorii czynności przetwarzania danych dla Ministerstwa może być udostępniany UODO na każde jego wezwanie.

3. Sposób tworzenia rejestru czynności przetwarzania danych oraz rejestru kategorii czynności przetwarzania danych określa załącznik nr 4 do zarządzenia.

ROZDZIAŁ VI

Umowy lub porozumienia w sprawie powierzenia przetwarzania danych osobowych

§ 6.

1. Dyrektor komórki organizacyjnej, realizując zadania skutkujące powierzeniem przetwarzania danych osobowych innemu podmiotowi, odpowiada za wybór podmiotu przetwarzającego, który zapewni wystarczającą gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie chroniło prawa osób, których dane dotyczą.

2. Dyrektor komórki organizacyjnej, który w imieniu administratora przyjmuje powierzenie przetwarzania danych (pomiot przetwarzający):

1) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

2) podejmuje wszelkie środki bezpieczeństwa, w szczególności w stosownych przypadkach:

a) pseudonimizację i szyfrowanie danych osobowych,

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;

3) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego;

4) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw;

5) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków związanych z bezpieczeństwem danych, postępowaniem w przypadku wystąpienia naruszeń, przeprowadzania oceny skutków dla ochrony danych i uprzednich konsultacji;

6) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

7) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

3. Szczegółowy sposób postępowania w zakresie wskazanym w ust. 1 i 2 określa załącznik nr 5 do zarządzenia.

ROZDZIAŁ VII

Prawa osób, których dane są przetwarzane w Ministerstwie, niewymagające wniosku obywatela oraz sposób ich realizacji

§ 7.

1. Podstawowym prawem osoby, której dane są przetwarzane w Ministerstwie, jest bycie poinformowanym o fakcie przetwarzania danych osobowych.

2. Zakres realizacji prawa wskazanego w ust. 1 zależy od sposobu pozyskania danych osobowych, tj. bezpośrednio od osoby, której dane dotyczą, lub w sposób inny niż od osoby, której dane dotyczą.

§ 8.

1. W przypadku zbierania danych od osoby, której dane dotyczą, administrator w momencie pozyskiwania danych ma obowiązek przekazać w szczególności następujące informacje o:

1) tożsamość administratora danych;

2) celach przetwarzania danych;

3) przysługujących prawach osobie, której dane są przetwarzane.

2. Przepis ust. 1 nie stosuje się, gdy i w zakresie w jakim osoba, której dane dotyczą, dysponuje już tymi informacjami.

3. Ramowy zakres klauzuli informacyjnej w przypadku zbierania danych od osoby, której dane dotyczą, określa załącznik nr 6 do zarządzenia.

§ 9.

1. W przypadku zbierania danych w sposób inny niż od osoby, której dane dotyczą, Administrator podaje osobie, której dane dotyczą w szczególności następujące informacje o:

1) tożsamości administratora danych;

2) celach przetwarzania danych;

3) przysługujących prawach osobie, które dane są przetwarzane;

4) od kogo otrzymał dane osobowe.

2. Informacje, o których mowa w ust. 1, podaje się najpóźniej:

1) nie później niż w terminie miesiąca od momentu pozyskania danych osobowych lub

2) jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą - przy pierwszej takiej komunikacji z tą osobą lub

3) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy - przy ich pierwszym ujawnieniu.

3. Obowiązku, o którym mowa w ust. 1, nie stosuje się gdy i w zakresie w jakim:

1) osoba, której dane dotyczą, dysponuje już tymi informacjami;

2) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, w szczególności w przypadku przetwarzania danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń odpowiednich dla tych danych, lub o ile obowiązek, o którym mowa w ust. 1, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania; w takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

3) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii Europejskiej lub prawem krajowym przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;

4) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii Europejskiej lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

4. Ramowy zakres klauzuli informacyjnej w przypadku zbierania danych w sposób inny niż od osoby, której dane dotyczą, określa załącznik nr 7 do zarządzenia.

§ 10.

1. Za realizację obowiązku informacyjnego, o którym mowa w § 8 i 9, odpowiedzialni są dyrektorzy komórek organizacyjnych, w których dane osobowe danej osoby będą przetwarzane.

2. Informacje, o których mowa w § 8 i 9, mogą zostać przekazane na piśmie, w tym elektronicznie, a w szczególnych przypadkach mogą zostać odczytane.

3. Każdorazowo należy udokumentować przekazanie informacji, o których mowa w § 8 i 9.

4. Istnieje możliwość konsultowania sposobu realizowania obowiązków, o których mowa w § 8 i 9 z IOD.

ROZDZIAŁ VIII

Prawa obywateli, których dane są przetwarzane w Ministerstwie, wymagające wniosku

§ 11.

1. Obywatelowi, którego dane są przetwarzane, przysługuje prawo:

1) dostępu do danych przetwarzanych w Ministerstwie oraz uzyskania potwierdzenia, czy Ministerstwo przetwarza jego dane;

2) sprostowania dotyczących go danych osobowych, które są nieprawidłowe, z uwzględnieniem celów przetwarzania;

3) do usunięcia danych (tzw. prawo do bycia zapomnianym);

4) do ograniczenia przetwarzania ;

5) do przenoszenia danych;

6) do sprzeciwu wobec przetwarzania dotyczących jej danych osobowych.

2. Realizacja praw, o których mowa w ust. 1, odbywa się na podstawie pisemnego wniosku obywatela, którego dane dotyczą.

3. Sposób realizacji praw obywatela, którego dane dotyczą, wymagających wniosku określa załącznik nr 8 do zarządzenia.

ROZDZIAŁ IX

Przetwarzanie danych osobowych na podstawie zgody osoby, której dane są przetwarzane w Ministerstwie

§ 12.

1. W szczególnych przypadkach przewidzianych prawem lub w sytuacjach, gdy przetwarzanie jest wymagane dla prawidłowej realizacji zadania, a nie mają zastosowania przesłanki wskazane w § 1 ust. 2, przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą.

2. W celu realizacji zasady rozliczalności zgoda powinna być udokumentowana w formie pisemnej.

3. Jeżeli osoba, której dane dotyczą, wyraża zgodę w pisemnym oświadczeniu, które dotyczy również innych kwestii, oświadczenie zgody musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii.

4. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

5. Ramowy wzór treści zgody określa załącznik nr 9 do zarządzenia.

ROZDZIAŁ X

Udostępnianie danych osobowych

§ 13.

1. Udostępnianie danych osobowych przez Ministerstwo wynika jedynie z obowiązujących przepisów prawa.

2. Pracownicy komórek organizacyjnych, do których wpływają wnioski o udostępnienie danych, obowiązani są każdorazowo do przeanalizowania możliwości oraz zakresu udostępnienia danych osobowych w uzgodnieniu z IOD.

3. W celu zapewnienia przez Ministerstwo kontroli nad tym, komu dane są przekazywane, udostępnienie danych powinno odbywać się co do zasady w formie pisemnej, co pozwoli w szczególności na udokumentowanie podstawy prawnej udostępnienia danych i podmiotu, który o to się zwróci.

ROZDZIAŁ XI

Przekazanie danych osobowych do państw trzecich

§ 14.

1. Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych może odbywać jedynie zgodnie z zasadami wskazanymi w rozdziale V RODO.

2. Dyrektorzy komórek organizacyjnych Ministerstwa obowiązani są zweryfikować istnienie podstawy prawnej uprawniającej do przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej przed dokonaniem przekazania.

3. Przekazanie danych osobowych odbywa się tylko w formie pisemnej.

ROZDZIAŁ XII

Naruszenia ochrony danych osobowych

§ 15.

1. Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem:

1) zniszczenia lub

2) utracenia, lub

3) zmodyfikowania, lub

4) nieuprawnionego ujawnienia, lub

5) nieuprawnionego dostępu

2. Pracownicy Ministerstwa obowiązani są zgłaszać każde zdarzenie zagrażające bezpieczeństwu, a ustalenie czy stanowi ono naruszenie ochrony danych osobowych należy do IOD.

3. Sposób postępowania w przypadku naruszeń ochrony danych osobowych oraz ich zgłaszanie i dokumentowanie określa załącznik nr 10 do zarządzenia.

ROZDZIAŁ XIII

Przeprowadzenie oceny skutków dla ochrony danych osobowych

§ 16.

1. Ocenę skutków dla ochrony danych osobowych planowanych procesów przetwarzania przeprowadza się, jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.

2. Ocena skutków dla ochrony danych osobowych przeprowadzana jest przez komórkę organizacyjną Ministerstwa, w której będzie odbywało się lub odbywa się przetwarzanie danych osobowych wymagające przeprowadzenia oceny skutków dla ochrony danych osobowych.

3. Komórka organizacyjna realizująca proces wskazany w ust. 1 jest obowiązana skonsultować z IOD w szczególności kwestie dotyczące:

1) faktu, czy należy przeprowadzić ocenę skutków dla ochrony danych osobowych;

2) metodologii przeprowadzenia oceny skutków dla ochrony danych osobowych;

3) zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń naruszenia praw i wolności osób, których dane dotyczą;

4) prawidłowości przeprowadzonej oceny skutków dla ochrony danych osobowych i zgodności jej wyników z RODO (czy należy kontynuować przetwarzanie, czy też nie oraz jakie zabezpieczenia należy stosować).

4. Za przeprowadzenie oceny skutków dla ochrony danych osobowych odpowiedzialni są dyrektorzy komórek organizacyjnych Ministerstwa.

5. W stosownych przypadkach dyrektor komórki organizacyjnej, który odpowiada za daną operację przetwarzania danych, zasięga opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.

§ 17.

1. Ocena skutków dla ochrony danych osobowych zawiera co najmniej następujące elementy:

1) opis planowanych operacji przetwarzania i celów przetwarzania, w tym gdy ma to zastosowanie - prawnie uzasadnionych interesów realizowanych przez Ministerstwo;

2) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

3) ocenę ryzyka naruszenia praw lub wolności obywateli, których dane dotyczą;

4) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

2. W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z procesu przetwarzania, dyrektor komórki organizacyjnej Ministerstwa, który odpowiada za dany proces, dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych osobowych.

3. W sytuacji o której mowa w ust. 2 dyrektor komórki organizacyjnej Ministerstwa sporządza notatkę, która zawiera w szczególności elementy wskazane w ust. 1 po uwzględnieniu zmian.

4. Dyrektor komórki organizacyjnej Ministerstwa po sporządzeniu notatki, o której mowa w ust. 3, jest obowiązany do przekazania jej IOD.

§ 18.

1. Oceny skutków dla ochrony danych osobowych nie przeprowadza się, jeżeli przetwarzanie odbywa się na podstawie przesłanki wskazanej w § 1 ust. 2 pkt 2 i 3 oraz gdy spełniono łącznie poniższe warunki:

1) ma podstawę prawną w prawie Unii Europejskiej lub w prawie polskim i prawo takie reguluje daną operację przetwarzania lub zestaw operacji;

2) oceny skutków dla ochrony danych osobowych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej.

2. Nie stosuje się wyłączenia wskazanego w ust. 1, jeżeli państwa członkowskie Unii Europejskiej uznają za niezbędne, by przed rozpoczęciem przetwarzania w ramach danego procesu dokonać oceny skutków dla ochrony danych osobowych.

§ 19.

1. Jeżeli przeprowadzona ocena skutków dla ochrony danych osobowych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, przed rozpoczęciem przetwarzania Administrator konsultuje się z organem nadzorczym.

2. Ocenę, o której mowa w ust. 1, prowadzi komórka organizacyjna, która odpowiada za dany proces przetwarzania, kontaktując się z UODO przez IOD.

3. Konsultując się z UODO, komórka organizacyjna przedstawia następujące informacje:

1) gdy ma to zastosowanie - odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw;

2) cele i sposoby zamierzonego przetwarzania;

3) środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą;

4) gdy ma to zastosowanie - dane kontaktowe IOD;

5) ocenę skutków dla ochrony danych;

6) wszelkie inne informacje, których zażąda organ nadzorczy.

ROZDZIAŁ XIV

Inspektor Ochrony Danych (IOD)

§ 20.

1. IOD posiada kwalifikacje zawodowe, w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności niezbędne do wypełnienia następujących zadań:

1) informowania Administratora oraz pracowników Ministerstwa (w tym stażystów, praktykantów, wolontariuszy, osób wypełniających zadania w ramach umów cywilnoprawnych) o obowiązkach spoczywających na nich z mocy RODO oraz wynikających z innych przepisów w zakresie ochrony danych osobowych;

2) doradzania Ministrowi oraz pracownikom Ministerstwa (w tym stażystom, praktykantom, wolontariuszom, osobom wypełniającym zadania w ramach umów cywilnoprawnych) w zakresie obowiązków spoczywających na nich z mocy RODO oraz innych przepisów w zakresie ochrony danych osobowych;

3) monitorowania przestrzegania RODO oraz innych przepisów o ochronie danych osobowych, polityk ochrony danych osobowych wdrożonych w Ministerstwie;

4) udzielania zaleceń co do oceny skutków dla ochrony danych osobowych oraz monitorowania wykonania oceny skutków dla ochrony danych osobowych;

5) współpracy z UODO i pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenia konsultacji we wszystkich innych sprawach;

6) pełnienia roli punktu kontaktowego dla osób, których dane dotyczą.

2. IOD może wykonywać inne zadania i obowiązki niż wskazane w ust. 1, pod warunkiem że nie będą one powodowały konfliktu interesów.

3. IOD funkcjonuje w ramach Samodzielnego Stanowiska ds. ochrony danych w BKA.

4. IOD podlega bezpośrednio Ministrowi, któremu składa roczne sprawozdanie w zakresie podejmowanych działań.

5. IOD ma zapewniony dostęp do zasobów lokalowych, materialnych i finansowych niezbędnych do wykonywania powierzonych zadań

6. IOD ma zapewniony dostęp do zasobów niezbędnych do utrzymania jego wiedzy fachowej (szkolenia, kursy, warsztaty, prasa, publikacje).

§ 21.

1. IOD wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

2. W ramach wykonywania zadań IOD obowiązany jest do ustalania priorytetów w swojej pracy i koncentrowania się na aspektach pociągających za sobą większe ryzyko w zakresie ochrony danych osobowych.

3. IOD jest obowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego.

4. Dyrektorzy komórek organizacyjnych obowiązani są do informowania IOD:

1) o wszystkich istniejących i planowanych procesach przetwarzania danych oraz konsultowania z IOD tych kwestii, przy czym niezbędne informacje powinny być przekazywane IOD odpowiednio wcześniej, umożliwiając mu zajęcie stanowiska;

2) o każdym spotkaniu kadry kierowniczej oraz w innych spotkaniach pracowników, podczas których będą omawiane sprawy związane z ochroną danych osobowych.

§ 22.

1. Zadanie dotyczące informowania Administratora oraz pracowników Ministerstwa o obowiązkach spoczywających na nich w ramach ochrony danych osobowych IOD wykonuje w szczególności poprzez:

1) przeprowadzenie szkolenia wstępnego przed rozpoczęciem przez pracowników (w tym stażystów, praktykantów, wolontariuszy, osoby wypełniające zadania w ramach umów cywilnoprawnych) służbowych obowiązków;

2) prowadzenie lub organizowanie cyklicznych wykładów, szkoleń, warsztatów;

3) przekazywanie materiałów informacyjnych;

4) udział w opracowywaniu regulaminów lub procedur związanych z przetwarzaniem danych.

2. Doradzanie Ministrowi oraz pracownikom Ministerstwa w zakresie obowiązków spoczywających na nich z mocy RODO oraz innych przepisów w zakresie ochrony danych osobowych IOD realizuje poprzez przygotowywanie opinii, notatek służbowych, udział w ocenie skutków dla ochrony danych osobowych.

3. Monitorowanie przestrzegania obowiązujących przepisów związanych z ochroną danych osobowych oraz procedur wewnętrznych IOD realizuje w szczególności poprzez przeprowadzanie czynności monitoringowych, w ramach których zbiera informacje w celu identyfikacji czynności przetwarzania oraz przeprowadza analizę zgodności tego przetwarzania.

4. W ramach współpracy z organem nadzorczym i pełnieniem funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem IOD:

1) przygotowuje, we współpracy z innymi komórkami organizacyjnymi, odpowiedzi na pisma i zapytania organu nadzorczego;

2) kontaktuje się w celu uzyskania porady ze strony organu nadzorczego.

5. Szczegółowe zadania realizowane w ramach pełnienia przez IOD punktu kontaktowego dla osób, których dane dotyczą, zostały opisane w rozdziale VIII.

ROZDZIAŁ XV

Środki techniczne i organizacyjne zapewniające bezpieczeństwo danych osobowych przetwarzanych w Ministerstwie

§ 23.

1. Środki techniczne i organizacyjne w systemach informatycznych stosowane w celu zapewnienia bezpieczeństwa danych osobowych przetwarzanych w Ministerstwie są określone w Polityce Bezpieczeństwa Informacji w obszarze IT.

2. Środki techniczne i organizacyjne dotyczące fizycznego dostępu do obszaru, w którym przetwarzane są dane osobowe, są określone w regulacjach wewnętrznych Ministerstwa.

3. Środki techniczne i organizacyjne, o których mowa w ust. 1 i 2, zostały dobrane na podstawie przeprowadzonej analizy ryzyka, w której uwzględniono następujące elementy:

1) stan wiedzy technicznej;

2) koszt wdrożenia środków technicznych i organizacyjnych;

3) charakter przetwarzania, przez który należy rozumieć sposób dokonywania przetwarzania, w tym częstotliwość, czasowość, długoterminowość, masowość;

4) zakres przetwarzania (katalog operacji na danych osobowych);

5) kontekst przetwarzania, czyli kategorie przetwarzanych danych, kategorie osób, których dane dotyczą, okoliczności zbierania i dalszego przetwarzania, otoczenie i zagrożenia dla bezpieczeństwa i integralności danych;

6) cele przetwarzania.

4. Analiza ryzyka przeprowadzana jest raz w roku i w szczególnie uzasadnionych przypadkach (w szczególności w związku z dodatkowymi zadaniami Ministerstwa czy w związku z wystąpieniem naruszenia) poddawana przeglądowi pod kątem jej aktualności.

5. Sposób przeprowadzania i dokumentowania wyników analizy ryzyka opisują odrębne regulacje obowiązujące w Ministerstwie.

ROZDZIAŁ XVI

Odpowiedzialność za przetwarzanie danych osobowych

§ 24.

1. Kierownicy komórek organizacyjnych są odpowiedzialni za zarządzanie procesami przetwarzania danych osobowych w swoich komórkach.

2. Każdy pracownik Ministerstwa jest obowiązany przestrzegać postanowień niniejszej Polityki.

3. Za nieprzestrzeganie niniejszej Polityki pracownik ponosi odpowiedzialność na zasadach określonych w Kodeksie pracy oraz ustawie z dnia 21 listopada 2008 r. o służbie cywilnej (Dz. U. z 2018 r. poz. 1559).

Załącznik nr 2

WZÓR - OŚWIADCZENIE O ZAPOZNANIU SIĘ Z TREŚCIĄ POLITYKI OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCĄ W MINISTERSTWIE RODZINY, PRACY I POLITYKI SPOŁECZNEJ

Załącznik nr 3

POSTĘPOWANIE W ZAKRESIE UDZIELENIA UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH

CEL PROCEDURY

Przedstawienie wzoru upoważnienia do przetwarzania danych osobowych przetwarzanych w Ministerstwie.

ODPOWIEDZIALNI ZA WYKONANIE PROCEDURY

1. Dyrektor BKA - w zakresie wydawania upoważnień do przetwarzania danych osobowych na mocy wydanego upoważnienia przez Ministra.

2. Samodzielne Stanowisko ds. Ochrony Danych Osobowych - w zakresie gromadzenia upoważnień, o których mowa w ww. procedurze.

3. Dyrektorzy komórek organizacyjnych Ministerstwa - w zakresie występowania z wnioskiem o nadanie upoważnień do przetwarzania danych osobowych dla podległych pracowników oraz innych osób im podległych (stażystów, praktykantów, wolontariuszy oraz osób realizujących zadania na podstawie umowy cywilnoprawnej na rzecz danej komórki organizacyjnej)

POSTANOWIENIA OGÓLNE

1. Dyrektor BKA wydaje upoważnienia do przetwarzania danych osobowych dla pracowników Ministerstwa oraz innych osób, w szczególności stażystów, praktykantów, wolontariuszy oraz osób realizujących zadania na podstawie umowy cywilnoprawnej na rzecz danej komórki organizacyjnej, jeżeli realizowane przez nich zadania wiążą się z przetwarzaniem danych osobowych w Ministerstwie.

2. Upoważnienia przygotowywane są przez pracownika wyznaczonego przez Dyrektora BKA.

POSTANOWIENIA SZCZEGÓŁOWE PROCEDURY

1. Dyrektor komórki organizacyjnej występuje do Dyrektora BKA z wnioskiem o wydanie upoważnienia do przetwarzania danych osobowych dla pracowników oraz innych osób mu podległych (stażystów, praktykantów, wolontariuszy oraz osób realizujących zadania na podstawie umowy cywilnoprawnej na rzecz danej komórki organizacyjnej) w związku z:

1) podjęciem pracy w Ministerstwie,

2) zmianą zakresu obowiązków,

3) zmianą stanowiska pracy lub komórki organizacyjnej Ministerstwa,

4) organizacją stażu lub praktyki lub wolontariatu

5) realizacją umowy cywilnoprawnej

- jeżeli realizowane przez nich zadania wiążą się z przetwarzaniem danych osobowych w Ministerstwie.

2. Wzór wniosku znajduje się w niniejszej procedurze.

3. Upoważnienie do przetwarzania danych osobowych może być w każdym czasie odwołane przez Dyrektora BKA na wniosek administratora, Dyrektora Generalnego, IOD lub dyrektora komórki organizacyjnej, wskazanej w ust 1.

4. Samodzielne Stanowisko ds. ochrony danych osobowych prowadzi "Ewidencję osób upoważnionych w Ministerstwie do przetwarzania danych osobowych", w której w szczególności odnotowuje się następujące informacje:

1) imię i nazwisko upoważnionego;

2) komórka organizacyjna;

3) status osoby (pracownik, stażysta, praktykant, wolontariusz, umowa cywilnoprawna);

4) data wydania upoważnienia;

5) data ustania upoważnienia;

6) wskazanie procesu przetwarzania danych osobowych, w którym upoważniony będzie uczestniczył (z rejestru czynności przetwarzania danych osobowych).

5. Mogą być prowadzone dodatkowe ewidencje osób upoważnionych do przetwarzania danych w sytuacji, gdy wynika to z zawartej umowy lub porozumienia w sprawie powierzenia przetwarzania danych osobowych.

WZÓR - WNIOSEK O WYDANIE UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH

Wzór - Upoważnienie do przetwarzania danych osobowych

Wzór - Oświadczenie

Wzór - Upoważnienie do przetwarzania danych osobowych na podstawie umowy cywilnoprawnej

Wzór - Oświadczenie

Załącznik nr 4

Postępowanie dotyczące sporządzania rejestru czynności przetwarzania danych oraz rejestru kategorii czynności przetwarzania danych

CEL PROCEDURY

Zapewnienie, przez administratora, zgodności z RODO (art. 5 ust. 2 RODO), czyli ze wskazanymi w tym akcie prawnym zasadami i warunkami przetwarzania danych osobowych.

ODPOWIEDZIALNI ZA WYKONANIE PROCEDURY

Dyrektorzy komórek organizacyjnych - w zakresie aktualności i poprawności informacji zawartych w rejestrach cząstkowych w ramach realizowanych procesów przetwarzania danych osobowych w zarządzanej komórce organizacyjnej.

Dyrektor BKA - w zakresie koordynowania oraz prowadzenia nadzoru nad prowadzeniem rejestru czynności przetwarzania dla Ministerstwa.

POSTANOWIENIA OGÓLNE PROCEDURY

1. Rejestr czynności przetwarzania danych i rejestr kategorii czynności przetwarzania danych dla całego Ministerstwa tworzy się na podstawie rejestrów cząstkowych tworzonych przez każdą komórkę organizacyjną Ministerstwa.

2. Za sporządzenie rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania danych dla całego Ministerstwa odpowiada Dyrektor BKA.

3. Pierwsze rejestry czynności przetwarzania i rejestry kategorii czynności przetwarzania danych cząstkowe sporządzane zostaną na podstawie przeprowadzonej inwentaryzacji czynności przetwarzania danych. Dyrektor BKA przekaże do komórek organizacyjnych projekty rejestrów, o których mowa w ust. 1, zgodnie z właściwością celem ponownego uzgodnienia zapisów oraz ewentualnego uaktualnienia.

4. Dyrektor BKA nie rzadziej niż dwa razy w roku będzie występował do komórek organizacyjnych celem zapewnienia, że nie zmieniły się procesy przetwarzania oraz kategorie przetwarzanych danych w przypadku, gdy Ministerstwo jest procesorem.

5. Dyrektorzy komórek organizacyjnych Ministerstwa mają obowiązek na bieżąco informować Samodzielne Stanowisko ds. ochrony danych osobowych o wszelkich zmianach w procesach przetwarzania danych osobowych realizowanych w swoich komórkach, w szczególności dotyczących:

1) celów przetwarzania danych;

2) kategorii osób, których dane są przetwarzane;

3) zakresu przetwarzania danych;

4) podmiotów przetwarzających, którym dane są powierzane;

5) odbiorców danych, którym dane są udostępnione.

Załącznik nr 5

Postępowanie w zakresie zawierania umów lub porozumień w sprawie powierzenia przetwarzania danych osobowych

CEL PROCEDURY

Zapewnienie zgodności z RODO (art. 5 ust. 2 RODO), czyli ze wskazanymi w tym akcie prawnym zasadami i warunkami przetwarzania danych osobowych.

ODPOWIEDZIALNI ZA WYKONANIE PROCEDURY

Dyrektorzy komórek organizacyjnych - w przypadku:

1) zamiaru powierzenia przetwarzania danych osobowych - za wybór podmiotu przetwarzającego spełniającego wymogi wskazane w art. 28 RODO,

2) zamiaru przyjęcia powierzenia przetwarzania danych osobowych - odpowiada za realizację umowy w zakresie powierzenia przetwarzania danych.

IOD odpowiada za czynności monitoringowe oraz kontrolne w zakresie przestrzegania przepisów RODO przez podmiot przetwarzający.

POSTANOWIENIA SZCZEGÓŁOWE PROCEDURY

Powierzenie przetwarzania danych przez Ministerstwo

1. Dyrektorzy komórek organizacyjnych obowiązani są informować IOD z tygodniowym wyprzedzeniem o zamiarze powierzenia przetwarzania danych osobowych i przekazać mu niezbędne informacje w tym zakresie, tj. szczegółowy opis na czym ma polegać przetwarzanie danych osobowych przez podmiot przetwarzający w celu uzgodnienia z IOD kryteriów wyboru podmiotu przetwarzającego.

2. Konsultacje z IOD, o których mowa w ust. 1, muszą odbyć się w szczególności przed złożeniem wniosku o wszczęcie postępowania na podstawie ustawy z dnia 29 stycznia 2004 r. - Prawo zamówień publicznych (Dz.U. 2018 r. poz. 1986), a jeżeli nie jest wymagane stosowanie ustawy - przed inną procedurą wyboru kontrahenta.

3. Każda umowa, porozumienie lub aneks w sprawie powierzenia przetwarzania danych osobowych musi być zaparafowany przez IOD.

4. Informacje w zakresie umów lub porozumień (data zawarcia, podmiot) w sprawie przetwarzania danych osobowych muszą zostać zawarte w rejestrze czynności prowadzonym w Ministerstwie.

5. IOD ma prawo do występowania do komórek organizacyjnych o przekazanie informacji na temat zawartych umów powierzenia przetwarzania danych w imieniu Ministra.

6. Umowa w zakresie powierzenia przetwarzania danych osobowych powinna w szczególności zawierać:

1) cel przetwarzania danych;

2) oświadczenie procesora o zapewnieniu wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie powierzonych danych osobowych spełniało wymogi prawem przewidziane i chroniło prawa osób, których dane dotyczą;

3) rodzaj i zakres przekazanych danych;

4) informacje o zasadach dotyczących przeprowadzania kontroli w podmiotach przetwarzających dane osobowe w imieniu Ministra;

5) informacje o sposobie upoważniania osób, które w imieniu procesora będą przetwarzały dane osobowe;

6) informacje o sposobach zgłaszania naruszeń z zakresu ochrony danych osobowych;

7) informacje o sposobach postępowania z danymi osobowymi po zakończeniu realizacji umowy.

7. Jeżeli powierzenie przetwarzania danych jest zadaniem drugorzędnym w stosunku do umowy głównej, elementy wskazane w ust. 6 mogą być również ujęte w tej umowie (np. w przypadku umów o realizację szkoleń, ewaluacji itd.). Przepis ust. 3 stosuje się.

Ministerstwo jako podmiot przetwarzający

1. Dyrektorzy komórek organizacyjnych mają obowiązek informowania IOD o planowanym powierzeniu Ministrowi przetwarzania danych osobowych w drodze umowy lub porozumienia z tygodniowym wyprzedzeniem, aby umożliwić IOD zajęcie stanowiska w przedmiotowej kwestii.

2. Każda umowa lub porozumienie lub aneks w sprawie powierzenia przetwarzania danych osobowych musi być zaparafowany przez IOD.

3. Kategorie czynności, które zostały administratorowi powierzone do przetwarzania, muszą zostać zawarte w rejestrze kategorii czynności prowadzonym w Ministerstwie.

Załącznik nr 6

WZÓR KLAUZULI INFORMACYJNEJ W PRZYPADKU ZBIERANIA DANYCH OD OSOBY, KTÓREJ DANE DOTYCZĄ

Załącznik nr 7

WZÓR KLAUZULI INFORMACYJNEJ W PRZYPADKU ZBIERANIA DANYCH W SPOSÓB INNY NIŻ OD OSOBY, KTÓREJ DANE DOTYCZĄ

Załącznik nr 8

Postępowanie dotyczące wniosku obywatela w zakresie przysługujących mu praw

CEL PROCEDURY

Sprecyzowanie i wdrożenie w Ministerstwie jednolitej i przejrzystej procedury postępowania w przypadku złożenia przez obywatela wniosku w zakresie przysługujących mu praw.

ODPOWIEDZIALNI ZA WYKONANIE PROCEDURY

1. Dyrektorzy komórek organizacyjnych Ministerstwa - w zakresie realizacji wniosku obywatela;

2. Pracownik BKA wyznaczony przez Dyrektora BKA - w zakresie koordynowania przyjmowania i rozpatrywania wniosków obywateli oraz prowadzenia rejestru wniosków.

POSTANOWIENIA OGÓLNE PROCEDURY

1. Dyrektor BKA koordynuje przyjmowanie i rozpatrywanie wniosków obywateli w zakresie praw związanych z ochroną danych osobowych wpływających do Ministerstwa.

2. Korespondencję pisemną lub przesłaną za pośrednictwem e-PUAP, której treść wskazuje na wniosek obywatela w zakresie praw związanych z ochroną danych osobowych, Kancelaria Ogólna Ministerstwa rejestruje w elektronicznym systemie obiegu dokumentów i przekazuje do Samodzielnego Stanowiska ds. Ochrony Danych.

3. Korespondencję przesłaną na adresy poczty elektronicznej: info@mrpips.gov.pl Wydział ds. Obywatelskich w Biurze Ministra przekazuje do Samodzielnego Stanowiska ds. Ochrony Danych.

4. W przypadku korespondencji, o której mowa w ust. 2 i 3, IOD weryfikuje kompletność danych adresowych oraz informacji umożliwiających zidentyfikowanie komórki merytorycznej odpowiadającej za przetwarzanie tych danych.

5. W przypadku braku wystarczających informacji umożliwiających zidentyfikowanie komórki merytorycznej, do której powinien być przekazany wniosek, IOD występuje do obywatela o uszczegółowienie informacji.

6. IOD przekazuje korespondencję do właściwej komórki, która jest zobowiązana do zrealizowania wniosku. W przypadku braku możliwości jego realizacji informację o przyczynach braku realizacji komórka merytoryczna właściwa do obsługi wniosku przesyła obywatelowi oraz IOD.

7. W przypadku gdy korespondencja, której treść wskazuje na wniosek obywatela w zakresie przysługujących mu praw związanych z ochroną danych osobowych, została przesłana bezpośrednio do komórki organizacyjnej Ministerstwa, komórka ta jest zobowiązana do niezwłocznego przekazania wniosku do Samodzielnego Stanowiska ds. Ochrony Danych Osobowych.

8. Komórka właściwa w sprawie rozpatrzenia wniosku, o którym mowa w ust. 1, informuje osobę, której wniosek dotyczy, oraz IOD o sposobie załatwienia wniosku.

9. Skargi i wnioski realizowane na podstawie Kodeksu postępowania administracyjnego obsługiwane są zgodnie z odrębną procedurą obowiązującą w Ministerstwie. W przypadku pierwszego kontaktu z Ministerstwem do każdej korespondencji dołącza się stosowną klauzulę informacyjną.

Prawa obywateli, których dane są przetwarzane w Ministerstwie, wymagające wniosku

Rozdział I

1. Obywatel, którego dane dotyczą, jest uprawniony do uzyskania potwierdzenia, czy w Ministerstwie przetwarzane są jego dane osobowe. Jeżeli ma to miejsce, jest uprawniony do uzyskania dostępu do nich oraz pozyskania następujących informacji:

1) w jakim celu są przetwarzane jego dane osobowe;

2) jakich kategorii danych osobowych dotyczy przetwarzanie;

3) o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

4) o planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu;

5) o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

6) o prawie wniesienia skargi do organu nadzorczego;

7) o źródle danych, jeżeli nie zostały zebrane od osoby, której dotyczą.

2. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, obywatel, którego dane dotyczą, ma prawo zostać poinformowany o odpowiednich zabezpieczeniach związanych z przekazaniem.

3. Jeżeli obywatel, którego dane dotyczą, zwróci się z wnioskiem o dostarczenie kopii jego danych osobowych podlegających przetwarzaniu, żądanie takie realizuje się bezpłatnie. Za wszelkie kolejne kopie, o które zwróci się ten obywatel, można pobrać opłatę. Opłata powinna obejmować jedynie faktyczne koszty sporządzenia kopii, tj. koszt papieru, koszty kserowania. Cennik może być ustalony odrębnie dla każdej komórki organizacyjnej lub sporządzony dla całego Ministerstwa przez Biuro Administracyjne.

4. Jeżeli obywatel, którego dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się drogą elektroniczną po jednoznacznej weryfikacji tożsamości osoby, np. podaniu daty urodzenia, podaniu innej informacji, która była podana we wcześniejszej korespondencji, a co do której można mieć pewność, że będzie ją posiadać jedynie obywatel, którego dane dotyczą.

5. Kopię danych, o której mowa w ust. 3, wydaje się w postaci wydruku po ich przepisaniu lub skopiowaniu do ustrukturyzowanego powszechnie używanego formatu nadającego się do odczytu maszynowego. Nie wydaje się skanów dokumentów ani ich kserokopii, gdyż mogą zawierać dodatkowe dane niedotyczące osoby występującej z wnioskiem.

6. Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych.

Rozdział II

Prawo do sprostowania danych

1. Obywatel, którego dane dotyczą, ma prawo żądania niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.

2. Ponadto obywatel, którego dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

3. Wniosek o sprostowanie lub uzupełnienie danych przekazywany jest w formie pisemnej lub drogą elektroniczną na adres Ministerstwa. Pracownik, który w ramach wykonywanych zadań przetwarza dane osoby wnioskującej, obowiązany jest dokonać weryfikacji przetwarzanych danych. Uzupełnienie danych następuje z uwzględnieniem celów przetwarzania.

4. Prawo do sprostowania danych nie znajduje zastosowania do danych osobowych, w odniesieniu do których tryb ich sprostowania lub uzupełnienia określają odrębne przepisy, np. procedura sprostowania błędów i omyłek zawartych w decyzji administracyjnej w trybie art. 113 Kodeksu postępowania administracyjnego

Rozdział III

Prawo do żądania usunięcia danych

1. Obywatel, którego dane dotyczą, ma prawo żądania od Ministra niezwłocznego usunięcia dotyczących go danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

2) obywatel, którego dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;

3) dane osobowe były przetwarzane niezgodnie z prawem;

4) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii Europejskiej lub prawie państwa członkowskiego, któremu podlega administrator.

2. Jeżeli dane osobowe zostały upublicznione, a na mocy ust. 1 istnieje obowiązek usunięcia tych danych osobowych, to (biorąc pod uwagę dostępną technologię i koszt realizacji) podejmuje się niezbędne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, że obywatel, którego dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

3. Przepisy ust. 1 i 2 nie mają zastosowania w zakresie, w jakim przetwarzanie jest niezbędne:

1) do korzystania z prawa do wolności wypowiedzi i informacji lub

2) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii Europejskiej lub prawa państwa członkowskiego, któremu podlega Minister, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, lub

3) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania, lub

4) do ustalenia, dochodzenia lub obrony roszczeń.

Rozdział IV

Prawo do żądania ograniczenia przetwarzania

1. Obywatel, którego dane dotyczą, ma prawo żądania ograniczenia przetwarzania jego danych osobowych.

2. Ograniczenie przetwarzania oznacza, że dane osobowe można jedynie przechowywać. Inne formy przetwarzania mogą mieć miejsce wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego.

3. Do ograniczenia może dojść w następujących przypadkach:

1) obywatel, którego dane dotyczą, kwestionuje prawidłowość danych osobowych; w tym przypadku ogranicza się przetwarzanie na okres pozwalający sprawdzić prawidłowość danych;

2) przetwarzanie jest niezgodne z prawem, a obywatel, którego dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

3) Minister nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

4) obywatel, którego dane dotyczą, wobec przetwarzania wniosła sprzeciw. W tym przypadku ogranicza się przetwarzanie do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu.

4. Ograniczenia przetwarzania dokonuje się poprzez odpowiednie oznaczenie danych osobowych, których dotyczy żądanie, przetwarzanych zarówno w formie tradycyjnej, jak i elektronicznej, tak aby każdy obywatel, który jest upoważniony do przetwarzania tych danych był świadomy że dane te można jedynie przechowywać.

5. Przed uchyleniem ograniczenia przetwarzania informuje się o tym osobę, która żądała ograniczenia.

Rozdział V

Prawo do przeniesienia danych

1. Jeżeli przetwarzanie odbywa się na podstawie umowy, której stroną jest obywatel, którego dane dotyczą, oraz w sposób zautomatyzowany, obywatel ten ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe go dotyczące. Dotyczy to danych, które obywatel składający żądanie wcześniej dostarczył.

2. Wykonując prawo do przenoszenia danych na mocy ust. 1, obywatel, którego dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez Ministerstwo bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe i obywatel wykaże, że administrator, któremu mają zostać dane przekazane akceptuje taki sposób pozyskania danych.

3. Prawo, o którym mowa w ust. 1, nie może niekorzystnie wpływać na prawa i wolności innych.

4. Wykonanie prawa, o którym mowa w ust. 1, pozostaje bez uszczerbku dla prawa do usunięcia danych.

5. Prawo to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Rozdział VI

Prawo do wniesienia sprzeciwu wobec przetwarzania danych

1. Jeżeli przetwarzanie oparte jest na przesłance wykonania zadania realizowanego w interesie publicznym, jakim jest między innymi dostęp do informacji publicznej, w tym umieszczanie danych w Biuletynie Informacji Publicznej, obywatel, którego dane dotyczą z przyczyn związanych z jego szczególną sytuacją, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących go danych osobowych.

2. Administratorowi nie wolno już przetwarzać danych osobowych, względem których wniesiono sprzeciw, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

3. W momencie złożenia sprzeciwu wobec przetwarzania administrator niezwłocznie ogranicza przetwarzanie i weryfikuje czy istnieją ważniejsze uzasadnione podstawy do przetwarzania niż interes osoby wnioskującej. Jeżeli administrator posiada podstawę prawną, o której mowa powyżej, informuje osobę wnioskującą o odmowie realizacji prawa wraz z uzasadnieniem decyzji. W przypadku gdy uzasadniona jest przesłanka do zrealizowania żądania postępuje się zgodnie z ust. 2.

Załącznik nr 9

WZÓR - ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH

Załącznik nr 10

Postępowanie w przypadku naruszenia ochrony danych osobowych

CEL PROCEDURY

Sprecyzowanie i wdrożenie w Ministerstwie jednolitej i przejrzystej procedury postępowania w przypadku naruszenia ochrony danych osobowych.

ODPOWIEDZIALNI ZA WYKONANIE PROCEDURY

1. IOD w zakresie:

1) oceny czy zgłoszenie stanowi naruszenie ochrony danych osobowych:

a) jeżeli tak - czy może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych i w związku z tym wymaga zgłoszenia organowi nadzorczemu,

b) czy zidentyfikowane naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co wiąże się z obowiązkiem zawiadomienia osób, których dane dotyczą;

2) dokumentowania spraw z zakresu naruszeń.

2. Pracownik BKA wyznaczony przez Dyrektora BKA:

1) ewentualne zgłaszanie naruszeń w imieniu administratora do UODO;

2) ewentualne informowanie osób, których dane dotyczą o wystąpieniu naruszenia,

3. Administrator systemu informatycznego (ASI) - w sytuacji gdy naruszenie dotyczy systemów informatycznych, współdziała z IOD.

4. Pracownicy - w zakresie zgłaszania podejrzenia naruszenia lub naruszenia danych osobowych.

POSTANOWIENIA OGÓLNE PROCEDURY

Procedura dotycząca postępowania w przypadku naruszeń ochrony danych osobowych realizowana jest w dwóch etapach:

1) wewnętrznym, którego celem jest ustalenie, czy zgłoszone zdarzenie jest naruszeniem oraz w jaki sposób zidentyfikowane zdarzenie wpłynie na ryzyko dla praw i wolności osób fizycznych;

2) zewnętrznym, którego celem jest zgłoszenie naruszenia ochrony danych osobowych do organu nadzorczego oraz poinformowanie osoby, której dane dotyczą, w przypadku gdy istnieje wysokie ryzyko dla praw i wolności osób fizycznych.

POSTANOWIENIA SZCZEGÓŁOWE PROCEDURY

ROZDZIAŁ I - ETAP WEWNĘTRZNY

1. Każdy pracownik, stażysta, wolontariusz, praktykant oraz osoba realizująca zadania na podstawie umowy cywilnoprawnej, którzy stwierdzili lub podejrzewają wystąpienie zdarzenia, które stanowi naruszenie ochrony danych osobowych, ma obowiązek zgłoszenia tego faktu na piśmie bezpośredniemu przełożonemu oraz na adres iodo@mrpips.gov.pl. W przypadku gdy zgłoszenie dotyczy systemów informatycznych stosowną informację należy przekazać również do Departamentu Informatyki, zgodnie z zasadami określonymi w Polityce Bezpieczeństwa Informacji.

2. Zgłoszenie zdarzenia mogącego być naruszeniem ochrony danych osobowych powinno zawierać:

1) opisanie symptomów naruszenia ochrony danych osobowych;

2) określenie sytuacji i czasu, w jakim stwierdzono naruszenie ochrony danych osobowych;

3) określenie wszelkich istotnych informacji mogących wskazywać na przyczynę naruszenia;

4) określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków podjętych po ujawnieniu zdarzeń.

3. Stwierdzenie naruszenia następuje w momencie, kiedy IOD ma wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, prowadzące do naruszenia bezpieczeństwa danych osobowych.

4. Jeżeli naruszenie ochrony danych osobowych dotyczy systemu informatycznego, ASI w porozumieniu z IOD podejmuje niezbędne działania zabezpieczające niezwłocznie po otrzymaniu informacji, o której mowa w ust. 3. Szczegółowe zasady w tym zakresie opisuje Polityka Bezpieczeństwa Informacji.

5. Jeżeli naruszenie ochrony danych nie dotyczy systemu informatycznego i ma związek z naruszeniem zabezpieczeń fizycznych, odpowiednie czynności zabezpieczające podejmuje IOD, tj.:

1) nakazuje przerwanie pracy, zwłaszcza w zakresie przetwarzania danych osobowych, do czasu powiadomienia o zaistniałej sytuacji Dyrektora Generalnego Ministerstwa;

2) działa w celu wyjaśnienie okoliczności zdarzenia;

3) przedstawia zalecenia w celu umożliwienia dalszego bezpiecznego przetwarzania danych.

6. Odmowa udzielenia wyjaśnień lub współpracy z IOD traktowana będzie jako naruszenie obowiązków pracowniczych.

7. Raport o naruszeniu danych osobowych opracowuje IOD według wzoru stanowiącego część niniejszej procedury. Raport przedstawiany jest Ministrowi. Raport o naruszeniu danych osobowych jest przechowywany w Samodzielnym Stanowisku Do Spraw Ochrony Danych Osobowych.

ROZDZIAŁ II - ETAP ZEWNĘTRZNY

1. W przypadku gdy naruszenie ochrony danych osobowych może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, musi być ono zgłoszone organowi nadzorczemu właściwemu zgodnie z art. 55 RODO bez zbędnej zwłoki, ale nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

2. W przypadku konieczności dokonania zgłoszenia naruszenia do organu nadzorczego pismo w tej sprawie przygotowuje pracownik BKA wyznaczony przez Dyrektora BKA. W zgłoszeniu takim należy w szczególności:

1) opisać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

2) wskazać imię i nazwisko oraz dane kontaktowe Inspektora Ochrony Danych;

3) opisać możliwe konsekwencje naruszenia ochrony danych osobowych;

4) opisać środki zastosowane lub proponowane w Ministerstwie w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

3. Jeżeli informacji, o których mowa w ust. 2, nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki w następujący sposób:

1) po dokonaniu pierwszego zgłoszenia można przekazywać na bieżąco organowi nadzorczemu aktualne informacje;

2) w przypadku uzyskania w toku dochodzenia dowodów na to, że opanowano zdarzenie, a w rzeczywistości żadne naruszenie nie miało miejsca, informację tę można dodać do informacji już przekazanych do organu nadzorczego, a następnie zarejestrować zaistniałe zdarzenie jako niestanowiące naruszenia ochrony danych osobowych.

4. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

5. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki zawiadamia się o tym osoby, których dane dotyczą.

6. Za realizację obowiązku wskazanego w ust. 5 odpowiada pracownik BKA wyznaczony przez Dyrektora BKA.

7. Zawiadomienie należy przygotować jasnym i prostym językiem.

8. Zawiadomienie, o którym mowa w ust. 5, nie jest wymagane, w następujących przypadkach:

1) w Ministerstwie wdrożono odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

2) w Ministerstwie zastosowano następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;

3) wymagałoby ono niewspółmiernie dużego wysiłku; w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

9. Należy wykazać przed organem nadzorczym, że został spełniony przynajmniej jeden z warunków wskazanych w ust. 8 w przypadku braku powiadomienia osób, których dane naruszono.

WZÓR - RAPORT O NARUSZENIU DANYCH OSOBOWYCH