
im. Janusza Korczaka
w Knurowie
RODO
POLITYKA OCHRONY DANYCH OSOBOWYCH
- Polityka Ochrony Danych Osobowych służy ustaleniu wymogów, zasad i regulacji dotyczących ochrony danych osobowych w Miejskim Przedszkolu nr 12 im. Janusza Korczaka w Knurowie.
- Polityka jest polityką ochrony danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
- Terminologia:
- Polityka – oznacza niniejszą Politykę Ochrony Danych Osobowych;
- RODO lub Rozporządzenie – oznacza Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
- MP12 – oznacza Miejskie Przedszkole nr 12 w Knurowie;
- Podmiot przetwarzający – oznacza osobę lub podmiot, któremu MP12 powierzyło przetwarzanie danych osobowych;
- Osoba – oznacza osobę, której dane dotyczą, chyba że co innego wynika wyraźnie z kontekstu;
- IOD lub Inspektor – oznacza Inspektora Ochrony Danych Osobowych;
- RCPD lub Rejestr – oznacza Rejestr Czynności Przetwarzania Danych Osobowych.
- W MP12 realizowane są zasady ochrony danych osobowych wynikające z RODO, w tym:
- legalność – MP12 dba o ochronę prywatności i przetwarza dane osobowe zgodnie z prawem;
- bezpieczeństwo – MP12 zapewnia odpowiedni poziom bezpieczeństwa danych, podejmując stale działania w tym zakresie;
- prawa jednostki – MP12 umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje;
- rozliczalność – MP12 dokumentuje to, w jaki sposób spełnia obowiązki z zakresie ochrony danych, aby w każdej chwili móc wykazać zgodność z obowiązującymi przepisami.
- MP12 przetwarza dane osobowe z poszanowaniem następujących zasad:
- w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
- rzetelnie (rzetelność);
- w sposób przejrzysty dla osoby, której danej dotyczą (transparentność);
- w konkretnych i wyraźnych celach (ograniczenie celu);
- w zakresie nie większym, niż niezbędny (minimalizacja);
- z dbałością o prawidłowość danych (prawidłowość);
- nie dłużej, niż jest to niezbędne (ograniczenie przechowywania);
- zapewniając odpowiednie bezpieczeństwo danych (integralność i poufność).
- System ochrony danych osobowych w MP12 składa się z następujących elementów:
- Inwentaryzacja danych – MP12 dokonuje identyfikacji zasobów danych osobowych i sposobów ich wykorzystania;
- Rejestr – MP12 opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych Osobowych w MP12;
- Podstawy prawne – MP12 zapewnia, identyfikuje i weryfikuje podstawy prawne przetwarzania danych osobowych i rejestruje je w Rejestrze;
- Obsługa praw jednostki – MP12 spełnia obowiązki informacyjne wobec osób, których dane przetwarza oraz zapewnia obsługę ich praw;
- Bezpieczeństwo – MP12 zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
- przeprowadza analizy ryzyka dla czynności przetwarzania lub ich kategorii;
- przeprowadza oceny skutków dla ochrony danych;
- dostosowuje środki ochrony do ustalonego ryzyka;
- posiada system zarządzania bezpieczeństwem informacji;
- stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych ochrony danych Urzędowi Ochrony Danych Osobowych;
- Przetwarzający – MP12 posiada zasady doboru podmiotów przetwarzających dane osobowe na rzecz MP12, wymogi co do warunków przetwarzania (umowa powierzenia), zasady weryfikacji wykonywania umów powierzenia;
- Eksport danych – MP12 posiada zasady weryfikacji, czy MP12 nie przekazuje danych do państw trzecich (czyli poza Unię Europejską, Norwegię, Lichtenstein, Islandię) lub do organizacji międzynarodowych oraz zapewnienia zgodnych z prawem warunków takiego przekazywania.
- MP12 prowadzi Rejestr Czynności Przetwarzania Danych Osobowych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
- MP12 spełnia obowiązki informacyjne wobec osób, których dane osobowe są przetwarzane poprzez zamieszczenie odpowiednich informacji na stronie internetowej oraz tablicach informacyjnych oraz poprzez bezpośrednie przekazywanie odpowiednich informacji dotyczących przetwarzania danych.
- MP12 realizuje prawa osób, których dane są przetwarzane, w szczególności w zakresie:
- Dostępu do danych – na żądanie osoby dotyczące dostępu do jej danych, MP12 informuje tę osobę, czy przetwarza jej dane oraz informuje ją o szczegółach przetwarzania;
- Uzyskiwania kopii danych – na żądanie MP12 wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych; za wydanie kolejnych kopii danych MP12 może pobrać opłatę odpowiadającą kosztom obsługi żądania wydania kopii danych;
- Sprostowania danych – MP12 dokonuje sprostowania nieprawidłowych danych na żądanie osoby, której dane dotyczą oraz na jej żądanie informuje ją o odbiorcach, którym ujawniono jej dane osobowe;
- Uzupełnienia danych – MP12 na żądanie osoby, której dane dotyczą, uzupełnia jej dane osobowe; MP12 ma prawo odmówić uzupełnienia danych, jeżeli byłoby ono niezgodne z celami przetwarzania, w szczególności gdy przetwarzanie tych danych nie jest niezbędne;
- Usunięcia danych – osoba, które dane dotyczą ma prawo żądania usunięcia jej danych, a MP12, o ile nie zachodzi wyjątek, o którym mowa w art. 17 ust. 3 RODO, jest zobowiązane do ich usunięcia, gdy:
- dane nie są niezbędne do celów, do której zostały zebrane ani przetwarzane w innych zgodnych z prawem celach;
- zgoda na przetwarzanie danych została cofnięcia, a nie ma innej podstawy przetwarzania danych;
- osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych;
- dane były przetwarzane niezgodnie z prawem;
- konieczność usunięcia danych wynika z obowiązku prawnego;
- żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku.
MP12 na żądanie osoby informuje ją o odbiorcach, którym ujawniono jej dane osobowe.
- Ograniczenia przetwarzania danych – osoba ma prawo żądania od MP12 ograniczenia przetwarzania danych, gdy:
- kwestionuje prawidłowość danych osobowych – na okres pozwalający sprawdzić ich prawidłowość;
- przetwarzanie danych jest niezgodne z prawem, a osoba, której dane dotyczą sprzeciwia się usunięciu tych danych, żądając w zamian ograniczenia ich wykorzystywania;
- MP12 nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
- Osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia czy po stronie MP12 zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
W trakcie ograniczenia przetwarzania danych, MP12 przechowuje dane, natomiast nie przetwarza ich w inny sposób (nie przekazuje, nie wykorzystuje) bez zgody osoby, której dane dotyczą, chyba że działa w celu ustalenia, dochodzenia lub obrony roszczeń lub w celu ochrony praw innej osoby fizycznej lub prawnej, z uwagi na ważne względy interesu publicznego.
Przed uchyleniem ograniczenia przetwarzania, MP12 informuje o tym osobę, której dane dotyczą.
MP12 na żądanie osoby informuje ją o odbiorcach, którym ujawniono jej dane osobowe.
- Przenoszenia danych – jeżeli przetwarzanie danych odbywa się na podstawie zgody osoby lub na podstawie umowy w systemach informatycznych MP12, na żądanie tej osoby, MP12 wydaje jej w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, a jeżeli jest to techniczne możliwe, przesyła je na żądanie osoby bezpośrednio innemu podmiotowi.
- Sprzeciwu – osoba może zgłosić umotywowany jej szczególną sytuacją sprzeciw wobec przetwarzania jej danych, jeżeli dane przetwarzane są w oparciu o powierzone MP12 zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. e) RODO). MP12 uwzględni sprzeciw, o ile nie zachodzą po stronie MP12 ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, zgłaszającej sprzeciw lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
- MP12 dba o minimalizację przetwarzania danych pod kątem:
- Minimalizacji zakresu – MP112 weryfikuje zakres pozyskiwanych danych pod kątem adekwatności do celów przetwarzania oraz dokonuje ich okresowego przeglądu nie rzadziej niż raz na rok;
- Minimalizacja dostępu – MP12 stosuje ograniczenia dostępu do danych osobowych
- Prawne – zobowiązania do poufności, zakresy upoważnień;
- Fizyczne – strefy dostępu, zamykanie pomieszczeń.
Szczegółowe zasady kontroli dostępu określone są w Polityce Bezpieczeństwa MP12.
- Minimalizacja czasu – MP12 wdraża mechanizmy kontroli okresu przechowywania danych osobowych oraz stosuje procedury archiwizacji danych.
- MP12 zapewnia stopień bezpieczeństwa danych odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez MP12, w szczególności poprzez:
- Przeprowadzanie i dokumentowanie analizy ryzyka i adekwatności środków bezpieczeństwa;
- Dokonywanie oceny skutków planowanych operacji przetwarzania danych;
- Stosowanie środków bezpieczeństwa ustalonych w ramach analizy ryzyka i adekwatności środków bezpieczeństwa;
- Stosowanie procedur pozwalających na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych osobowych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia.
- MP12 posiada i stosuje zasady doboru i weryfikacji podmiotów przetwarzających dane osobowe na rzecz MP12 opracowane, aby przetwarzający dawali gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków w zakresie ochrony danych osobowych spoczywających na MP12.
- MP12 rejestruje w Rejestrze przypadki eksportu danych, czyli przekazywania ich poza Europejski Obszar Gospodarczy.
- MP12 zarządza zmianą mającą wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizację ich przetwarzania.