Załącznik nr 10 do Polityki Bezpieczeństwa Ochrony Danych Osobowych w Przedszkolu nr 25 w Koninie BAJKA

Transkrypt

1 Załącznik nr 10 do Polityki Bezpieczeństwa Ochrony Danych Osobowych w Przedszkolu nr 25 w Koninie BAJKA PROCEDURA: POZYSKIWANIA WYMAGANYCH ZGÓD NA PRZETWARZANIE DANYCH, REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ, ORAZ REALIZACJI OBOWIĄZKU INFORMACYJNEGO 1. CZĘŚĆ WSTĘPNA 1.1. Pozyskiwanie zgód Administrator danych przetwarza dane tylko w oparciu o podstawy prawne określone w art. 6 Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). W przypadkach, w których brak innych podstaw przetwarzania danych a ich przetwarzanie jest konieczne w celu sprawnego funkcjonowania Przedszkola, Administrator zwraca się do podmiotów danych (m.in. rodziców lub opiekunów prawnych dzieci) o wyrażenie dobrowolnej zgody na przetwarzanie danych osobowych w tym danych osobowych dzieci. Administrator pozyskuje i przechowuje zgody w formie pisemnych oświadczeń stanowiących załączniki nr 1 i Zapewnienie Administrator danych (ADO) weryfikuje i zapewnia możliwość efektywnego wykonania praw podmioty danych ich uprawnień, zapewniając jednocześnie odpowiednie warunki, aby prawa podmiotu były realizowane terminowo, w sposób wymagany przez rodo oraz dokumentowane Transparentność ADO ma obowiązek podejmować odpowiednie środki aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem w szczególności gdy informacje są kierowane do dziecka udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 rodo, oraz prowadzić z nią wszelką komunikację na mocy art i 34 w sprawie przetwarzania dotyczących jej danych osobowych. ADO realizuje w/w obowiązek komunikacyjny miedzy innymi poprzez udostępnianie podmiotom danych pisemnych informacji na temat zasad przetwarzania danych osobowych w przedsiębiorstwie ADO oraz uprawnień podmiotów danych i sposobów ich realizacji, stanowiących załączniki 3, 4 i Ułatwianie realizacji praw ADO będzie ułatwiać podmiotowi danych realizację ich praw wskazanych w art rodo. Przyjmuje się następujące sposoby przekazywania informacji służące ułatwianiu zgłaszania żądań z art rodo a także wniosków o wycofanie zgody:

2 Komunikacja z ADO odbywa się za pośrednictwem tradycyjnej korespondencji, lub w siedzibie ADO. Jednak w przypadku stosowania przez Podmiot danych innych dostępnych kanałów komunikacji, ADO realizuje złożone za ich pośrednictwem żądania o ile zostały skutecznie zakomunikowane ADO. W celu ułatwienia Podmiotom danych realizacji praw dotyczących ich danych osobowych ADO udostępnia Formularz Rozporządzania Danymi Osobowymi, stanowiący załącznik nr Odnotowywanie zgłoszeń W ramach zgłoszonych żądań i odpowiedzi ADO (lub upoważniony pracownik) będzie odnotowywać m.in. wpływ żądania (kto, kiedy i jakiej treści i w jaki sposób) i udzielenia odpowiedzi na żądanie (kto, kiedy i jakiej treści, w jaki sposób) a także sposób spełnienia obowiązku (np. usunięcie danych) wskazując przy tym termin realizacji prawa podmiotu. Wzór rejestru realizacji praw stanowi Załącznik nr Role w ramach realizacji praw: Każdy pracownik do którego mogłoby trafić żądanie w ramach prawa podmiotu jest zobowiązany do niezwłocznego poinformowania o tym ADO i przekazania mu treści żądania. ADO ocenia komunikat pod kątem zgodności z przepisami rodo. ADO ostatecznie decyduje o tym czy pozytywnie zrealizować żądanie (np. usunięcia danych); 1.6. Schemat postępowania Po otrzymaniu żądania ADO rejestruje żądanie w ewidencji praw podmiotów: a) weryfikuje rodzaj żądania i w razie wątpliwości prosi osobę, żądającą o podanie dodatkowych informacji umożliwiających sprecyzowanie żądania; b) ustala w ramach jakiej kategorii podmiotów (np. kandydaci do pracy, pracownicy, byli pracownicy, klienci, rodzina klienta) należy identyfikować zgłaszającego; Na tej podstawie należy określić: c) w ramach, których procesów przetwarzania danych (wskazanych w rejestrze czynności) dane zgłaszającego (tej kategorii podmiotów) mogą być przetwarzane (może to być jeden lub więcej procesów przetwarzania danych), d) (na podstawie rejestru czynności) jaki zakres danych jest istotny z punktu widzenia identyfikacji danych osoby zgłaszającej żądanie (odszukania tych danych i przypisania do wyodrębnionej osoby) oraz weryfikacji tożsamości osoby żądającej. W następnej kolejności należy: e) sprawdzić, czy żądanie jest możliwe do zrealizowania oraz czy nie zachodzą przesłanki wyłączające możliwość realizacji żądania, ewentualnie przesłanki pobrania opłaty (w tym zakresie należy uwzględnić wymogi wskazane w części 2 poniżej opisującej poszczególne żądania); f) zweryfikować czas oraz środki potrzebne na realizację żądania a także kto będzie odpowiedzialny za techniczną obsługę żądania oraz podjęcia decyzji o sposobie realizacji żądania;

3 g) jeżeli żądanie jest zasadne należy przekazać odpowiedź podmiotowi, który wniósł żądanie, wskazując sposób realizacji żądania, w terminie wskazanym powyżej. h) odnotować sposób realizacji żądania ewidencji praw podmiotów Sposób komunikacji Należy uwzględnić, iż Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach elektronicznie. Dotyczy to zarówno budowy standardowego komunikatu (art rodo) jak i w ramach realizacji zindywidualizowanych żądań (art rodo) oraz wniosków o wycofanie zgody. Ustne przekazywanie informacji należy uznać za wyjątek (jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą). Ustne udzielenie informacji powinno zostać odnotowane w celu zapewnienia rozliczalności Sposób udzielenia odpowiedzi Odpowiadając na żądanie należy uwzględnić sposób zgłoszenia żądania. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną (art. 15 ust. 3 rodo) Współpraca z innymi podmiotami W przypadku powierzenia danych przez ADO procesor powinien wspomóc ADO w realizacji praw podmiotu. Służyć temu ma weryfikacja procesora zgodnie z 28 rodo Termin realizacji żądań Termin realizacji praw podmiotu jest zróżnicowany w zależności od kategorii obowiązków wobec niego. Obowiązki informacyjne wskazane w art. 13 rodo (zbieranie danych bezpośrednio od pomiotu) - obowiązek informacyjny należy spełnić podczas pozyskiwania danych osobowych Realizacja praw a opłata Realizacja Praw jest co do zasady wolna od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może: pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo odmówić podjęcia działań w związku z żądaniem. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze Dodatkowe informacje

4 Żądania podmiotów danych należy rozpoznawać w sposób najbardziej korzystny dla podmiotów danych a w razie uzasadnionych wątpliwości należy uzyskać dodatkowe informacje (np. czy żądanie przeniesienia danych dotyczy także usunięcia danych). 2. OPIS PRAW PODMIOTÓW DANYCH 2.1. Prawo dostępu do danych Prawo dostępu do danych obejmuje możliwość: uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące; uzyskania katalogu informacji (art. 15 ust. 1 lit. a-h rodo); uzyskania informacji o zabezpieczeniach w przypadku przekazywania danych do państwa trzeciego (art. 15 ust. 2 rodo). Podmiot danych ma także prawo do uzyskania kopii danych. Prawo dostępu do danych obejmuje wszystkie dane które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, łącznie z danymi zaobserwowanymi i wywnioskowanymi na jej temat. Należy weryfikować zawsze czy prawo do uzyskania kopii nie może niekorzystnie wpływać na prawa i wolności innych. Prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji. Jeżeli ADO będzie przetwarzać duże ilości informacji o osobie, której dane dotyczą, powinien on mieć możliwość zażądania, przed podaniem informacji, by osoba, której dane dotyczą, sprecyzowała informacje lub czynności przetwarzania, których dotyczy jej żądanie (motyw 63 rodo). Jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny (motyw 61 rodo). Należy pamiętać, że osoba, której dane dotyczą, może żądać realizacji wszystkich przysługujących jej praw także w odniesieniu do danych zarchiwizowanych już przez administratora. Mogą być one realizowane przez podmiot danych zarówno osobiście, jak i przez jego przedstawiciela ustawowego czy pełnomocnika Prawo sprostowania danych Rodo dopuszcza dwie formy sprostowania danych: sprostowanie rozumiane jako poprawienie nieprawidłowych danych (art. 16 zd. 1 rodo) oraz sprostowanie rozumiane jako uzupełnienie niekompletnych danych, a więc przedstawienie dodatkowych informacji (art. 16 zd. 2 rodo). Uzupełnienie danych nie może obejmować danych, które byłyby nadmierne, tj. takich, które nie spełniałyby wskazanej wyżej przesłanki niezbędności (np. podmiot danych nie może żądać od internetowego sklepu z butami uzupełnienia danych przetwarzanych na potrzeby wysyłki korespondencji handlowej o dane dotyczące jego

5 stanu zdrowia) stanowiłoby to naruszenie zasady minimalizacji danych. Przedmiotem uzupełnienia nie mogą być też dane, które są nieprawidłowe. Należy weryfikować czy realizacja prawa z art. 16 rodo nie naruszy innych zasad wskazanych w art. 5 rodo. ADO ma obowiązek poinformować o sprostowaniu danych osobowych, którego dokonał w ramach żądania podmiotu danych, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Ujawnienia danych należy rozumieć szeroko, jako jakąkolwiek możliwość zapoznania się z danymi osobowymi. ADO ma obowiązek informować osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda. W związku z czym: należy określić i udokumentować krąg odbiorców danych. należy zidentyfikować i udokumentować możliwość informowania odbiorców danych o sprostowaniu danych. należy określić i udokumentować sposób informowania odbiorców danych o sprostowaniu danych. należy określić i udokumentować sposób informowania na żądanie podmiotu danych o odbiorcach Prawo do bycia zapomnianym Żądanie usunięcia danych należy wnikliwie analizować pod kątem aktualności przesłanek wyłączających możliwość usunięcia danych. ADO nie ma obowiązku usuwać danych jeżeli jest to niezbędne: do korzystania z prawa do wolności wypowiedzi i informacji; do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa UE lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3 rodo; do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 rodo, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub do ustalenia, dochodzenia lub obrony roszczeń. Analizując podstawy odmowy żądania usunięcia danych należy odwołać się do rejestru czynności i opisanych w nim celów przetwarzania danych. Należy określić techniczną możliwość usunięcia danych w razie uzasadnionego żądania usunięcia danych osobowych. Dotyczy to zarówno pojedynczych danych jak i całych zbiorów.

6 Należy zidentyfikować powiązania pomiędzy bazami danych, które może uniemożliwić usuwanie danych osobowych. Samo rozproszenie danych pomiędzy różnymi bazami czy systemami nie wyklucza możliwości żądania usunięcia wszystkich danych. Jeżeli ADO upublicznił dane osobowe (np. na stronie www), a ma obowiązek usunąć te dane osobowe, to biorąc pod uwagę dostępną technologię i koszt realizacji obowiązany jest podjąć rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Należy informować podmioty żądające usunięcia jeżeli usunięcie danych może utrudnić realizację innych praw. ADO ma obowiązek poinformować o usunięciu danych osobowych, którego dokonał w ramach żądania podmiotu danych, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Ujawnienia danych należy rozumieć szeroko, jako jakąkolwiek możliwość zapoznania się z danymi osobowymi. ADO ma obowiązek informować osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda. W związku z czym: należy określić i udokumentować krąg odbiorców danych. należy zidentyfikować i udokumentować możliwość informowania odbiorców danych o usunięciu danych. należy określić i udokumentować sposób informowania odbiorców danych o usunięciu danych. należy określić i udokumentować sposób informowania na żądanie podmiotu danych o odbiorcach Prawo do ograniczenia przetwarzania Należy przesądzić w jaki techniczny sposób realizowane będzie prawo do ograniczenia przetwarzania. Wśród metod pozwalających ograniczyć przetwarzanie danych osobowych mogą się znaleźć między innymi: czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do wybranych danych, lub czasowe usunięcie opublikowanych danych ze strony internetowej. W związku z powyższym należy wprowadzić mechanizm kontroli usuwania danych oznaczonych jako przetwarzanie ograniczone. Podmiot danych może więc w każdym czasie cofnąć żądanie ograniczenia przetwarzania danych. W takim przypadku dochodzi do uchylenia ograniczenia i wznowienia przetwarzania danych osobowych w pełnym zakresie. Fakt ograniczenia przetwarzania danych osobowych należy wyraźnie zaznaczyć w systemie (jeżeli dane osobowe są przetwarzane w systemie). Jeżeli przetwarzanie zostanie ograniczone dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w

7 celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego. przed uchyleniem ograniczenia przetwarzania informuje się o tym osobę, której dane dotyczą, która żądała ograniczenia przetwarzania. ADO informuje o ograniczeniu przetwarzania danych osobowych, którego dokonał w ramach żądania podmiotu danych, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Ujawnienia danych należy rozumieć szeroko, jako jakąkolwiek możliwość zapoznania się z danymi osobowymi. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda. W związku z czym: Należy określić i udokumentować krąg odbiorców danych. Należy zidentyfikować i udokumentować możliwość informowania odbiorców danych o ograniczeniu przetwarzania danych. Należy określić i udokumentować sposób informowania odbiorców danych o ograniczeniu przetwarzania danych. Należy określić i udokumentować sposób informowania na żądanie podmiotu danych o odbiorcach Prawo do przenoszenia danych Należy określić czy będzie miało zastosowanie prawo do przenoszenia danych osobowych. Należy pamiętać, że prawo do przenoszenia danych przysługuje wyłącznie gdy dane osobowe są przetwarzane w sposób zautomatyzowany w celu zawarcia lub realizacji umowy (dane strony umowy) lub na podstawie zgody. Należy wprowadzić mechanizmy ułatwiania przenoszalności danych. Należy określić format danych i sposób przekazywania danych osobowych podlegający przenoszeniu spełniający wymogi rodo (np. CSV.) - ustrukturyzowany, powszechnie używany nadający się do odczytu maszynowego. Należy zdefiniować zakres danych dostarczonych ADO, które podlegać będą przekazaniu. Dane wywnioskowane i wywiedzione przez administratora z danych przekazanych przez podmiot danych nie wchodzą w zakres prawa do przenoszenia danych. Przykładem może być ocena zdolności kredytowej czy dane uzyskane poprzez profilowanie. Należy określić sposób przekazywania danych innemu administratorowi (osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe). Przed dokonaniem przeniesienia należy identyfikować ryzyka naruszenia praw i wolności innych w związku z realizacją prawa do przeniesienia danych (dotyczy zarówno administratora udostępniającego jak i odbiorcy). Prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa

8 autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji. Należy zapewnić bezpieczeństwo przenoszenia danych. Jeżeli administrator przetwarza duże ilości informacji o osobie, której dane dotyczą, powinien mieć możliwość zażądania, przed podaniem informacji, by osoba, której dane dotyczą, sprecyzowała informacje lub czynności przetwarzania, których dotyczy jej żądanie (motyw 63 odpowiednio). Należy określić czy i w jaki sposób administrator przyjmować będzie dane osobowe przenoszone przez innego administratora danych lub podmiot danych. W tym przypadku należy stworzyć mechanizm spełniania obowiązku informacyjnego (art. 14 ust. 3 rodo). Należy ustalić w jaki sposób w takiej sytuacji będzie realizowana zasada minimalizacji danych. W następstwie realizacji prawa do przenoszenia danych należy weryfikować podstawę prawną dalszego przetwarzania danych. Samo w sobie przeniesienie nie wymaga usunięcia danych Prawo do sprzeciwu Po zgłoszeniu żądania sprzeciwu należy weryfikować możliwość i zakres dalszego przetwarzania danych. Jeżeli sprzeciw zgłoszono skutecznie i brak podstawy przetwarzania danych, dane osobowe należy usunąć w zakresie w jakim brak tej podstawy (możliwe będzie pozostawienie danych osobowych w zakresie w jakim będzie to niezbędne do obrony przed roszczeniami). Do czasu rozpatrzenia sprzeciwu nawet jeżeli nie zgłoszono żądania ograniczenia przetwarzania należy rozważyć taką możliwość i konieczność. Sprzeciwie należy poinformować odrębnie (najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, którym mowa w art. 21 ust. 1 i 2 rodo, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji) Prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (art. 22 rodo) Należy weryfikować czy znajdą zastosowanie przesłanki legalizujące prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Należy przesądzić konieczność i wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. Zautomatyzowane podejmowanie decyzji nie może w zasadzie być skierowane względem dzieci (zob. motyw 71 rodo). Co do zasady należy także wykluczyć profilowanie skierowane względem dzieci niezależnie czy jest elementem zautomatyzowanego podejmowania decyzji.

9 Załączniki: 1. Zgoda na rozpowszechnianie wizerunku dziecka lub rodzica/opiekuna prawnego, 2. Upoważnienie do odbierania dziecka z przedszkola, 3. Klauzula informacyjna dla rodziców/opiekunów prawnych, 4. Klauzula informacyjna dla pracowników. 5. Klauzula informacyjna dla kandydatów do pracy. 6. Formularz Rozporządzania Danymi Osobowymi. 7. Wzór rejestru realizacji praw.