Zmiana uchwały w sprawie Polityki Ochrony Danych Osobowych Krajowej Izby Radców Prawnych.
Akty korporacyjne
Radc.2021.5.31
Akt nieoceniany Wersja od: 31 maja 2021 r.
UCHWAŁA Nr 214/XI/2021
PREZYDIUM KRAJOWEJ RADY RADCÓW PRAWNYCH
z dnia 31 maja 2021 r.
zmieniająca uchwałę w sprawie Polityki Ochrony Danych Osobowych Krajowej Izby Radców Prawnych
Na podstawie art. 24 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1) oraz art. 59 ust. 4 ustawy z dnia 6 lipca 1982 r. o radcach prawnych (Dz. U. z 2020 poz. 75 oraz 2320) uchwala się, co następuje:
§ 1.
W uchwale Nr 254/X/208 Prezydium Krajowej Rady Radców Prawnych z dnia 17 maja 2018 r. w sprawie Polityki Ochrony Danych Osobowych Krajowej Izby Radców Prawnych załącznik otrzymuje brzmienie określone w załączniku do niniejszej uchwały.§ 2.
Uchwała wchodzi w życie z dniem podjęcia.ZAŁĄCZNIK
Polityka Ochrony Danych Osobowych
Krajowej Izby Radców Prawnych
Polityka Ochrony Danych Osobowych
Krajowej Izby Radców Prawnych
SPIS TREŚCI:
§ 1. Wprowadzenie
§ 2. Definicje
§ 3. Cel
§ 4. Zakres stosowania
§ 5. Organizacja ochrony danych oraz odpowiedzialność
§ 6. Nadzór nad bezpieczeństwem przetwarzania, Inspektor Ochrony Danych
§ 7. Przetwarzanie danych osobowych
§ 8. Rejestrowanie czynności przetwarzania
§ 9. Zasady dopuszczania osób do przetwarzania danych osobowych
§ 10. Bezpieczeństwo przetwarzania
§ 11. Uwzględnienie ochrony danych w fazie projektowania oraz domyślna ochrona danych
§ 12. Podejście oparte na ryzyku i ocena skutków dla ochrony danych osobowych (data protection impact assesment)
§ 13. Konsultacje z organem nadzorczym
§ 14. Prawa osób, których dane dotyczą
Obowiązki informacyjne
Prawo do ograniczenia przetwarzania danych
§ 15. Postępowanie w przypadku naruszenia ochrony danych osobowych
Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu
Zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych
§ 16. Zasady powierzenia przetwarzania danych osobowych
§ 17. Zasady udostępnienia danych osobowych
§ 18. Przekazywanie danych do państw trzecich
§ 19. Przegląd polityki
§ 1.
Wprowadzenie1.
Krajowa Izba Radców Prawnych z siedzibą w Warszawie 00-478, al. Ujazdowskie 18 lok. 4, zwana dalej "KIRP", jako administrator danych osobowych, przykłada dużą wagę do ochrony danych osobowych oraz poszanowania prywatności osób, któiych dane są przetwarzane.2.
Charakter działania KIRP wymaga podejmowania działań ze szczególną starannością z uwzględnieniem indywidualnych interesów osób fizycznych, w szczególności pracowników, członków Samorządu Radców Prawnych, kontrahentów KIRP.3.
Niniejsza Polityka Ochrony Danych Osobowych, zwana dalej "Polityką" opisuje sposób zabezpieczenia przetwarzania danych osobowych w KIRP zgodnie z Rozporządzeniem Parlamentu Europej skiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej "RODO") oraz innymi przepisami prawa w zakresie ochrony danych osobowych (dalej "Przepisy ochrony danych").4.
KIRP, realizując Politykę, dokłada szczególnej staranności w celu przetwarzania danych zgodnie z obowiązującymi Przepisami ochrony danych oraz ochrony interesów osób, których dane dotyczą.5.
Ewidencje oraz rejestry określone niniejszym dokumentem mogą być prowadzone w sposób elektroniczny.§ 2.
Definicje1.
ADO, Administrator danych - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administrator danych jest odpowiedzialny za poprawne i zgodne z prawem przetwarzanie danych osobowych. KIRP jest w szczególności administratorem danych w związku z realizacją własnych zadań KIRP, inicjowanych samodzielnie przez KIRP (np. organizacja wydarzeń, świadczenie usług, przesyłanie wiadomości i zaproszeń), jak również jeśli obowiązek ich prowadzenia wynika bezpośrednio z przepisów prawa (np. dokumentacja pracownicza, finansowa, prowadzenie rejestrów).2.
ASI, Administrator systemu informatycznego - osoba wyznaczona przez ADO, odpowiedzialna za sprawność, konserwację oraz wdrażanie technicznych zabezpieczeń systemu informatycznego służącego do przetwarzania danych osobowych.3.
Bezpieczeństwo systemu informatycznego - wdrożenie przez ADO lub osobę przez niego uprawnioną środków organizacyjnych i technicznych w celu zabezpieczenia oraz ochrony danych przed dostępem, modyfikacją, ujawnieniem, pozyskaniem lub zniszczeniem.4.
Dane osobowe - informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; osobą możliwą do zidentyfikowania jest osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.5.
IOD, Inspektor Ochrony Danych - osoba wyznaczona przez Administratora danych, posiadająca stosowne kwalifikacje, a w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych, odpowiedzialna za utrzymanie i nadzór nad zachowaniem bezpieczeństwa przetwarzania danych, w tym wypełnienie obowiązków wynikających z art. 39 RODO, zgłoszona do Prezesa Urzędu Ochrony Danych Osobowych.6.
OOPP, Opiekun operacyjny Procesu przetwarzania - pracownik lub współpracownik KIRP realizujący główne lub wszystkie działania w ramach zdefiniowanego procesu przetwarzania.7.
Osoba upoważniona - osoba posiadająca upoważnienie wydane przez administratora danych (lub osobę uprawnioną przez niego) oraz dopuszczona do przetwarzania danych w zakresie określonym w upoważnieniu.8.
Powierzenie przetwarzania danych osobowych - zlecenie części lub całości procesu przetwarzania danych osobowych innemu podmiotowi, działającemu za zlecenie oraz w imieniu ADO, w drodze umowy.9.
Procesor, Podmiot przetwarzający - podmiot wykonujący działania na danych osobowych na zlecenie i w celu wyznaczonym przez Administratora danych.. KIRP może korzystać z podmiotów przetwarzających, jak również może występować jako podmiot przetwarzający, jeśli realizuje działania na rzecz innego podmiotu - administratora danych.10.
Proces przetwarzania - czynność lub zestaw czynności przetwarzania danych osobowych zmierzający do osiągnięcia zdefiniowanego przez KIRP celu.11.
Przetwarzanie danych osobowych - operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, w tym m.in. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.12.
Specjalista ds. ochrony danych - osoba wyznaczona przez Administratora danych odpowiedzialna za utrzymanie i nadzór nad zachowaniem bezpieczeństwa przetwarzania danych. W przypadku niewyznaczenia Inspektora Ochrony Danych, wszelkie obowiązki IOD wynikające z Polityki realizuje wyznaczony Specjalista ds. ochrony danych.13.
WPP, Właściciel procesu przetwarzania - osoba odpowiedzialna za całokształt przetwarzania danych w ramach wydzielonego, zdefiniowanego Procesu przetwarzania. Właścicielami procesów przetwarzania są w szczególności:a)
Prezes, wiceprezesi, Sekretarz i Skarbnik KRRP - w ramach zakresu obowiązków wyznaczonych uchwałą KRRP w sprawie ustalenia zakresu obowiązków członków Prezydium,b)
Osoby pełniące funkcję organu lub przewodniczący organów KIRP - w ramach działalności tych organów,c)
Kierownik Ośrodka Badań, Studiów i Legislacji KRRP - w ramach działalności Ośrodka Badań, Studiów i Legislacji KRRP.§ 3.
Cel1.
Celem Polityki jest ustanowienie procedur wewnętrznych mających za zadanie zapewnić odpowiedni, wysoki oraz spójny poziom bezpieczeństwa danych przetwarzanych przez Administratora danych w związku z prowadzoną działalnością.2.
Wskazany powyżej cel realizowany jest poprzez:2.1.
opis podstawowych praw i wolności osób, których dane dotyczą oraz określenie procesu realizacji wskazanych praw;2.2.
wskazanie ciążących na Administratorze danych obowiązków oraz opis procesów ich realizacji;2.3.
określenie zasad przetwarzania danych osobowych oraz warunków koniecznych do spełnienia przez podmioty przetwarzające dane z upoważnienia Administratora danych lub przetwarzające dane osobowe jako Procesorzy.§ 4.
Zakres stosowania1.
Politykę stosuje się w odniesieniu do wszelkich danych i informacji, dotyczących zidentyfikowanych, bądź możliwych do zidentyfikowania osób fizycznych przetwarzanych w związku z prowadzeniem działalności przez KłRP.2.
Politykę stosuje się niezależnie od formy przetwarzania danych. Postanowienia Polityki dotyczą przetwarzania danych w formie tradycyjnej (papierowej) oraz elektronicznej, w tym przetwarzanie danych w systemach o architekturze rozproszonej (cloud computing, edge computing oraz fogging).3.
Politykę stosuje się niezależnie od miejsca przetwarzania danych oraz wykorzystywanych w tym celu narzędzi.§ 5.
Organizacja ochrony danych oraz odpowiedzialność1.
KIRP jest odpowiedzialny za:a)
przetwarzanie danych zgodnie z obowiązującymi przepisami prawa, nie naruszając praw i wolności osób, których dane dotyczą,b)
określenie i wdrożenie odpowiednich środków technicznych i organizacyjnych zabezpieczających przetwarzanie i gwarantujących zgodność z prawem, przy uwzględnieniu charakteru, zakresu, kontekstu i celu przetwarzania danych jak również ryzyka naruszenia praw i wolności osób, których dane dotyczą,c)
wyznaczenie IOD, w przypadkach określonych w przepisach ochrony danych.2.
Każda osoba działająca z upoważnienia Administratora danych jest zobowiązana do:a)
przetwarzania danych wyłącznie na udokumentowane polecenie KIRP, zgodnie ze wskazanym przez KIRP zakresie oraz przy wykorzystaniu zaakceptowanych narzędzi i środków,b)
postępowania zgodnie z zasadami określonymi w Polityce i przepisami prawa powszechnie obowiązującego.3.
W celu zapewnienia nadzoru nad sprawnością systemu informatycznego KIRP może część lub całość czynności powierzyć ASI.4.
ASI jest odpowiedzialny za:a)
inicjowanie i podejmowanie działań w celu zapewnienia bezpieczeństwa i sprawności systemów przetwarzania informacji, w tym wdrożenie odpowiednich środków technicznych i organizacyjnych oraz opracowanie stosownej dokumentacji określającej sposób zarządzania bezpieczeństwem i sprawnością systemów;b)
opracowanie procedur dla działań związanych z korzystaniem z systemów przetwarzania lub przesyłania informacji przeznaczonych dla użytkowników;c)
rejestrację użytkowników w systemie informatycznym oraz nadawanie, modyfikacja i odbieranie wymaganych uprawnień na podstawie potwierdzonych wniosków przełożonych;d)
podejmowanie działań w przypadku naruszeń bezpieczeństwa systemu informatycznego w tym przywrócenie stanu prawidłowego, zidentyfikowanie przyczyn naruszenia i osób odpowiedzialnych oraz przedstawienie wniosków;e)
nadzór nad świadczeniem usług wsparcia systemów informatycznych przez podmioty zewnętrzne.5.
Właściciel procesu przetwarzania (WPP) jest odpowiedzialny za:a)
podejmowanie decyzji w sprawie przetwarzania danych w podległych mu Procesach przetwarzania,b)
zapewnienie przestrzegania zasad przetwarzania danych wynikających z przepisów prawa i Polityki.6.
Opiekun operacyjny procesu przetwarzania (00PP) jest odpowiedzialny za:a)
Monitorowanie pozostających w jego obszarze odpowiedzialności procesów przetwarzania danych oraz realizacja działań niezbędnych dla zapewnienia zgodności przetwarzania danych z przepisami prawa oraz ochrony praw osób, których dane dotyczą, pod nadzorem WPP oraz w porozumieniu z IOD,b)
konsultowanie z IOD wszelkich inicjatyw związanych z przetwarzaniem danych osobowych na wstępnym etapie ich projektowania,c)
zapewnienie dostępu IOD do wspieranych przez niego procesów przetwarzania oraz wykorzystywanych w nich danych, w szczególności poprzez angażowanie IOD w proces wstępnych konsultacji (uwzględnienia ochrony danych w fazie projektowania);d)
utrzymanie i aktualizację rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania w odniesieniu do czynności pozostających w jego obszarze odpowiedzialności, poprzez informowanie IOD o przebiegu lub planowanym przebiegu procesu oraz wszelkich czynnikach mających wpływ na bezpieczeństwo przetwarzania danych osobowych.§ 6.
Nadzór nad bezpieczeństwem przetwarzania, Inspektor Ochrony Danych1.
W celu prowadzenia nadzoru nad przetwarzaniem danych osobowych Administrator może wyznaczyć Inspektora Ochrony Danych lub Specjalistę ds. ochrony danych. Administrator danych wyznacza IOD, o ile zachodzą przesłanki wynikające z przepisów ochrony danych.2.
Jeśli Administrator danych wyznaczył IOD, publikuje on dane IOD w zakresie Imię, nazwisko oraz kontaktowy numer telefonu lub adres email. Informację o wyznaczeniu IOD Administrator danych przekazuje do organu nadzorczego.3.
Administrator danych zapewnia pełną niezależność IOD, między innymi poprzez:a)
zapewnienie odpowiednich zasobów umożliwiających wykonanie ciążących na IOD obowiązków;b)
zapewnienie dostępu do danych osobowych oraz procesów przetwarzania tych danych;c)
zapewnienie środków umożliwiających IOD stałe podnoszenie kwalifikacji, niezbędne do utrzymania jego fachowej wiedzy.4.
IOD podlega bezpośrednio Prezydium Krajowej Izby Radców Prawnych.5.
IOD odpowiedzialny jest za nadzór nad procesami przetwarzania danych oraz realizację zadań wynikających z art. 39 RODO.6.
Do zadań IOD należy:a)
identyfikowanie obowiązków wynikających z przepisów ochrony danych, w szczególności RODO, oraz informowanie o nich Administratora danych oraz osoby przetwarzające dane z upoważnienia Administratora danych;b)
monitorowanie przestrzegania RODO i innych przepisów ochrony danych oraz regulacji wewnętrznych Administratora danych, w szczególności Polityki;c)
realizacja działań mających na celu podnoszenie świadomości w obszarze ochrony danych;d)
realizacja procesu sprawdzeń w tym prowadzenia audytów wewnętrznych mających na celu zapewnienie możliwości wykazania przestrzegania wymogów przepisów ochrony danych oraz regulacji wewnętrznych Administratora danych;e)
sprawowanie nadzoru nad procesem oceny skutków dla ochrony danych oraz monitowanie wykonania wydanych zaleceń;f)
współpraca z organem nadzorczym, w tym realizacja procesu uprzednich konsultacji;g)
realizacja procesu wydawania upoważnień do przetwarzania danych w imieniu Administratora danych oraz prowadzenie rejestru osób upoważnionych.§ 7.
Przetwarzanie danych osobowych1.
KIRP jest Administratorem danych w związku z realizacją własnych zadań KIRP, inicjowanych samodzielnie przez KIRP (np. organizacja wydarzeń, świadczenie usług, przesyłanie wiadomości i zaproszeń), jak również jeśli obowiązek prowadzenia tych działań wynika bezpośrednio z przepisów prawa (np. dokumentacja pracownicza, finansowa, prowadzenie rejestrów). W przypadku podejmowania działań wykonywanych na rzecz i w imieniu innego podmiotu, KIRP może występować również jako Procesor.2.
Przetwarzanie danych osobowych przez KIRP dopuszczalne jest wyłącznie zgodnie z przepisami obowiązującego prawa.3.
Dane osobowe mogą być przetwarzane wyłącznie zgodnie z oznaczonym, zgodnym z prawem celem oraz wyłącznie w zakresie i czasie niezbędnym dla osiągnięcia tego celu.4.
W przypadku, gdy do przetwarzania danych konieczne jest uprzednie uzyskanie zgody osoby, której dane dotyczą, zgoda taka winna być:a)
dobrowolna - pozyskana w okolicznościach umożliwiających swobodne wyrażenie woli osoby ją składającej,b)
świadoma - osoba składająca oświadczenie powinna zostać poinformowana komu i w jakim celu przekazywane są dane oraz w jaki sposób będą one przetwarzane,c)
konkretna - treść zgody powinna wskazywać jednoznacznie, na co godzi się osoba ją składająca,d)
wyraźna - zgoda musi polegać na aktywnym działaniu osoby, która jej udziela,e)
uprzednia - pozyskana przed wprowadzeniem danych do systemu KIRP.5.
Dane osobowe muszą być przetwarzane zgodnie z ogólnymi zasadami przetwarzania danych osobowych określonych w art. 5 RODO, tj:a)
przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty (zasada legalności i przejrzystości)b)
zbierane dla konkretnych, wyraźnych i prawnie uzasadnionych celów i nieprzetwarzane dalej w sposób niezgodny z tymi celami (zasada ograniczenia celu),c)
adekwatne, stosowne oraz ograniczone do tego, co niezbędne, do celów, w których są przetwarzane (zasada minimalizacji danych),d)
prawidłowe i w razie potrzeby uaktualniane (zasada prawidłowości),e)
przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (zasada ograniczenia przetwarzania),f)
przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności).6.
KIRP podejmuje zasadne działania w celu zapewnienia prawidłowości przetwarzanych danych, a w razie konieczności ich uaktualnienia, usunięcia lub sprostowania w sytuacji ich nieprawidłowości w stosunku do celów przetwarzania.7.
W celu zapewnienia realizacji zasady ograniczonego przetwarzania, dane osobowe przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą przechowywane są przez okres nie dłuższy niż jest to niezbędne do realizacji celów przetwarzania, chyba że przetwarzanie odbywa się w celach archiwalnych, badań naukowych, historycznych lub dla celów statystycznych.8.
Dane osobowe przetwarzane są w sposób zapewniający odpowiednie bezpieczeństwo, w szczególności poprzez zabezpieczenie przed przetwarzaniem niezgodnym z prawem, przypadkową utratą, zniszczeniem lub uszkodzeniem, które rozumie się jako zapewnienie atrybutów integralności i poufności danych.9.
Bezpieczeństwo przetwarzania danych osobowych osiąga się w szczególności poprzez zastosowanie zasad:a)
poufności - zapewnienie, że informacja nie jest udostępniana lub ujawniana osobom, podmiotom lub procesom do tego nieuprawnionym;b)
integralności - zapewnienie, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany;c)
dostępności - zapewnienie, że informacja jest osiągalna i możliwa do wykorzystania na żądanie, w założonym czasie, przez osobę uprawnioną.§ 8.
Rejestrowanie czynności przetwarzania1.
KIRP prowadzi wymagane prawem rejestry dotyczące przetwarzania danych osobowych.2.
Rejestr czynności przetwarzania prowadzony jest w formie elektronicznej i zawiera co najmniej:a)
nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie - inspektora ochrony danych;b)
cele przetwarzania;c)
opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;d)
kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;e)
gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;f)
planowane terminy usunięcia poszczególnych kategorii danych lub sposób ich wyliczania;g)
ogólny opis zastosowanych technicznych i organizacyjnych środków bezpieczeństwa.3.
Rejestr kategorii czynności przetwarzania prowadzony jest w formie elektronicznej i zawiera co najmniej:a)
nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie - inspektora ochrony danych;b)
kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;c)
gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;d)
ogólny opis zastosowanych technicznych i organizacyjnych środków bezpieczeństwa.4.
KIRP dokonuje aktualizacji rejestru w czasookresach zapewniających jego aktualność, niezwłocznie po zidentyfikowaniu nowej czynności lub kategorii czynności przetwarzania.5.
KIRP dokonuje okresowych przeglądów rejestrów.6.
Rejestry są udostępniane organowi nadzorczemu na każde jego żądanie.§ 9.
Zasady dopuszczania osób do przetwarzania danych osobowych1.
Dostęp do danych osobowych mogą posiadać wyłącznie osoby upoważnione do przetwarzania danych osobowych, po zaznajomieniu z zasadami ochrony i bezpieczeństwa przetwarzania danych osobowych oraz wynikającymi z tego obowiązkami.2.
Upoważnienia do przetwarzania danych osobowych nadaje Administrator danych reprezentowany przez Prezesa KRRP, Sekretarza KRRP lub inną osobę upoważnioną do nadawania upoważnień. Wymóg nadania upoważnienia w formie pisemnej może być realizowany poprzez nadanie upoważnienia w formie dokumentowej.3.
Osobami odpowiedzialnymi za informowanie o konieczności nadania upoważnienia do przetwarzania danych osobowych, jego zmiany lub odwołania, są 00PP.4.
KIRP przed nadaniem upoważnienia organizuje szkolenie lub w innej formie zapoznaje osoby z zasadami ochrony danych i bezpieczeństwa przetwarzania danych osobowych oraz wynikającymi z tego obowiązkami.5.
Zaznajomienie się z zasadami ochrony i bezpieczeństwa przetwarzania danych osobowych oraz wynikającymi z tego zasadami odbywa się w formie szkolenia lub poprzez przekazanie prezentacji z testem. Szkolenie odbywa się w formie tradycyjnej (stacjonarnej) lub zdalnie za pomocą wskazanych przez KIRP środków komunikacji lub platformy e-eleamingowej. Wybrane osoby, za zgodą Prezesa lub Sekretarza KRRP, mogą zrealizować wymóg odbycia szkolenia poprzez zapoznanie się z prezentacją w zakresie ochrony danych, polityką ochrony danych osobowych lub poprzez odbycie dedykowanego szkolenia dla osób funkcyjnych.6.
Osoby dopuszczone do przetwarzania danych osobowych upoważnione są do przetwarzania danych wyłącznie na okres i w zakresie niezbędnym do wykonywania powierzonych im obowiązków lub w ramach pełnionych funkcji.7.
Osoby dopuszczone do przetwarzania danych osobowych zobowiązane są do zachowania poufności tych danych oraz sposobów ich zabezpieczenia, również po zakończeniu współpracy z KIRP, niezależnie od formy tej współpracy. Potwierdzenie zachowania poufności odbywa się poprzez złożenie oświadczenia o zachowaniu poufności, które może zostać złożone w formie dokumentowej.8.
Wydanie upoważnienia jest odnotowywane w prowadzonej przez KIRP ewidencji osób upoważnionych do przetwarzania danych osobowych. Ewidencja upoważnień prowadzona jest w postaci papierowej lub elektronicznej i zawiera co najmniej: imię, nazwisko, oznaczenie roli, oznaczenie zakresu dostępu do danych, okres obowiązywania. Zakres upoważnienia może być oznaczony poprzez odwołanie do zakresu obowiązków lub charakteru pełnionej funkcji.9.
Utrata prawa do przetwarzania danych osobowych określonych w upoważnieniu następuje w szczególności w przypadku:a)
zmiany stanowiska pracy na stanowisko, na któiyrn nie ma konieczności posiadania dostępu do danych osobowych lub w szczególności, gdy ustaje zasadność i celowość dalszego wykonywania prawa do przetwarzania danych w związku ze zmianą realizowanych przez pracownika zadań wynikających z jego indywidualnego zakresu czynności,b)
umyślnego naruszenia zasad ochrony danych osobowych określonych w RODO, przepisach krajowych, Polityce lub innych procedurach KIRP,c)
rozwiązania stosunku pracy lub umowy,d)
zaprzestania pełnienia funkcji lub wykonywania zadań na rzecz KIRP.§ 10.
Bezpieczeństwo przetwarzania1.
W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z prawem KIRP szacuje ryzyka właściwe dla przetwarzania oraz wdraża odpowiednie środki mitygujące te ryzyka.2.
Oceniając ryzyko w zakresie bezpieczeństwa danych KIRP bierze pod uwagę ryzyko związane z przetwarzaniem danych osobowych - takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.3.
Środki powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ich ochronie.§ 11.
Uwzględnienie ochrony danych w fazie projektowania oraz domyślna ochrona danych1.
KIRP ma obowiązek dołożyć starań w celu wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów RODO oraz innych przepisów prawa, w szczególności poprzez wdrożenie zasad uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych.2.
KIRP wdraża takie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie tylko te dane osobowe, które są niezbędne dla osiągnięcia określonego celu przetwarzania, biorąc pod uwagę: ilość zbieranych danych osobowych, ich zakres, okres przechowywania oraz ich dostępność dla innych osób.3.
W szczególności stosowane środki techniczne i organizacyjne muszą zapewnić, by domyślnie dostępne były wyłącznie dane osobowe niezbędne do osiągnięcia celu przetwarzania oraz osobom, którym dostęp do danych jest niezbędny.4.
W celu wdrożenia zasad KIRP realizuje:a)
ocenę ryzyka - dla każdej inicjatywy realizowanej w organizacji,b)
oceny skutków dla ochrony danych - w przypadku, gdy przetwarzanie danych osobowych, ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych oraz gdy taki obowiązek wynika z przepisów prawa, w tym w przypadkach określonych w art. 35 RODO,c)
konsultacje z organem nadzorczym - w przypadkach określonych art. 36 RODO lub przewidzianych w innych przepisach.5.
Podstawowymi działaniami KIRP dążącymi do realizacji opisanych zasad jest minimalizacja zakresu przetwarzania danych oraz stosowanie technicznych środków zabezpieczeń, w tym ich pseudonimizacja lub anonimizacja.6.
WPP w porozumieniu z IOD podejmuje decyzje o sposobie realizacji powyższych zasad, w tym o zastosowaniu właściwych środków ochrony danych. Za wdrożenie właściwych środków odpowiedzialny jest 00PP oraz, w zakresie dotyczącym systemów informatycznych, ASI.7.
IOD pełni rolę doradczą przy jednoczesnym posiadaniu uprawnienia do wstrzymania inicjatywy w przypadku, gdy w rażący sposób negatywnie wpływa ona na prawa i wolności podmiotów danych lub stoi w sprzeczności z obowiązującymi przepisami prawa.§ 12.
Podejście oparte na ryzyku i ocena skutków dla ochrony danych osobowych (data protection impact assesment)Analiza ryzyka
Analiza ryzyka
1.
Każdy proces/czynność przetwarzania danych osobowych ("Inicjatywa") podlega obowiązkowi przeprowadzenia analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą.2.
Analizę ryzyka wykonuje OOPP w konsultacji z IOD w kontekście charakteru, zakresu, kontekstu i celów przetwarzania danych. Wynik analizy jest przekazywany do WPP, celem akceptacji planu postępowania z ryzykiem. W przypadku wysokiego poziomu ryzyka decyzja w odniesieniu do planu postępowania z ryzykiem należy do Prezydium KRRP.3.
OOPP zobowiązany jest przeprowadzić analizę ryzyka:a)
przed uruchomieniem Inicjatywy,b)
w przypadku zmian w Inicjatywie mających wpływ na sposób przetwarzania danych osobowych, w szczególności:i.
rozpoczęcie, zaprzestanie lub zmiana zakresu przetwarzanych danych,ii.
rozpoczęcie, zaprzestanie lub zmiana podwykonawcy,iii.
zmiana sposobu przetwarzania danych w toku Inicjatywy, w tym również przez podwykonawcę.c)
w terminie wynikającym z poprzednio wykonanej analizy4.
Analiza ryzyka powinna uwzględniać czynniki takie jak:a)
prawdopodobieństwo wystąpienia określonego zdarzenia będącego naruszeniem;b)
powagę tego zdarzenia (wymiernej wielkości szkody oraz zakresu występowania szkód) jakie zdarzenie to może spowodować;c)
wpływu zdarzenia na atrybuty w zakresie dostępności, integralności oraz poufności;d)
dostępne środki minimalizujące przetwarzanie danych w zakresie ilości zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.5.
Przy szacowaniu ryzyka stosuje się następujące zasady:a)
szacowanie odbywa się w oparciu o obiektywną i rzeczową analizę przy wykorzystaniu metodyki zaakceptowanej przez KIRP i podlegającej ocenie IOD;b)
szacowanie ryzyka jest procesem ciągłym, dla którego wdrożone środki ochrony i zabezpieczenia techniczne i organizacyjne podlegają cyklicznemu monitorowaniu i doskonaleniu.Ocena skutków dla ochrony danych
Ocena skutków dla ochrony danych
6.
OOPP w porozumieniu z IOD wykonuje ocenę skutków dla ochrony danych w następujących sytuacjach:a)
jeśli obowiązek jej przeprowadzenia wynika z przepisów prawa lub stanowiska organu ochrony danych;b)
jeżeli w wyniku szacowania ryzyka stwierdzone zostanie, że dany rodzaj przetwarzania z dużym prawdopodobieństwem powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych;c)
systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;d)
przetwarzania na dużą skalę szczególnych kategorii danych osobowych wskazanych w art. 9 ust. 1 RODO;e)
przetwarzania na dużą skalę danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa;f)
systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.7.
Ocena skutków dla ochrony danych obejmuje w najmniejszym zakresie następujące elementy:a)
systematyczny opis planowanych operacji przetwarzania i celów przetwarzania;b)
ocenę czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;c)
ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;d)
środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych.8.
Za realizację działań określonych w niniejszym paragrafie odpowiada 00PP. Akceptacji planu postępowania z ryzykiem dokonuje WPP lub - w sytuacji gdy Inicjatywa powoduje wysokie ryzyko naruszenia praw lub wolności podmiotów danych - Prezydium KRRP.§ 13.
Konsultacje z organem nadzorczym1.
W przypadku, gdy ocena ryzyka wykaże, że przetwarzanie danych może z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw i wolności podmiotów danych i brak jest możliwości zastosowania działań mających na celu zminimalizowanie tego ryzyka, KIRP zobowiązany jest do dokonania konsultacji z organem nadzorczym danej czynności przetwarzania.2.
Przekazując dokumentację dotyczącą ocenianej czynności KIRP przedstawia organowi dane w zakresie obejmującym minimum:a)
zidentyfikowane obowiązki KIRP i podmiotów przetwarzających biorących udział w konsultowanej czynności;b)
wykorzystane środki techniczne i organizacyjne dążące do ochrony praw i wolności osób fizycznych;c)
dane kontaktowe inspektora ochrony danych lub gdy taki nie został powołany KIRP;d)
ocenę skutków dla ochrony danych;e)
inne informacje, których zażąda organ nadzorczy w toku prac konsultacyjnych.3.
Osobą odpowiedzialną za przeprowadzenie konsultacji jest IOD lub inna osoba wskazana przez KIRP.4.
IOD prowadzi rejestr inicjatyw, które podlegały konsultacjom.§ 14.
Prawa osób, których dane dotyczą1.
KIRP respektuje i ułatwia podmiotom danych osobowych realizację przysługujących im praw. Działając jako podmiot przetwarzający, KIRP wspiera administratora danych w realizacji praw podmiotów danych w zakresie i na zasadach określonych w umowie z administratorem.2.
KIRP realizuje prawa podmiotu danych bez zbędnej zwłoki, a w każdym razie w terminie nie przekraczającym miesiąca liczonym od daty otrzymania żądania.3.
W przypadku braku możliwości realizacji żądania w terminie wskazanym w ust. 2 KIRP ma prawo do przedłużenia terminu realizacji o kolejne dwa miesiące, przy jednoczesnej konieczności poinformowania podmiotu danych o takim przedłużeniu terminu wraz ze wskazaniem przyczyny. KIRP przekazuje informację w formie pisemnej lub elektronicznej, nie później niż przed upływem miesiąca od daty otrzymania żądania.4.
KIRP realizuje prawa podmiotu wyłącznie po potwierdzeniu tożsamości osoby przekazującej żądanie oraz faktu przysługiwania jej praw.5.
Działania wynikające z realizacji art. 15-22 RODO są wolne od opłat, chyba że:a)
żądanie ma charakter nieuzasadniony i zostało to potwierdzone przez KIRP;b)
żądanie ma charakter nadmierny, w szczególności na swój ustawiczny charakter i zostało to potwierdzone przez KIRP.Obowiązki informacyjne
Obowiązki informacyjne
6.
KIRP, jako administrator danych, zobowiązana jest do spełnienia obowiązku informacyjnego w stosunku do osób, których dane osobowe są gromadzone, chyba że przepis prawa zwalnia ze spełnienia tego obowiązku.7.
Osoba, której dane są gromadzone powinna uzyskać informację o:a)
adresie siedzibie i pełnej nazwie administratora danych wraz z danymi kontaktowymi;b)
gdy ma to zastosowanie - danych kontaktowych Inspektora Ochrony Danych;c)
celach przetwarzania danych osobowych wraz z podstawą prawną przetwarzania;d)
gdy ma to zastosowanie - informacje na temat przetwarzania w oparciu o prawnie usprawiedliwiony interes realizowany przez KIRP;e)
odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;f)
gdy ma to zastosowanie - o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;g)
okresach, przez które dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tych okresów;h)
prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;i)
gdy ma to zastosowanie - przetwarzaniu w oparciu o zgodę i związanym z tym prawie do cofnięcia zgody w dowolnym momencie;j)
prawie do wniesienia skargi do organu nadzorczego;k)
tym czy podanie danych osobowych j est wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;l)
zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.m)
źródle pochodzenia danych - dodatkowo - w przypadku pozyskania danych nie bezpośrednio od osoby, której dane dotyczą.8.
OOPP zobowiązani są, w ramach podległych im procesów, do uwzględnienia obowiązku przekazania informacji, o których mowa w ust. 8 przed pozyskaniem danych, a w przypadku pozyskania danych nie bezpośrednio od osoby, której dane dotyczą - przed podjęciem czynności przetwarzania danych.§ 15.
Postępowanie w przypadku naruszenia ochrony danych osobowych1.
KIRP monitoruje bezpieczeństwo przetwarzania danych oraz niezwłocznie reaguje w sytuacji podejrzenia zaistnienia naruszenia bezpieczeństwa danych osobowych.2.
Naruszeniem bezpieczeństwa danych osobowych jest:a)
jakiekolwiek naruszenie poufności, integralności, dostępności, autentyczności danych osobowych zawartych w dokumentach tradycyjnych lub elektronicznych,b)
jakiekolwiek naruszenie niezawodności systemu informatycznego wykorzystywanego do przetwarzania danych osobowych, spowodowane awarią sprzętu lub oprogramowania, bądź działaniami dokonanymi przez osoby upoważnione lub nieupoważnione, mające wpływ na przetwarzane w tym systemie dane osobowe.3.
Naruszeniem bezpieczeństwa danych osobowych jest w szczególności:a)
naruszenie integralności terytorialnej obszaru przetwarzania danych: włamanie, wtargnięcie napastników;b)
kradzież bądź zagubienie stacji roboczej lub nośnika z danymi osobowymi;c)
włamanie do systemu informatycznego służącego do przetwarzania danych osobowych;d)
przekazanie osobie nieuprawnionej informacji o systemie informatycznym takich jak: hasła, sposób zabezpieczenia;e)
posłużenie się cudzym hasłem dostępu przy przetwarzaniu danych osobowych;f)
nieuzasadnione zmiany w lokalizacji, wielkości i treści zbiorów lub nośników zawierających dane osobowe;g)
uzyskanie dostępu do obszaru przetwarzania lub bezpośrednio do danych osobowych przez osobę nieupoważnioną.4.
W przypadku wykrycia naruszenia bezpieczeństwa danych osobowych osoba upoważniona zobowiązana jest do przekazania informacji o zaistniałym zdarzeniu IOD, a w przypadku, gdy nie będzie to możliwe, swojemu przełożonemu.5.
W przypadku wykrycia naruszenia bezpieczeństwa danych przetwarzanych z użyciem systemu informatycznego służącego do przetwarzania danych osobowych osoba upoważniona zobowiązana jest dodatkowo do przekazania ASI informacji o zdarzeniu.6.
Osobą odpowiedzialną za dalsze postępowanie w celu przywrócenia zgodności przetwarzania danych jest:a)
w przypadku systemów informatycznych - ASI,b)
w przypadku naruszeń organizacyjnych - właściwy OOPP.7.
Osoby biorące udział w przywracaniu zgodności przetwarzania danych obowiązane są udzielać niezwłocznie wszelkich informacji IOD na temat zaistniałego naruszenia oraz podejmowanych czynności zaradczych.Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu
Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu
8.
KIRP działając jako administrator danych zgłasza organowi nadzorczemu wystąpienie naruszenia nie później niż w terminie 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, aby naruszenie powodowało ryzyko naruszenia praw i wolności osób, których dane dotyczą.9.
Zgłoszenie do organu nadzorczego powinno zawierać następujące informacje:a)
opis charakteru naruszenia, które powinno wskazywać kategorię i liczbę osób, których dane dotyczą oraz informację na temat kategorii i ilości danych, których dotyczy;b)
dane identyfikujące i kontaktowe IOD oraz wskazanie punktu kontaktowego dla organu nadzorczego;c)
opis możliwych konsekwencji zgłaszanego naruszenia;d)
wskazanie środków zastosowanych lub proponowanych w celu minimalizacji efektów wystąpienia zgłaszanego naruszenia.10.
OOPP, w porozumieniu z IOD, dokonuje oceny ryzyka naruszenia praw i wolności osób fizycznych, których dotyczy naruszenie.Zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych
Zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych
11.
W sytuacji gdy w wyniku oceny naruszenia ochrony danych osobowych zostanie stwierdzone wysokie ryzyko naruszenia praw i wolności osób fizycznych, KIRP niezwłocznie informuje podmiot danych o wystąpieniu takiego naruszenia.12.
Informacja przekazywana podmiotowi danych zawiera:a)
opis charakteru incydentu naruszenia danych osobowych;b)
dane identyfikujące i kontaktowe IOD;c)
opis możliwych konsekwencji zgłaszanego naruszenia;d)
wskazanie środków zastosowanych lub proponowanych w celu minimalizacji efektów wystąpienia zgłaszanego incydentu.13.
W celu odpowiedniej identyfikacji ryzyk oraz przygotowania adekwatnych środków ochrony IOD prowadzi rejestr oraz dokumentację dotyczącą naruszeń ochrony danych.§ 16.
Zasady powierzenia przetwarzania danych osobowych1.
KIRP przewiduje możliwość korzystania z Procesorów przy realizacji procesów przetwarzania danych osobowych. Powierzenie przetwarzania danych Procesorom może być wykonane wyłącznie na podstawie stosownej umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego.2.
Podstawowym warunkiem dopuszczalności powierzenia przetwarzania danych w imieniu i na polecenia KIRP jest weryfikacja, że Procesor zapewnienia wystarczające gwarancje stosowania Przepisów ochrony danych, w tym wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Przepisów ochrony danych i chroniło prawa osób, których dane dotyczą. Za przeprowadzenie weryfikacji odpowiedzialny jest 00PP.3.
Zawierana przez KIRP umowa powierzenia przetwarzania danych osobowych musi być zgodna z postanowieniami art. 28 RODO, w szczególności określać:a)
charakter i cel powierzenia przetwarzania,b)
zakres danych wraz ze wskazaniem kategorii osób oraz czynności podlegających powierzeniu,c)
sposób przetwarzania danych przez Procesora,d)
czas trwania,e)
zobowiązanie Procesora do zachowania adekwatnego poziomu bezpieczeństwa przetwarzania danych osobowych,f)
obowiązki oraz prawa Procesora i KIRP oraz zasady ich realizacji..4.
Umowa winna być zawarta na piśmie lub w formie dokumentowej. Postanowienia dotyczące powierzenia przetwarzania danych osobowych mogą być zawarte w ogólnej umowie zawieranej z wykonawcą w formie klauzuli ochrony danych osobowych lub w formie odrębnej umowy powierzenia przetwarzania danych.5.
Przed rozpoczęciem procesu przekazania danych osobowych w celu ich przetwarzania przez Procesora 00PP jest zobowiązany poinformować IOD oraz skonsultować z nim postanowienia zawieranej umowy w zakresie powierzenia przetwarzania danych osobowych.6.
Umowa powierzenia przetwarzania danych osobowych jest podpisywana zgodnie z zasadami reprezentacji KIRP lub udzielonymi pełnomocnictwami.§ 17.
Zasady udostępnienia danych osobowych1.
KIRP przewiduje możliwość udostępnienia danych innym podmiotom.2.
Udostępnienie danych osobowych może odbyć się wyłącznie na podstawie przepisów prawa, w oparciu o co najmniej jedną przesłankę legalizująca przetwarzania wskazaną w art. 6 RODO i /lub art. 9 RODO.W przypadku gdy, osoba, której dane dotyczą, wyrazi zgodę na udostępnienie, zgoda, powinna zostać utrwalona. W przypadku powzięcia wątpliwości czy dane powinny zostać udostępnione, należy skonsultować się z IOD.3.
Podmioty lub kategorie podmiotów, którym udostępnia się dane osobowe, należy wskazać w rejestrze czynności przetwarzania danych osobowych.§ 18.
Przekazywanie danych do państw trzecich1.
Przekazywanie danych, których administratorem jest KIRP do państw trzecich i organizacji międzynarodowych, może się odbywać wyłącznie po spełnieniu warunków przewidzianych w Rozdziale V RODO.2.
Przekazywanie danych do państw trzecich może mieć formę zarówno powierzenia przetwarzania danych osobowych, jak też udostępnienia danych osobowych innemu administratorowi. W tym zakresie należy stosować zasady Polityki odnoszące się po powierzenia przetwarzania lub udostępnienia danych.3.
Przekazanie danych osobowych, których administratorem jest KIRP, do państwa trzeciego może nastąpić w sytuacji, jeżeli Komisja Europejska wydała decyzję, że dane państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony.4.
W braku decyzji Komisji Europejskiej, dokonanie przekazania danych osobowych do państwa trzeciego jest możliwe, gdy KIRP samodzielnie zapewni odpowiednie zabezpieczenia i pod warunkiem, że będą obowiązywały egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej. Odpowiednie zabezpieczenia KIRP może zapewnić za pomocą:a)
prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi,b)
wiążących reguł korporacyjnych zatwierdzonych przez organ nadzorczy, mających zastosowanie do każdego z członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą,c)
standardowych klauzul ochrony danych przyjętych lub zatwierdzonych przez Komisję Europejską,d)
standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję Europejską,e)
zatwierdzonego kodeksu postępowania wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą, lubf)
zatwierdzonego mechanizmu certyfikacji wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.5.
Z zastrzeżeniem zezwolenia właściwego organu nadzorczego odpowiednie zabezpieczenia, o których mowa powyżej KIRP może zapewnić w szczególności za pomocą:a)
klauzul umownych między Administratorem lub podmiotem przetwarzającym a Administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej, lubb)
postanowień i uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.6.
W szczególnych przypadkach, dopuszcza się przekazanie danych osobowych przez KIRP do państwa trzeciego pomimo braku decyzji Komisji Europejskiej, o której mowa w ust. 3 oraz zapewnienia odpowiednich zabezpieczeń, o których mowa w ust. 4 i 5. Do tych szczególnych przypadków zalicza się przekazanie danych pod warunkiem, że:a)
osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi może się dla niej wiązać proponowane przekazanie, wyrazi na nie wyraźną zgodę,b)
przekazanie jest niezbędne do wykonania umowy zawartej z osobą, której dane dotyczą,c)
przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą,d)
przekazanie jest niezbędne ze względu na ważne względy interesu publicznego,e)
przekazanie jest niezbędne ze względu na posiadane roszczenia,f)
przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą lubg)
przekazanie nastąpi z publicznego rejestru.7.
Ponadto, niezależnie od wybranego środka prawnego, o którym mowa w ust. 3 -6 powyżej, w każdym przypadku należy przewidzieć zastosowanie dodatkowych środków bezpieczeństwa, dla zapewnienia bezpieczeństwa przetwarzania danych osobowych oraz respektowania praw osób, których dane dotyczą.8.
WPP przed planowanym przekazaniem danych do państwa trzeciego, jest zobowiązany poinformować o tym IOD oraz skonsultować z nim warunki przekazania tych danych.§ 19.
Przegląd Polityki1.
Niniejsza Polityka powinna być aktualizowana wraz ze zmieniającymi się przepisami prawnymi oraz zmianami faktycznymi.2.
Niezależnie od zmian prawnych i faktycznych ADO lub podmiot wskazany przez ADO jest odpowiedzialny za przegląd Polityki nie rzadziej niż raz na 24 miesiące.3.
Zmiany oraz przeglądy dokumentacji muszą być odnotowywane w metryce dokumentu.