Kwitnąca 14, 01-926 Warszawa (paczkomat: WAW715M)
+48 796 401 236 (PL / UA / ENG)

POLITYKA OCHRONY DANYCH OSOBOWYCH


Projektu Kwitnący Dom prowadzonego przez  Fundację Inna Przestrzeń
ul. Nowy Świat 23/25 lok. 32, 00-029 Warszawa
NIP: 521-33-93-003  

DEFINICJE 

§ 1. Polityka ochrony danych osobowych, zwana dalej Polityką, opracowana została na podstawie art 24 ust 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679
z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO). 

§ 2. Celem polityki jest zapewnienie bezpieczeństwa przetwarzania danych osobowych poprzez zastosowanie jednolitych zasad ich przetwarzania, zgodnych z RODO oraz przepisami szczegółowymi.

§ 3. Polityka określa zasady przetwarzania danych osobowych:

przez wszystkich pracowników i wolontariuszy świadczących czynności na podstawie umowy,

  1. w formie dokumentacji papierowej jak również zapisów w systemach informatycznych oraz przechowywanych na elektronicznych nośnikach danych,
  2. przez wszystkie osoby przetwarzające dane w imieniu i na odpowiedzialność Domu, bez względu na ich formę zatrudnienia lub współpracy,
  3. pojedynczych informacji osobowych,
  4. w ramach zbiorów danych: 
  1. dokumentacji rezydentów,
  2. dokumentacji pracowniczej i pokrewnej,
  3. darczyńców i sponsorów oraz współpracowników,
  4. dokumentacji finansowo-księgowej,
  5. dokumentacji beneficjentów innych form pomocy i osób aplikujących o udzielenie takiej pomocy

§ 4. Przez użyte w treści niniejszej Polityki określenia należy rozumieć:

  1. Dom– Projekt Kwitnący Dom pod adresem Warszawa, ul. Kwitnąca 14 prowadzony przez Fundację Inna Przestrzeń ul. Nowy Świat 23/25 lok. 32, 00-029 Warszawa, NIP: 521-33-93-003  
  2. dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,
  3. szczególne kategorie danych – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, 
  4. dane osobowe dotyczące zdrowia – wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym, przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. zbierane podczas jej rejestracji do usług opieki zdrowotnej, podczas świadczenia jej usług opieki zdrowotnej, w tym numer, symbol lub oznaczenie przypisane danej osobie fizycznej, informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, których źródłem może być pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne,
  5. podmiot danych – osoba fizyczna, której dane dotyczą,
  6. administrator danych osobowych – zwany dalej ADO -Fundację Inna Przestrzeń ul. Nowy Świat 23/25 lok. 32, 00-029 Warszawa, NIP: 521-33-93-003, w imieniu której działa Pełnomocnik Anna Urszula Kłos
  7. zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub miejscowo, 
  8. przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
  9. naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,
  10.  usuwanie danych – zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
  11.  system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
  12.  osoba przetwarzająca – pracownik Domu oraz wolontariusz działający na podstawie umowy, upoważniony przez ADO do przetwarzania danych osobowych, 
  13.  personel – osoba przetwarzająca lub inna osoba działająca w imieniu lub
    z upoważnienia ADO,
  14.  rezydent – osoba zwracająca się o udzielenie czasowego prawa do korzystania z usług opiekuńczych Domu, osoba która z takich usług korzysta oraz osoba, która korzystała z takich usług w przeszłości jak również niepełnoletnie dziecko tej osoby pozostające pod jej faktyczną opieką podczas korzystania przez nią z usług opiekuńczych Domu.
  15.  osoba postronna – każda osoba za wyjątkiem osoby wyznaczonej do przetwarzania danych, w wyznaczonym do tego pomieszczeniu i na danym etapie przetwarzania,
    w tym również inny personel Domu. Osobą postronną nie jest inny personel Domu wykonujący czynności zawodowe w pomieszczeniu współdzielonym, chyba że wymaga tego szczególny charakter czynności.
  16.  zgoda osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome
    i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

OGÓLNE ZASADY PRZETWARZANIA DANYCH

§ 5. 1. Dane osobowe są przetwarzane na podstawie przepisów prawa lub prawnie uzasadnionych interesów realizowanych przez ADO w zakresie niezbędnym do prawidłowego świadczenia usług Domu. 

2. Przetwarzanie danych może odbywać się również na podstawie zgody podmiotu danych. Zgoda ta powinna mieć formę pisemną, wskazywać datę jej udzielenia oraz określać cele jakich dotyczy. Wzór oświadczenia o wyrażeniu zgody został określony w załączniku nr 1.

3 ADO nie ponosi odpowiedzialności za nadmiarowe dane, przekazane przez podmiot danych z własnej inicjatywy. Dane te stosownie do uznania ADO mogą być zwrócone lub zniszczone.

  1. Przed wyrażeniem zgody podmiot danych otrzymuje informację o przetwarzaniu jego danych.
  2. Zgoda w formie pisemnej nie jest wymagana gdy działanie podmiotu danych potwierdzające zgodę jest wyraźne i jednoznaczne. Poprzez wyraźne działanie rozumie się, w szczególności, wybór przez podmiot danych określonych ustawień technicznych w systemie informatycznym, własnoręczne wypełnienie pól formularzy, przekazanie danych osobowych przez rezydenta w celu udzielenie mu informacji lub pomocy w załatwianiu spraw formalnych.
  3. Zgoda może być wycofana w każdym czasie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Podmiot danych, jest o tym informowany przed wyrażeniem zgody. Jeżeli wycofanie zgody odbywa się poprzez ustne oświadczenie podmiotu danych osoba przetwarzająca odnotowuje w odnośnej dokumentacji ten fakt z oznaczeniem daty oraz podejmuje właściwe czynności w celu zaniechania dalszego przetwarzania.
  4. Podmiot danych powinien uzyskać informacje, jakie są konsekwencje niewyrażenia zgody na przetwarzanie danych, w odniesieniu do rezydentów może to uniemożliwiać udzielenie im usług opiekuńczych.

§ 6. Dane są przetwarzane rzetelnie i w sposób przejrzysty dla podmiotu danych
w konkretnych, wyraźnych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, ograniczone do tego, co niezbędne do celów, w których są przetwarzane oraz przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów przetwarzania, lub okres określony przepisami prawa.

§ 7. Dane osobowe mogą być przetwarzane po spełnieniu co najmniej jednego
z warunków:

  1. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na ADO,
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
  3. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, 
  5. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez ADO lub przez stronę trzecią.

§ 8. Szczególne kategorie danych mogą być przetwarzane jeżeli:

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych, 
  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez ADO lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, 
  3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,
  4. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą,
  5. jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń,
  6. przetwarzanie jest niezbędne do celów zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa.
  7. przetwarzanie jest niezbędne do celów statystycznych.

§ 9. 1. Dane dotyczące zdrowia rezydenta mogą być przetwarzane jeżeli jest to niezbędne do celów zapewnienia bezpiecznego pobytu, indywidualnej opieki, umożliwienia korzystania ze świadczeń opieki zdrowotnej, zapewnienia finansowania świadczeń ze środków publicznych oraz środków innych niż publiczne.

2. Dane rezydenta dotyczące naruszeń prawa i środków powiązanych mogą być przetwarzane wyłącznie do celów zapewnienia bezpieczeństwa rezydentów Domu.

3. Dane dotyczące sytuacji rodzinnej i materialnej oraz życiowej rezydenta mogą być przetwarzane w celu zapewnienia dodatkowych świadczeń ze środków niepublicznych lub umożliwienia korzystania ze świadczeń publicznych.

4. Dane osobowe, w tym dotyczące sytuacji życiowej, rodzinnej i materialnej, osoby  korzystającej lub aplikującej o skorzystanie z innych nie rezydencjalnych, form pomocy, mogą być przetwarzane w celu rozpatrywania wniosków lub świadczenia takiej osobie pomocy. Za zgoda tej osoby dane mogą być przetwarzane również w celu świadczenia takiej pomocy w przyszłości.

§ 10. 1. Dane dotyczące pracowników w zakresie określonym przez Kodeks pracy mogą być przetwarzane wyłącznie w celu prowadzenia akt pracowniczych, w tym ewidencji czasu pracy, rozliczeń z pracownikami, naliczania obciążeń, składek i świadczeń, zapewnienia warunków i narzędzi pracy, doskonalenia zawodowego, zgłoszeń do organów wobec których obowiązek taki wynika z ustawy.

2. Dane dotyczące sytuacji rodzinnej pracownika mogą być przetwarzane w przypadku korzystania przez pracownika ze szczególnych uprawnień określonych w prawie pracy za zgodą pracownika wyrażoną poprzez złożenie wniosku o te świadczenia.

3. Dane dotyczące kandydatów do pracy w zakresie określonym przez Kodeks pracy mogą być przetwarzane wyłącznie w celu przeprowadzenia rekrutacji a następnie zniszczone, chyba że kandydat wyraża zgodę na udział w przyszłych rekrutacjach.

4. Dane dotyczące wolontariuszy mogą być przetwarzane jedynie w celu realizacji umowy wolontariatu oraz zabezpieczenia prawnych interesów ADO.

§ 11. Nie są przetwarzane dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków stowarzyszeń i organizacji, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, seksualności lub orientacji seksualnej tej osoby.

§ 12. 1. Dane osobowe przetwarzane w Domu mogą być upubliczniane tylko
w przypadkach gdy obowiązek taki wynika z ustawy i w zakresie określonym ustawą. 

2. Dane osobowe pracownika i wolontariusza  działającego na podstawie umowy mogą być upubliczniane w zakresie niezbędnym do realizacji zadań i obowiązków ADO związanych z prowadzeniem |Domu. 

3. Dane osobowe rezydenta nie są upubliczniane w żadnym trybie ani zakresie, mogą być upublicznione jedynie na podstawie zgody rezydenta.

4. Dane osobowe innej osoby mogą być upubliczniane tylko za jej zgodą, w tym wyrażoną w korespondencji drogą elektroniczną.

§ 13. 1. ADO zastrzega sobie możliwość publikowania informacji promocyjnych i organizacyjnych lub danych zanonimizowanych, na swoim profilu w internetowym serwisie społecznościowym, publicznie dostępnym, lub dostępnym dla określonej grupy odbiorców. 

2. Korzystanie przed podmiot danych, w jakimkolwiek zakresie z funkcjonalności takiego serwisu jest dobrowolne i odbywa się na podstawie regulaminu tego serwisu.

3. ADO nie ponosi odpowiedzialności za dane osobowe upublicznione dobrowolnie przez podmiot danych na profilu Domu w internetowym serwisie społecznościom, zarówno w postaci wpisu głównego jak też komentarza, odnośnika lub linku. 

§ 14. 1. Dane osobowe mogą być udostępniane innym podmiotom publicznym tylko na podstawie ustawy i w zakresie określonym ustawą. 

2. Szczególne kategorie danych osobowych rezydenta, mogą być udostępniane
w niezbędnym zakresie innym podmiotom, wyłącznie w celu zapewnienia rezydentowi świadczeń socjalnych, opieki społecznej, opieki zdrowotnej lub innych żywotnych interesów, tylko za zgodą rezydenta.

§ 15. Udostępnianiem danych osobowych rezydenta nie jest: 

  1. udzielenie rezydentowi pomocy w sporządzaniu przez niego pism urzędowych, wniosków formalnych, aplikacji  lub doręczanie takowych przez personel osobiście lub drogą elektroniczną;
  2. działanie personelu przed innymi podmiotami i organami w imieniu rezydenta, na prośbę lub z upoważnienia rezydenta;
  3. publikowanie przez ADO informacji organizacyjnych na profilu Domu w serwisie społecznościom;
  4. dobrowolne udostępnianie danych przez podmiot danych na profilu Domu
    w internetowym serwisie społecznościom.

§ 16. Dane osobowe rezydenta mogą być udostępniane w niezbędnym zakresie innym rezydentom w celu organizacji porządku dnia, w tym podziału codziennych czynności
w Domu.

§ 17. 1. Przetwarzaniem danych nie jest udostępnianie rezydentowi środków komunikacji elektronicznej, urządzeń i aplikacji do samodzielnego sporządzania pism, wiadomości lub samodzielnego  wyszukiwania informacji.

2. Rezydent korzystając ze środków o których mowa w ust. 1  ponosi wyłączną odpowiedzialność za usunięcie plików użytkownika, usunięcie historii przeglądania, wylogowanie się z aplikacji dostępowych, niekorzystanie z  autouzupełniania  formularzy.

3. Przetwarzaniem danych nie jest umożliwienie rezydentowi odbierania przesyłek pocztowych na adres skrzynki pocztowej Domu.

4. Przetwarzaniem danych nie jest udzielenie rezydentowi przez personel. pomocy  w posługiwaniu się środkami o których mowa w ust. 1.

§ 18. Dane osobowe, w szczególności dotyczące pracowników oraz dane finansowo-księgowe, na podstawie pisemnej umowy, mogą być powierzone do przetwarzania, podmiotom przetwarzającym, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych chroniących prawa osób, których dane dotyczą oraz spełniają wymogi RODO, w szczególności art. 28 ust. 1 RODO. 

§ 19. 1 Osoba przetwarzająca przetwarza dane osobowe na podstawie pisemnego upoważnienia wydanego przez ADO, wyłącznie w zakresie wykonywania obowiązków zawodowych lub wykonania umowy z ADO. Osoba przetwarzająca nie może przetwarzać danych wykraczających poza minimalny zakres, niezbędny do wykonania powierzonych jej zadań.

2. Osoba przetwarzająca nie jest upoważniona do przekazania swojego upoważnienia innej osobie.

§ 20. 1. Źródłem danych osobowych przetwarzanych przez Dom jest podmiot danych albo osoba reprezentująca jego prawa lub działająca z jego upoważnienia.

2. Źródłem danych osobowych członków rodziny jest pracownik korzystający ze szczególnych świadczeń przewidzianych przez Kodeks pracy. 

3. Źródłem danych osobowych może być darczyńca, sponsor lub współpracownik 
w odniesieniu do danych, których jest administratorem.

4. W szczególnych, uzasadnionych przypadkach, źródłem danych może być inna osoba niż podmiot danych.

5. W Domu  nie są zbierane ani przetwarzane dane osobowe pochodzące z innych źródeł.

§ 21. 1. W Domu dane nie są przetwarzane w sposób zautomatyzowany. Zautomatyzowanym przetwarzaniem nie są algorytmy wyszukiwania lub prezentowania treści na profilu Domu w internetowym serwisie społecznościowym.

2. Zautomatyzowanym przetwarzaniem danych nie jest przekazywanie danych bezpośrednio z systemu informatycznego do rejestrów państwowych, w ramach realizacji obowiązku prawnego.

§ 22. Dane osobowe nie są wykorzystywane do zautomatyzowanej oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. 

§ 23. Dane osobowe zawarte w korespondencji telefonicznej i elektronicznej są przetwarzane wyłącznie w celu wynikającym z treści tej korespondencji. 

§ 24. Na stronie internetowej Domu, dla wygody użytkowników, mogą być umieszczane linki prowadzące do stron zewnętrznych, nie prowadzonych przez Dom. Dom nie ponosi odpowiedzialności za zbieranie i przetwarzanie danych przez te strony.

ZASADY DOTYCZĄCE REALIZACJI PRAW PODMIOTU DANYCH

§ 25. 1. ADO zapewnia spełnienie obowiązku informacyjnego wobec podmiotu danych poprzez klauzule informacyjne publikowane na stronie internetowej, jako załącznik do formularzy dokumentów aplikacyjnych,  uwidocznienie ogłoszeń w miejscach dostępnych dla podmiotu danych, przedstawianie indywidualnych klauzul podmiotowi danych.

2. Spełnienie obowiązku informacyjnego wobec podmiotu danych następuje przed przyjęciem od podmiotu danych jego danych.

3. Informację określoną w ust.1 ADO zapewnia również na żądanie podmiotu danych.

4. Wymogu określonego w ust. 1 można nie stosować w przypadku, gdy osoba, której dane dotyczą, dysponuje już tymi informacjami; udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku lub pozyskiwanie danych jest wyraźnie uregulowane prawem, któremu podlega ADO, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą.

§ 26. 1. Komunikację z podmiotem danych w zakresie realizacji jego praw prowadzi się w języku polskim; w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem; w formie w jakiej został złożony wniosek lub żądanie, chyba że inna forma wynika z istoty czynności lub treści wniosku podmiotu.

2. ADO może komunikować się z podmiotem danych w innym języku, zrozumiałym dla podmiotu danych, przy czym dla celów prawnych wiążąca jest polska wersja językowa.

§ 27. Komunikację z podmiotem danych w zakresie realizacji jego praw jako podmiotu danych podejmuje się po ustaleniu jego tożsamości. Komunikacja ta jest wolna od opłat.

§ 28. 1. Realizacja praw podmiotu danych określonych w art 15-22 RODO jest wolna opłat przy czym pierwsza kopia danych jest wydawana nieodpłatnie, za kolejne kopie jest pobierana opłata zgodnie z cennikiem lub w wysokości rzeczywistych kosztów administracyjnych jeżeli cennik nie został określony. Wydanie podmiotowi danych, kopii jego danych nie może naruszać praw i wolności innych osób, przy czym naruszenia tego nie stanowi ujawnienie danych osób dokonujących wpisu w dokumentacji oryginalnej.

2. Można odmówić realizacji żądania, jeśli jest ono ewidentnie nieuzasadnione lub nadmierne jednakże do wiadomości żądającego należy podać przyczynę przyczyny odmowy podjęcia działań.

§ 29. Prawo podmiotu danych do bycia zapomnianym nie znajduje zastosowania wobec danych w zakresie w jakim przetwarzanie jest niezbędne do wywiązania się
z prawnego obowiązku, któremu podlega ADO, lub do ustalenia, dochodzenia lub obrony roszczeń.

WERYFIKOWANIE TOŻSAMOŚCI PODMIOTU DANYCH

§ 30. 1. Weryfikowanie tożsamości podmiotu danych następuje przed utrwaleniem jego danych w oparciu o dokument tożsamości wydany na podstawie ustawy, zawierający co najmniej imię i nazwisko, zdjęcie osoby, numer PESEL. Dokumentem potwierdzającym tożsamość jest w szczególności: dowód osobisty, prawo jazdy, paszport (również zagraniczny), legitymacja studencka, legitymacja szkolna. 

2. W uzasadnionych przypadkach ADO może ustalić tożsamość podmiotu danych na podstawie innych dokumentów wydanych w kraju pochodzenia podmiotu danych lub innych dokumentów krajowych.

3. Nie sporządza się kopii dokumentu na podstawie którego ustalono tożsamość podmiotu danych, jednakże można odnotować cechy tegoż dokumentu.

4. Weryfikacja danych osoby pozostającej pod  władzą przedstawiciela ustawowego lub opiekuna faktycznego następuje poprzez weryfikacje tożsamości tegoż przedstawiciela lub opiekuna i przyjęcie od niego oświadczenia o tożsamości podopiecznego.

5. W przypadku, gdy weryfikacja tożsamości realizowana jest w sposób inny niż osobiście lub przy użyciu środków komunikacji elektronicznej lub w sytuacji powzięcia wątpliwości co do tożsamości osoby, można zażądać dodatkowych informacji lub podjęcia przez podmiot danych dodatkowych działań niezbędnych do potwierdzenia tożsamości tej osoby, takich jak: porównanie podanych danych z już posiadanymi, żądanie podania dodatkowych danych osobowych lub przy wykorzystaniu kwalifikowanego podpisu elektronicznego lub podpisu potwierdzonego profilem zaufanym ePUAP, przelewu bankowego potwierdzającego zgodność danych, uwierzytelnianie za pośrednictwem systemów informatycznych, kontrolę na odległość dokumentu potwierdzającego tożsamość.

6. ADO może odmówić wykonania żądanej lub wnioskowanej czynności gdy tożsamość podmiotu danych nie jest mu jednoznacznie znana.

ZABEZPIECZENIE DANYCH

§ 31. 1. Przetwarzanie danych odbywa się w wydzielonych pomieszczeniach, w obecności osób przetwarzających, bez obecności osób postronnych.

2. Przetwarzanie danych, może za zgodą podmiotu danych lub z jego inicjatywy odbywać się przy użyciu środków komunikacji elektronicznej. Osoba przetwarzająca jest zobowiązana w takim przypadku zapewnić bezpieczeństwo danych w zakresie swojej władzy.

§ 32. 1. Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zabezpieczone w sposób uniemożliwiający dostęp do nich osobom postronnym, na czas nieobecności osób przetwarzających poprzez adekwatne rozwiązania techniczne. 

2. Przebywanie osób postronnych w pomieszczeniach, w których dane są przetwarzane jest dopuszczalne wyłącznie za pozwoleniem i w obecności osoby przetwarzającej. 

§ 33. 1. ADO podejmuje niezbędne działania techniczne i organizacyjne w celu minimalizacji ryzyka naruszenia ochrony danych osobowych na każdym etapie przetwarzania, a zwłaszcza podczas przyjmowania od podmiotu danych jego danych oraz weryfikowania tożsamości podmiotu danych.

2. Osoba przetwarzające dane, z uwzględnieniem możliwości technicznych
i lokalowych podczas przetwarzania danych, podejmuje niezbędne środki w celu minimalizacji ryzyka ujawnienia danych, zwłaszcza szczególnych kategorii danych.

§ 34. Zabrania się, bez względu na czasokres nieobecności osoby przetwarzającej
w pomieszczeniu:

  1. pozostawiania drzwi do pomieszczenia niezamkniętych na klucz przez ostatnią wychodzącą osobę,
  2. pozostawiania klucza w zamku od zewnątrz, zarówno podczas pobytu
    w pomieszczeniu jak również po opuszczeniu go i zamknięciu zamka,
  3. pozostawiania otwartych okien w pomieszczeniach, zwłaszcza na porterze; w razie konieczności, za wyjątkiem pierwszej kondygnacji, okna mogą na czas chwilowej nieobecności pozostać uchylone,
  4. pozostawiania w pomieszczeniu osoby postronnej, bez nadzoru,
  5. pozostawianie otwartych dokumentów elektronicznych lub aplikacji dostępowych.

§ 35. 1. Dane osobowe przetwarzane zarówno w formie papierowej, jak też na elektronicznych nośnikach danych, należy przechowywać w szafach zamykanych na klucz. 

2. Dokumenty i elektroniczne nośniki danych, na których są wykonywane bieżące operacje przetwarzania, mogą znajdować się poza szafą, jedynie na czas tego przetwarzania

3. Zbędne kopie, wydruki, zapiski, nie będące dokumentem źródłowym, powinny być niszczone niezwłocznie, poprzez fizyczne rozkawałkowanie nośnika w sposób uniemożliwiający odtworzenie danych.

4. Przechowywanie danych po okresie ich bieżącego przetwarzania oraz niszczenie danych źródłowych, po upływie okresu przechowywania, odbywa się na podstawie innych przepisów przyjętych przez ADO.

ŚRODKI OCHRONY DANYCH OSOBOWYCH PRZETWARZANYCH W FORMIE ELEKTRONICZNEJ

§ 36. 1. Stacja robocza, w której są przetwarzane dane osobowe, powinna być chroniona oprogramowaniem antywirusowym oraz mieć zaktualizowany system operacyjny.

2. Z jednej stacji roboczej może korzystać wielu użytkowników, pod warunkiem wydzielenia odrębnych kont użytkownika, lub gdy na podstawie innych danych można odróżnić czynności wykonane przez poszczególnych użytkowników.

3. Dopuszcza się korzystanie z prywatnej stacji roboczej lub urządzenia mobilnego pod warunkiem przestrzegania postanowień polityki.

§ 37. 1. Prawo dostępu do systemu informatycznego na określonym poziomie nadaje A|D|O, stosownie do zakresu obowiązków osoby przetwarzającej.

2. Osoba przetwarzająca wykonująca czynności zawodowe przy użyciu systemu informatycznego zobowiązana jest do przestrzegania ogólnie przyjętych zasad bezpieczeństwa oraz wytycznych ADO.

§ 38. Wydruki zawierające dane z systemu informatycznego podlegają ochronie jak dokumentacja w formie papierowej.

§ 39. Dane osobowe przechowywane w stacji roboczej powinny być zaszyfrowane co najmniej przy użyciu powszechnie dostępnego oprogramowania.

§ 40. 1. Korespondencja elektroniczna wewnętrzna i powinna być prowadzona tylko przy użyciu ustalonej elektronicznej skrzynki pocztowej.

2. Nie jest dopuszczalne przechowywanie w poczcie elektronicznej zbiorów danych osobowych.

3. W przypadku przesyłania zbiorów danych osobowych lub danych szczególnych kategorii, dane te powinny być zaszyfrowane co najmniej przy użyciu powszechnie dostępnych narzędzi, klucz nie powinien być przesyłany tym samym kanałem korespondencji.

4. W przypadku wielokrotnej korespondencji z tym samym odbiorcą można używać jednego klucza.

§ 41. Dane osobowe przetwarzane wyłącznie w stacji roboczej lub urządzeniu mobilnym, w tym pliki i dokumenty oraz wiadomości tekstowe należy usuwać niezwłocznie po ich wykorzystaniu, chyba że ich dalsze przetwarzanie jest nakazane przepisami prawa.

ZASADY PRZEKAZYWANIA INFORMACJI DOTYCZĄCYCH REZYDENTA W STANACH NAGŁYCH

§ 42. 1. ADO może podjąć kontakt z osobą trzecią, bez zgody rezydenta, w celu przekazania lub uzyskania danych, w tym danych o stanie zdrowia rezydenta, niezbędnych dla ochrony żywotnych interesów rezydenta lub innej osoby, w szczególności ochrony zdrowia lub życia, w przypadku, w którym rezydent nie jest fizycznie albo prawnie zdolny do wyrażenia zgody w odpowiednim czasie.

2. W miarę możliwości weryfikuje się tożsamość osoby trzeciej, a także odnotowuje ją,

NADAWANIE UPRAWNIEŃ DO PRZETWARZANIA DANYCH OSOBOWYCH

§ 43. 1. Podstawą do przetwarzania danych, jest pisemne upoważnienie wydane przez ADO które określa zbiór danych, zakres przetwarzania oraz termin ważności, który może być określony datą lub odwołaniem do innego dokumentu prawnie wiążącego.. Wzór upoważnienia stanowi załącznik nr 2.

§ 44. 1. Przed wydaniem upoważnienia ADO zapoznaje osobę przetwarzającą 
z zasadami przetwarzania danych na stanowisku pracy oraz przyjmuje od niej oświadczenie
o zachowaniu w tajemnicy wszelkich danych osobowych uzyskanych w związku zatrudnieniem, również po ustaniu zatrudnienia. ADO może również przyjąć takie oświadczenie  od innego personelu. Wzór oświadczenia stanowi załącznik nr 3.

2. Wymóg złożenia pisemnego oświadczenia nie dotyczy osób, dla których obowiązek zachowania w tajemnicy danych osobowych uzyskanych w związku z wykonywaniem zawodu został określony w ustawie, chyba że ustawa tak stanowi.

§ 45. Upoważnienie traci moc z chwilą upływu terminu na jaki zostało wydane lub ustania zatrudnienia lub zakończenia wykonywania innej umowy. 

POSTĘPOWANIE W PRZYPADKU NARUSZENIA OCHRONY DANYCH

§ 46. 1. Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

2. Do zdarzeń o których mowa w ust. 1 w szczególności należą:

  1. ślady na drzwiach, oknach i szafach wskazujące na naruszenie zabezpieczeń fizycznych,
  2. fizyczna obecność w pomieszczeniach, bez obecności osoby upoważnionej, osób zachowujących się podejrzanie,
  3. pozostawianie otwartych drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe, bez nadzoru osoby przetwarzającej,
  4. niszczenie nośników danych w sposób umożliwiający ich odtworzenie,
  5. wykorzystywanie danych osobowych w celach prywatnych, 
  6. ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe,
  7. wynoszenie danych osobowych w wersji papierowej lub elektronicznej poza miejsce ich przetwarzania bez  zgody ADO.
  8. udostępnienie danych osobowych osobom nieupoważnionym,
  9. stwierdzenie próby lub modyfikacji lub usunięcia danych bez odpowiedniego upoważnienia,
  10. kopiowanie danych, w tym w formie elektronicznej, nie mające uzasadnienia,
  11. bezprawny zabór nośników danych,
  12. utrata kontroli nad kopią danych osobowych, 
  13. pojawienie się wirusa komputerowego lub niestandardowe działanie komputerów, 
  14. inne zachowania lub zdarzenia , które mogą prowadzić do naruszenia ochrony danych.

§ 47.1. Osoba przetwarzająca, która stwierdzi lub podejrzewa fakt naruszenia danych osobowych, jest zobowiązana:

  1. niezwłocznie powiadomić o tym ADO. 
  2. podjąć czynności niezbędne do powstrzymania skutków naruszenia ochrony oraz zabezpieczyć dowody umożliwiające ustalenie przyczyn oraz skutków naruszenia.

2. Osoba przetwarzająca jest zobowiązana również zgłosić IOD sytuacje mogące prowadzić do naruszenia ochrony danych.

§ 48. ADO po uzyskaniu informacji o której mowa w § 46 ust.1. podejmuje następujące kroki: 

  1. zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości i ciągłości pracy, 
  2. odbiera dokładną relację z zaistniałego naruszenia bezpieczeństwa danych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem,
  3. nawiązuje kontakt ze specjalistami zewnętrznymi, jeśli zachodzi taka potrzeba, 
  4. dokumentuje zaistniały przypadek naruszenia ochrony danych, 
  5. zgłasza właściwym organom jeżeli jest to wymagane przepisami prawa,
  6. podejmuje lub organizuje działania naprawcze oraz minimalizujące skutki.

§ 49. 1. W przypadku naruszenia ochrony danych osobowych, ADO bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je Urzędowi Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

2. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. 

3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, jeżeli ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie lub zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. 

ODPOWIEDZIALNOŚĆ OSOBY PRZETWARZAJĄCEJ

§ 50. Osoba przetwarzająca odpowiada za:

  1. zapoznanie się oraz bieżące przestrzeganie przepisów dotyczących ochrony danych osobowych, w tym wytycznych i poleceń ADO.
  2. ograniczenie zakresu przetwarzania danych do minimum niezbędnego do realizacji celów przetwarzania na zajmowanym stanowisku pracy,
  3. zabezpieczenia w ramach możliwości organizacyjnych i technicznych stanowiska pracy przed naruszeniem bezpieczeństwa przetwarzanych danych,
  4. prawidłowość przetwarzanych danych,
  5. zachowania w tajemnicy danych osobowych zarówno w okresie zatrudnienia lub współpracy jak również po upływie tego okresu.

§ 51. 1. Dopuszczenie do niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, ujawnienia lub nieuprawnionego dostępu do danych osobowych przetwarzanych w jakiejkolwiek formie, chociażby przypadkowe stanowi ciężkie naruszenie obowiązków pracowniczych. 

2. Niepodjęcie działania określonego w § 46. 1 może być potraktowane jako ciężkie naruszenie obowiązków pracowniczych.