Akt prawny
archiwalny
Wersja archiwalna od 2022-03-31 do 2022-09-05
Wersja archiwalna od 2022-03-31 do 2022-09-05
archiwalny
ZARZĄDZENIE NR 4
PREZESA GŁÓWNEGO URZĘDU MIAR
z dnia 30 marca 2022 r.
w sprawie ochrony danych osobowych w Głównym Urzędzie Miar
Na podstawie art. 24 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.5.2018, str. 2 oraz Dz. Urz. UE L 74 z 04.03.2021, str. 35), zarządza się, co następuje:
Rozdział 1
Przepisy ogólne
§ 1. 1. Zarządzenie określa sposób ochrony danych osobowych będących w zasobach Głównego Urzędu Miar, zwanego dalej "GUM", oraz zastosowane środki ochrony, odpowiednie do zagrożeń i kategorii danych osobowych objętych ochroną, przetwarzanych przez pracowników oraz inne osoby mające w GUM dostęp do danych osobowych, zgodnie z przepisami o ochronie danych osobowych.
2. Zapewnienie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych ma zagwarantować poufność ich przetwarzania, integralność, rzetelność, przejrzystość, jak również dostępność dla podmiotów uprawnionych, i wymaga zastosowania niezbędnych środków technicznych i organizacyjnych oraz właściwych procedur.
3. W zakresie nieuregulowanym niniejszym zarządzeniem stosuje się przepisy:
1) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej "rozporządzeniem 2016/679";
2) ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781).
§ 2. Ilekroć w zarządzeniu jest mowa o:
1) administratorze danych - rozumie się przez to GUM lub Prezesa Głównego Urzędu Miar w przypadkach, gdy jako organ publiczny ustala cele i sposoby przetwarzania danych osobowych;
2) danych osobowych - rozumie się przez to dane, o których mowa w art. 4 pkt 1 rozporządzenia 2016/679;
3) osobie upoważnionej - rozumie się przez to osobę, która otrzymała od administratora danych upoważnienie do przetwarzania danych osobowych;
4) przetwarzaniu danych osobowych - rozumie się przez to przetwarzanie, o którym mowa w art. 4 pkt 2 rozporządzenia 2016/679;
5) Prezesie Urzędu Ochrony Danych Osobowych - rozumie się przez to organ właściwy do spraw ochrony danych osobowych;
6) upoważnieniu do przetwarzania danych osobowych - rozumie się przez to upoważnienie nadawane przez administratora danych, wskazujące z imienia i nazwiska osobę, która ma prawo przetwarzać dane osobowe w zakresie wskazanym w tym upoważnieniu.
Rozdział 2
Przetwarzanie danych osobowych w GUM
§ 5. 1. Komórki organizacyjne GUM przetwarzają dane osobowe utrwalone w postaci papierowej lub elektronicznej, w szczególności w związku z realizacją:
1) zadań wynikających z przepisów prawa krajowego oraz Unii Europejskiej i zadań określonych w regulaminie organizacyjnym GUM;
2) obowiązków administratora danych jako pracodawcy, w rozumieniu ustawy z dnia 26 czerwca 1974 r. - Kodeks pracy (Dz. U. z 2020 r. poz. 1320 oraz z 2021 r. poz. 1162);
3) umów na organizację staży, praktyk, wolontariatu, szkoleń dla podmiotów zewnętrznych;
4) innych zadań niezbędnych do zapewnienia prawidłowego funkcjonowania GUM.
2. Dane osobowe, z wyłączeniem danych osobowych określonych w ust. 3 i 4, są przetwarzane w GUM na podstawie następujących przesłanek:
1) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
2) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych;
3) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi danych;
4) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, jeżeli przetwarzanie nie odbywa się na podstawie przesłanek wskazanych w pkt 1-3.
3. Dane osobowe szczególnych kategorii, o których mowa w art. 9 rozporządzenia 2016/679, są przetwarzane w GUM na podstawie następujących przesłanek:
1) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych;
2) osoba, której dane dotyczą, wyraziła wyraźną zgodę, na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.
4. Dane osobowe dotyczące wyroków skazujących i naruszeń prawa są przetwarzane w GUM, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych.
5. Jeżeli przetwarzanie danych osobowych w GUM odbywa się na podstawie zgody: zgoda nie może być domniemana lub dorozumiana ani wywiedziona z oświadczenia woli o innej treści;
1) odbieranie zgody odbywa się w formie możliwej do późniejszego udowodnienia, w szczególności w formie pisemnej;
2) osoba, która wyraziła zgodę, może ją wycofać w każdym czasie, bez wpływu na zgodność przetwarzania, którego dokonano przed jej cofnięciem; administrator danych umożliwia w łatwy sposób skorzystanie z możliwości wycofania zgody, a osoba, której dane dotyczą, jest o tym informowana zanim wyrazi zgodę.
§ 6. Administrator danych przetwarza dane osobowe zgodnie z zasadami wskazanymi w rozporządzeniu 2016/679.
§ 7. Administrator danych gwarantuje bezpieczne przetwarzanie danych osobowych w GUM i zapewnia środki techniczne i organizacyjne niezbędne dla bezpiecznego, rzetelnego i przejrzystego przetwarzania danych osobowych w pomieszczeniach do tego przeznaczonych, w tym:
1) zbieranie danych osobowych w konkretnych, wyraźnych i uzasadnionych celach, w sposób adekwatny, stosowny oraz ograniczony do realizacji tych celów;
2) przetwarzanie danych osobowych wyłącznie przez osoby posiadające wydane upoważnienie do przetwarzania danych osobowych;
3) zapoznanie z przepisami o ochronie danych osobowych osób przed wydaniem upoważnienia do przetwarzania danych osobowych;
4) przechowywanie danych osobowych w sposób zapewniający bezpieczeństwo danych oraz w celu zapewnienia rozliczalności, integralności i poufności tych danych oraz w formie umożliwiającej identyfikację osób, których dotyczą, a także nie dłużej niż jest to niezbędne do osiągnięcia celu lub celów, dla których zostały zebrane;
5) zgłaszanie naruszeń ochrony danych osobowych powodujących wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych do Prezesa Urzędu Ochrony Danych Osobowych i zawiadamianie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych;
6) realizacja praw osób, których dane dotyczą;
7) kontrolę nad przetwarzaniem danych osobowych w sposób zapewniający bezpieczeństwo danych osobowych.
§ 8. 1. W GUM administrator danych wyznacza Inspektora ochrony danych, zwanego dalej "Inspektorem", który podlega administratorowi danych.
2. Administrator danych wspiera Inspektora w wypełnianiu przez niego zadań, zapewniając mu warunki niezbędne do realizacji tych zadań.
3. O wyznaczeniu albo o zmianie Inspektora administrator danych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia wyznaczenia albo zmiany, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu Inspektora.
4. Dane kontaktowe Inspektora opublikowane są na stronie internetowej GUM oraz w Biuletynie Informacji Publicznej GUM, zwanym dalej "BIP".
5. Do zadań Inspektora należy w szczególności:
1) informowanie administratora danych oraz osoby upoważnione do przetwarzania danych osobowych, o obowiązkach spoczywających na nich na mocy rozporządzenia 2016/679 oraz innych przepisów prawa powszechnie obowiązującego oraz przepisów wewnętrznych administratora danych, dotyczących ochrony danych osobowych oraz doradzanie im w tej sprawie;
2) monitorowanie przestrzegania powszechnie obowiązujących przepisów dotyczących ochrony danych osobowych;
3) monitorowanie przestrzegania niniejszego zarządzenia oraz dokumentacji systemu zarządzania bezpieczeństwem informacji w GUM w zakresie przetwarzania danych osobowych;
4) prowadzenie "Rejestru czynności przetwarzania danych osobowych", "Rejestru kategorii czynności przetwarzania danych osobowych", ,,Rejestru udostępnień danych osobowych" oraz ,,Rejestru naruszeń ochrony danych osobowych";
5) podejmowanie działań zwiększających świadomość pracowników w zakresie ochrony danych osobowych;
6) szkolenie nowo zatrudnionych pracowników, i jeżeli ma to zastosowanie, osób wykonujących zadania na podstawie umów cywilnoprawnych, w zakresie ochrony danych osobowych oraz przeprowadzanie sprawdzeń (audytów) ochrony danych osobowych;
7) udzielanie zaleceń co do oceny skutków dla ochrony danych osobowych oraz monitorowanie ich wykonania;
8) współpraca z Prezesem Urzędu Ochrony Danych Osobowych;
9) pełnienie funkcji punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem danych osobowych, w tym z uprzednimi konsultacjami, o których mowa w art. 36 rozporządzenia 2016/679.
6. Osoby, których dane dotyczą i są przetwarzane w GUM, mogą kontaktować się z Inspektorem w sprawach związanych z przetwarzaniem ich danych osobowych.
§ 9. 1. Przetwarzanie danych osobowych w GUM odbywa się w oparciu o wydane upoważnienie do przetwarzania danych osobowych.
2. Administrator danych może upoważnić inną osobę do udzielania upoważnienia, o którym mowa w ust. 1.
3. Osoba upoważniona jest zobowiązana do ochrony przetwarzanych danych osobowych i zachowania w tajemnicy sposobów ich zabezpieczenia, również po ustaniu zatrudnienia, co potwierdza podpisując stosowne oświadczenie.
4. Administrator danych udziela upoważnienia do przetwarzania danych osobowych każdej osobie, której realizacja zadań w GUM wiąże się z przetwarzaniem danych osobowych:
1) w ramach realizacji obowiązków służbowych;
2) w ramach uczestnictwa w realizowanych przez GUM projektach;
3) w ramach odbywanych praktyk, staży, wolontariatu lub szkoleń;
4) na podstawie umów cywilnoprawnych.
5. Osoba upoważniona jest zobowiązana do:
1) zapoznania się z powszechnie obowiązującymi przepisami prawa dotyczącymi ochrony danych osobowych oraz z niniejszym zarządzeniem;
2) podpisania oświadczenia, o którym mowa w ust. 3;
3) przetwarzania danych osobowych wyłącznie w celu wykonywania nałożonych obowiązków i realizowanych zadań;
4) udostępniania danych osobowych wyłącznie osobom upoważnionym lub uprawnionym na mocy przepisów prawa do ich uzyskania;
5) uniemożliwienia dostępu do danych osobowych lub wglądu do danych osobom nieupoważnionym;
6) informowania o wszystkich naruszeniach, podejrzeniach naruszenia i nieprawidłowościach w sposobie przetwarzania i ochrony danych osobowych;
7) wykonywania bez zbędnej zwłoki poleceń Inspektora w zakresie ochrony danych osobowych;
8) uczestniczenia w organizowanych szkoleniach z zakresu ochrony danych osobowych;
9) dbałości o ochronę danych osobowych, w szczególności zabezpieczenia przed ich przetwarzaniem, w tym zbieraniem bez podstawy prawnej, przetwarzaniem przez okres dłuższy niż jest to wymagane, zmianą, utratą, uszkodzeniem lub zniszczeniem.
6. Upoważnienie do przetwarzania danych osobowych dla osób, o których mowa w ust. 4, jest wydawane w związku z:
1) podjęciem pracy w GUM;
2) zmianą zakresu obowiązków;
3) zmianą stanowiska pracy lub zmianą komórki organizacyjnej GUM lub jej nazwy;
4) zmianą danych osobowych osoby, której upoważnienie dotyczy;
5) organizacją stażu lub praktyki lub wolontariatu;
6) realizacją umowy cywilnoprawnej;
7) wykonywaniem czynności, których realizacja jest związana z przetwarzaniem danych osobowych.
7. Osoby, które otrzymały upoważnienie do przetwarzania danych osobowych w GUM, są ewidencjonowane w "Rejestrze upoważnień wydanych przez Prezesa Głównego Urzędu Miar oraz Dyrektora Generalnego Głównego Urzędu Miar".
§ 10. 1. Przetwarzanie danych osobowych w GUM odbywa się w jego siedzibie, jak również poza siedzibą GUM, z uwzględnieniem wymaganych standardów bezpieczeństwa, określonych w przepisach wewnętrznych GUM.
2. W związku z przetwarzaniem danych osobowych w GUM mogą być realizowane w szczególności następujące operacje lub zestawy operacji:
1) zbieranie;
2) utrwalanie;
3) organizowanie;
4) porządkowanie;
5) przechowywanie lub archiwizowanie;
6) adaptowanie lub modyfikowanie;
7) pobieranie;
8) przeglądanie;
9) wykorzystywanie;
10) ujawnianie;
11) dopasowywanie lub łączenie;
12) ograniczenie przetwarzania;
13) usuwanie lub niszczenie.
§ 11. 1. W przypadku wątpliwości, co do zgodności z prawem działań w zakresie przetwarzania danych osobowych, osoby przetwarzające dane osobowe w GUM mogą zwrócić się do Inspektora z wnioskiem o rozstrzygnięcie wątpliwości.
2. Do czasu rozstrzygnięcia przez Inspektora wątpliwości, niedozwolone jest pozyskiwanie danych osobowych i ich utrwalanie, a w przypadku posiadania danych osobowych, których wątpliwość dotyczy, należy do czasu rozstrzygnięcia wątpliwości ograniczyć przetwarzanie tych danych.
§ 12. 1. W ,,Rejestrze czynności przetwarzania danych osobowych" zamieszcza się wszystkie informacje określone w art. 30 ust. 1 rozporządzenia 2016/679.
2. Dane do ,,Rejestru czynności przetwarzania danych osobowych" przekazuje Inspektorowi kierownik komórki organizacyjnej GUM, niezwłocznie po pojawieniu się każdej nowej czynności przetwarzania.
3. W ,,Rejestrze kategorii czynności przetwarzania danych osobowych" zamieszcza się informacje wskazane w art. 30 ust. 2 rozporządzenia 2016/679.
4. Administrator danych udostępnia rejestry, o których mowa w ust. 1 i 3, na każde wezwanie Prezesa Urzędu Ochrony Danych Osobowych. Rejestry nie są udostępniane osobom trzecim.
§ 13. 1. Administrator danych dąży do zapewnienia ochrony danych w fazie projektowania oraz do zapewnienia domyślnej ochrony danych osobowych.
2. W ramach ochrony danych w fazie projektowania, w GUM wdrażane są środki techniczne i organizacyjne już na etapie projektowania operacji przetwarzania danych osobowych, w taki sposób, aby od początku przetwarzania zapewnić ochronę prywatności i bezpieczeństwo przetwarzanych danych osobowych.
3. Domyślną ochronę danych zapewnia się poprzez uwzględnienie ochrony danych osobowych w kulturze działania GUM, w celu zapewnienia jak najwyższego poziomu ochrony przetwarzanych danych, m.in. przez przetwarzanie wyłącznie niezbędnych danych osobowych, zapewnienie wymaganego okresu ich przechowywania, ograniczenie dostępności do danych osobowych.
§ 14. Kierownik komórki organizacyjnej GUM jest odpowiedzialny za zarządzanie procesami przetwarzania danych osobowych w podległej mu komórce organizacyjnej.
Rozdział 3
Przechowywanie i niszczenie danych osobowych
§ 15. 1. Dane osobowe są przechowywane w GUM w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do osiągnięcia celów, dla realizacji których dane te zostały zebrane.
2. Kierownik komórki organizacyjnej GUM ustala okres przechowywania danych osobowych, przetwarzanych w kierowanej przez siebie komórce organizacyjnej, w ramach realizowanych czynności przetwarzania.
3. W przypadku braku w przepisach prawa regulacji dotyczących okresu przechowywania danych osobowych, kierownik komórki organizacyjnej GUM wskazuje kryteria, na podstawie których ustalił okres przechowywania danych osobowych.
4. Kierownik komórki organizacyjnej GUM jest odpowiedzialny za dokonanie w każdym roku kalendarzowym przeglądu danych osobowych przetwarzanych w kierowanej przez siebie komórce organizacyjnej oraz lokalizacji tych danych, w celu ustalenia konieczności dalszego ich przechowywania.
§ 16. 1. Dane osobowe, których dalsze przechowywanie w GUM nie jest konieczne do realizacji celów, dla których zostały zebrane, są usuwane.
2. Usuwanie danych osobowych, przetwarzanych w GUM w formie elektronicznej, odbywa się poprzez ich usunięcie lub nadpisanie z wykorzystaniem specjalistycznego oprogramowania.
3. Usuwanie danych osobowych przetwarzanych w GUM w formie pisemnej oraz znajdujących się na elektronicznych nośnikach danych dokonywane jest poprzez ich fizyczne zniszczenie.
4. Usuwanie danych osobowych odbywa się komisyjnie. Kierownik komórki organizacyjnej GUM albo osoba odpowiedzialna za prowadzenie archiwum zakładowego zgłasza Inspektorowi konieczność usunięcia danych osobowych przetwarzanych w kierowanej przez siebie komórce organizacyjnej albo w archiwum zakładowym. Inspektor proponuje skład komisji, który zatwierdza administrator danych.
5. Komisja, o której mowa w ust. 4, przygotowuje protokół z usunięcia danych osobowych w dwóch egzemplarzach, jeden dla komórki organizacyjnej GUM, na wniosek której usunięto dane osobowe albo archiwum zakładowego, drugi dla Inspektora.
6. Protokół, o którym mowa w ust. 5, powinien zawierać następujące informacje:
1) datę sporządzenia protokołu;
2) rodzaj danych osobowych podlegających usunięciu;
3) postać w jakiej dane osobowe zostały utrwalone (pisemna, elektroniczna);
4) podstawę (powód) usunięcia danych osobowych;
5) nazwę komórki organizacyjnej GUM wnioskującej o usunięcie danych osobowych;
6) imiona i nazwiska oraz podpisy członków komisji.
7. Możliwe jest korzystanie z usług wyspecjalizowanych podmiotów, realizujących usługi w zakresie niszczenia dokumentów i elektronicznych nośników danych, które dają gwarancje wymaganych przepisami prawa zabezpieczeń, i wyłącznie w oparciu o zawartą z tymi podmiotami umowę powierzenia przetwarzanych danych osobowych, dotyczącą realizacji tej usługi.
Rozdział 4
Środki techniczne i organizacyjne stosowane w celu ochrony danych osobowych
§ 17. 1. W GUM stosuje się i systematycznie unowocześnia środki techniczne i organizacyjne, zapewniające ochronę danych osobowych, odpowiednio do kategorii przetwarzanych danych osobowych i możliwości wystąpienia ryzyka naruszenia danych osobowych oraz zabezpiecza posiadane dane osobowe przed ich udostępnieniem, zmianą, utratą, uszkodzeniem, zniszczeniem lub przetwarzaniem przez osoby nieupoważnione.
2. Dobór adekwatnych środków technicznych i organizacyjnych ma na celu uwzględnienie wymagań zawartych w rozporządzeniu 2016/679 i ochronę przetwarzanych danych osobowych.
3. Dobór środków technicznych i organizacyjnych uwzględnia przeprowadzoną ocenę ryzyka i jej następujące elementy:
1) stan wiedzy technicznej;
2) koszt wdrożenia środków technicznych i organizacyjnych;
3) charakter przetwarzania, przez który należy rozumieć sposób dokonywania przetwarzania, czyli częstotliwość, czasowość, długoterminowość;
4) zakres przetwarzania (katalog operacji na danych osobowych);
5) kontekst przetwarzania, czyli kategorie przetwarzanych danych, kategorie osób, których dane osobowe dotyczą, okoliczności zbierania i dalszego przetwarzania, otoczenie i zagrożenia dla bezpieczeństwa i integralności danych osobowych;
6) cel przetwarzania danych osobowych.
4. Jeżeli z oceny ryzyka wynika, że operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób, których dane dotyczą, Inspektor przeprowadza i dokumentuje ocenę skutków dla ochrony danych osobowych, w celu oszacowania źródła, charakteru, specyfiki i powagi tego ryzyka.
5. Wyniki oceny skutków dla ochrony danych uwzględnia się przy doborze środków, które należy zastosować, w celu zgodnego z prawem przetwarzania danych osobowych.
6. Zastosowane środki techniczne uwzględniają zagrożenia związane z przetwarzaniem danych osobowych wynikające, w szczególności z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych w GUM.
§ 18. Siedziba GUM, w której przetwarzane są dane osobowe, jest nadzorowana całodobowo przez pracowników koncesjonowanego pomiotu świadczącego usługi z zakresu ochrony i zabezpieczona technicznymi środkami ochrony, w tym monitoringiem i systemem przeciwpożarowym.
§ 19. Dokumenty zawierające dane osobowe są przechowywane w pomieszczeniach zamykanych na klucz, i jeżeli to możliwe, w szafach zamykanych na klucz. Dotyczy to zwłaszcza danych osobowych szczególnej kategorii, o których mowa w art. 9 rozporządzenia 2016/679. Szczegółowe zasady postępowania z kluczami do pomieszczeń GUM określają odrębne akty wewnętrzne GUM.
§ 20. Administrator danych, mając na względzie skuteczną realizację ochrony danych osobowych, monitoruje wdrożone zabezpieczenia, aktualizuje je i dostosowuje do zmieniających się zagrożeń dla przetwarzania danych osobowych w GUM.
Rozdział 5
Realizacja praw osób, których dane osobowe są przetwarzane w GUM
§ 21. Administrator danych realizuje prawa osób, których dane osobowe są przetwarzane w GUM, wskazane w art. 12-22 rozporządzenia 2016/679, jeżeli ta realizacja jest możliwa.
§ 22. 1. Z wyjątkiem prawa do informacji, realizacja praw osób, których dane dotyczą, jeżeli jest możliwa, odbywa się na podstawie pisemnego wniosku osoby, której dane osobowe dotyczą.
2. W przypadku wątpliwości, co do tożsamości osoby zwracającej się z wnioskiem o realizację jej praw, tożsamość osoby jest weryfikowana, w szczególności poprzez uzyskanie informacji, która została podana we wcześniejszych kontaktach, a co do której można mieć pewność, że będzie ją posiadać jedynie osoba, której dane osobowe dotyczą.
3. Wpływające zapytania i wnioski dotyczące przetwarzanych w GUM danych osobowych osób, których te dane dotyczą, są rejestrowane w prowadzonym przez Inspektora ,,Rejestrze wniosków i zapytań osób, których dane osobowe są przetwarzane w GUM".
§ 23. 1. Administrator danych informuje osobę, której dane osobowe są przetwarzane w GUM, o fakcie przetwarzania dotyczących jej danych osobowych.
2. Realizacja obowiązku informacyjnego może odbywać się:
1) jednoetapowo - wszystkie informacje wskazane w art. 13 lub art. 14 rozporządzenia 2016/679 przekazywane są jednocześnie;
2) wieloetapowo - najważniejsze informacje określone przez Inspektora, przekazywane są w momencie pierwszego kontaktu z osobą, której dane dotyczą, natomiast informacje szczegółowe o zasadach przetwarzania, przekazywane są poprzez stronę internetową GUM, BIP oraz tablicę informacyjną znajdującą się w widocznym miejscu w siedzibie GUM.
3. Realizując obowiązek informacyjny należy dostosować zakres przekazywanych informacji do sposobu ich pozyskania - bezpośrednio od osoby, której dane dotyczą, albo w sposób inny niż od osoby, której dane dotyczą.
4. Informacje podaje się w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie.
5. Pozyskując dane osobowe od osoby, której dane dotyczą, administrator danych przekazuje tej osobie informacje wskazane w art. 13 rozporządzenia 2016/679, w momencie pozyskania danych.
6. Jeżeli dane osobowe pozyskano z innego źródła niż od osoby, której dane dotyczą, administrator danych podaje osobie, której dane dotyczą, informacje wskazane w art. 14 rozporządzenia 2016/679.
7. Informacje, o których mowa w ust. 6, podaje się w terminie:
1) nie później niż miesiąca od momentu pozyskania danych osobowych, biorąc pod uwagę konkretne okoliczności przetwarzania danych osobowych;
2) najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą;
3) najpóźniej przy pierwszym ujawnieniu danych osobowych, jeżeli planuje się je ujawnić innemu odbiorcy.
8. Obowiązków, o których mowa w ust. 5 i 6, nie stosuje się, gdy i w zakresie w jakim osoba, której dane dotyczą, dysponuje już tymi informacjami.
9. Za realizację obowiązków informacyjnych, o których mowa w ust. 5 i 6, odpowiedzialni są kierownicy komórek organizacyjnych GUM, w których dane osobowe będą przetwarzane. Informacje te mogą zostać przekazane na piśmie, w tym drogą elektroniczną, a w szczególnych przypadkach telefonicznie.
§ 24. 1. Rozpatrywanie wniosków osób, których dane dotyczą, związanych z realizacją ich praw, wpływających do GUM, koordynuje Inspektor. Odpowiedź na wniosek udzielana jest w terminie nie dłuższym niż miesiąc.
2. Za realizację merytoryczną wniosku odpowiedzialni są kierownicy komórek organizacyjnych GUM.
3. Inspektor weryfikuje kompletność danych adresowych oraz identyfikuje komórkę organizacyjną GUM, w której przetwarzanie są dane osoby wnioskującej o realizację jej praw.
4. W sytuacji braku wystarczających informacji umożliwiających zidentyfikowanie komórki organizacyjnej GUM, do której wniosek powinien być przekazany, Inspektor występuje do osoby, która zwróciła się z wnioskiem o realizację jej praw, o uszczegółowienie informacji.
5. Po otrzymaniu informacji z komórki organizacyjnej GUM, realizującej przetwarzanie danych osobowych dotyczących otrzymanego wniosku, Inspektor udziela w formie pisemnej odpowiedzi osobie wnioskującej.
6. W przypadku braku możliwości realizacji wniosku, informację o przyczynach braku możliwości jego realizacji, Inspektor przesyła osobie, które wystąpiła z wnioskiem o realizację jej praw.
7. Jeżeli wniosek osoby w zakresie przysługujących jej praw związanych z ochroną danych osobowych, został przesłany bezpośrednio do komórki organizacyjnej GUM, komórka ta jest zobowiązana do niezwłocznego przekazania wniosku Inspektorowi.
§ 25. Osoba, której dane osobowe są przetwarzane w GUM, ma prawo do:
1) dostępu do swoich danych oraz otrzymania ich kopii;
2) sprostowania lub poprawiania swoich danych, jeśli są błędne lub nieaktualne;
3) usunięcia danych osobowych, w sytuacji, gdy przetwarzanie danych nie następuje w celu wywiązania się z obowiązku wynikającego z przepisu prawa lub w ramach sprawowania władzy publicznej;
4) ograniczenia przetwarzania danych osobowych;
5) wniesienia sprzeciwu wobec przetwarzania danych;
6) wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Rozdział 6
Powierzenie przetwarzania danych osobowych i udostępnienie danych osobowych
§ 26. 1. GUM lub Prezes GUM, realizując swoje zadania związane z przetwarzaniem danych osobowych, mogą być:
1) administratorem danych, który powierza przetwarzanie danych osobowych w swoim imieniu innemu podmiotowi;
2) podmiotem przetwarzającym, który na zlecenie i w imieniu innego podmiotu, będącego administratorem danych, przetwarza dane osobowe.
2. Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych osobowych w drodze odrębnej umowy zawartej w formie pisemnej lub elektronicznej albo poprzez uwzględnienie postanowień w umowie głównej, zawierających uregulowania analogiczne, jak w odrębnej umowie powierzenia przetwarzania danych osobowych.
3. Podmiot przetwarzający powinien zapewniać gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych osobowych chroniło prawa osób, których dane dotyczą.
4. W przypadku, gdy administrator danych przyjmie dane osobowe do przetwarzania od innego podmiotu będącego administratorem danych, za realizację obowiązków wynikających z umowy powierzenia przetwarzania danych osobowych odpowiada, w imieniu administratora danych, kierownik komórki organizacyjnej GUM realizującej zadania, z którymi wiąże się przetwarzanie powierzonych danych osobowych.
5. Kierownik komórki organizacyjnej GUM zobowiązany jest do informowania Inspektora, co najmniej z dwutygodniowym wyprzedzeniem, o zamiarze powierzenia przetwarzania danych osobowych i przekazania mu niezbędnych informacji w tym zakresie, w szczególności opisu, na czym ma polegać przetwarzanie danych osobowych przez podmiot przetwarzający, aby umożliwić Inspektorowi zajęcie stanowiska w przedmiotowej kwestii, i dokonać z nim uzgodnienia kryteriów powierzenia.
§ 27. 1. Informacje o zawartych umowach powierzenia przetwarzania danych osobowych są ujęte w ,,Rejestrze czynności przetwarzania danych osobowych".
2. Kategorie czynności przetwarzania, które zostały powierzone do przetwarzania, ujęte są w ,,Rejestrze kategorii czynności przetwarzania".
3. Kopie zawartych umów powierzenia przetwarzania danych są przekazywane do Inspektora niezwłocznie po ich podpisaniu.
4. Każda umowa lub postanowienia w sprawie powierzenia danych osobowych do przetwarzania w GUM przez innego administratora danych muszą być uzgodnione i zatwierdzone przez Inspektora.
§ 28. 1. Udostępnienie danych osobowych stanowi przekazanie danych osobowych odbiorcy spoza GUM, który to odbiorca sam decyduje o celach i sposobach przetwarzania danych.
2. Udostępnienie danych osobowych, jeśli jest niezbędne, odbywa się na pisemny, uzasadniony wniosek, ze wskazaniem podstawy żądania udostępnienia danych osobowych.
3. Udostępnienie jest ewidencjonowane w ,,Rejestrze udostępnień danych osobowych".
Rozdział 7
Realizacja szkoleń i prowadzenie działań zwiększających świadomość w zakresie ochrony danych osobowych
§ 29. 1. W GUM organizowane są szkolenia z zakresu ochrony danych osobowych dla pracowników oraz osób wykonujących zadania na podstawie umów cywilnoprawnych, w zakresie obowiązujących przepisów oraz zagrożeń związanych z przetwarzaniem danych osobowych, zwane dalej "szkoleniami".
2. Szkolenia prowadzi Inspektor lub inny wyznaczony przez administratora danych pracownik. Szkolenia przeprowadza się dla każdego nowego pracownika. W przypadku braku możliwości przeprowadzenia szkolenia w trybie stacjonarnym lub online, Inspektor lub inny wyznaczony przez administratora danych pracownik przekazuje materiały szkoleniowe w formie elektronicznej do zapoznania się.
3. Szkolenia obejmują co najmniej następujące zagadnienia:
1) przepisy o ochronie danych osobowych;
2) zasady przetwarzania danych osobowych w GUM;
3) regulacje dotyczące bezpiecznego przetwarzania danych osobowych, w tym w systemach teleinformatycznych;
4) zagrożenia związane z przetwarzaniem danych osobowych;
5) sposób postępowania w razie zaistnienia zagrożenia dla bezpieczeństwa przetwarzanych danych osobowych lub naruszenia zasad przetwarzania danych osobowych;
6) odpowiedzialność za niezgodne z prawem przetwarzanie danych osobowych.
4. Przeprowadzenie szkoleń w trybie stacjonarnym lub online jest odpowiednio dokumentowane listą obecności oraz oświadczeniem uczestników o zapoznaniu się z przepisami o ochronie danych osobowych, a osoby przeszkolone otrzymują zaświadczenie.
§ 30. W GUM prowadzone są działania mające na celu zwiększenie świadomości pracowników w zakresie ochrony danych osobowych, poprzez publikowanie w programie SharePoint na platformie Microsoft 365 treści dotyczących ochrony i bezpiecznego przetwarzania danych osobowych.
Rozdział 8
Naruszenia ochrony danych osobowych
§ 31. W przypadku podejrzenia wystąpienia naruszenia ochrony danych osobowych pracownik niezwłocznie podejmuje czynności niezbędne dla powstrzymania niepożądanych skutków, polegające w szczególności na:
1) zaniechaniu działań, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę;
2) powstrzymaniu się od pracy w systemie teleinformatycznym, jeżeli jego dotyczy naruszenie;
3) zabezpieczeniu, w zależności od sytuacji, dostępu do pomieszczenia, nośników informacji i urządzeń służących do przetwarzania informacji, a także dowodów naruszenia przed zniszczeniem;
4) niezwłocznym powiadomieniu Inspektora.
§ 32. 1. Inspektor dokonuje analizy naruszenia ochrony danych osobowych, ocenia wagę zaistniałego naruszenia i podejmuje decyzję w sprawie dalszego postępowania, w tym dotyczącą przetwarzania danych osobowych. Każdy pracownik, który ma związek z zaistniałym naruszeniem, jest zobowiązany do współpracy z Inspektorem i do udzielania wyjaśnień.
2. Jeżeli w wyniku dokonanej oceny wagi naruszenia Inspektor stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych, których dane dotyczą, jest niskie, dokumentuje zgłoszony przypadek naruszenia w ,,Rejestrze naruszeń ochrony danych osobowych" oraz sporządza i niezwłocznie przekazuje raport dla administratora danych o naruszeniu ochrony danych osobowych.
3. Jeżeli w wyniku dokonanej oceny wagi naruszenia Inspektor stwierdził, że naruszenie ochrony danych osobowych może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, a poziom wagi naruszenia ochrony danych dla osób, których dane dotyczą jest średni, wysoki lub bardzo wysoki, oprócz dokumentacji naruszenia w ,,Rejestrze naruszeń ochrony danych osobowych" i zgłoszenia administratorowi danych, Inspektor zgłasza naruszenie w ciągu 72 godzin Prezesowi Urzędu Ochrony Danych Osobowych.
§ 33. 1. Wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych wymaga dokumentacji naruszenia w ,,Rejestrze naruszeń ochrony danych osobowych", zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych, administratorowi danych oraz niezwłocznego zawiadomienia osoby lub osób, których dane dotyczą, ze wskazaniem miejsca i czasu zdarzenia, charakteru zdarzenia, możliwych skutków i podjętych czynności, w celu przeciwdziałania negatywnym skutkom zaistniałego naruszenia, chyba że administrator danych podjął działania prewencyjne przed zaistnieniem naruszenia albo podjął działania wskazane w art. 34 ust. 3 rozporządzenia 2016/679, po jego wystąpieniu.
Rozdział 9
Przepisy przejściowe i końcowe
§ 34. W sprawach dotyczących ochrony danych osobowych w GUM wszczętych i niezakończonych przed dniem wejścia w życie niniejszego zarządzenia stosuje się zarządzenie, o którym mowa w § 35.
§ 35. Traci moc zarządzenie nr 8 Prezesa Głównego Urzędu Miar z dnia 30 kwietnia 2021 r. w sprawie ochrony danych osobowych w Głównym Urzędzie Miar.
§ 36. Zarządzenie wchodzi w życie z dniem następującym po dniu podpisania.
Prezes Głównego Urzędu Miar: Jacek Semaniak
(podpisano elektronicznie)