Wyszukaj po identyfikatorze keyboard_arrow_down
Wyszukiwanie po identyfikatorze Zamknij close
ZAMKNIJ close
account_circle Jesteś zalogowany jako:
ZAMKNIJ close
Powiadomienia
keyboard_arrow_up keyboard_arrow_down znajdź
idź
removeA addA insert_drive_fileWEksportuj printDrukuj assignment add Do schowka
description

Akt prawny

Akt prawny
obowiązujący
Dziennik Urzędowy Głównego Urzędu Miar rok 2023 poz. 17
Wersja aktualna od 2023-08-01
opcje loupe more_vert
ZAMKNIJ close

Alerty

Dziennik Urzędowy Głównego Urzędu Miar rok 2023 poz. 17
Wersja aktualna od 2023-08-01
Akt prawny
obowiązujący
ZAMKNIJ close

Alerty

ZARZĄDZENIE NR 5
PREZESA GŁÓWNEGO URZĘDU MIAR

z dnia 28 lipca 2023 r.

w sprawie ochrony danych osobowych w Głównym Urzędzie Miar

Na podstawie art. 24 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.5.2018, str. 2 oraz Dz. Urz. UE L 74 z 04.03.2021, str. 35) zarządza się, co następuje:

loupe more_vert
ZAMKNIJ close

Alerty

Rozdział 1

Przepisy ogólne

§ 1. 1. Zarządzenie określa sposób ochrony danych osobowych, przetwarzanych w Głównym Urzędzie Miar, zwanym dalej „GUM", oraz zastosowane środki ochrony, odpowiednie do zagrożeń i kategorii danych osobowych objętych ochroną, przetwarzanych przez pracowników oraz inne osoby mające w GUM dostęp do tych danych osobowych, zgodnie z przepisami o ochronie danych osobowych, w przypadku, gdy cele i sposoby przetwarzania danych osobowych określa Prezes GUM.

2. Zapewnienie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych ma zagwarantować poufność ich przetwarzania, integralność, rzetelność, przejrzystość, jak również dostępność dla podmiotów uprawnionych, i wymaga zastosowania niezbędnych środków technicznych i organizacyjnych oraz właściwych procedur.

3. W zakresie nieuregulowanym niniejszym zarządzeniem stosuje się przepisy:

1) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.5.2018, str. 2 oraz Dz. Urz. UE L 74 z 04.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679";

2) ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781).

loupe more_vert
ZAMKNIJ close

Alerty

§ 2. Ilekroć w zarządzeniu jest mowa o:

1) administratorze danych - rozumie się przez to Prezesa GUM w przypadku, gdy Prezes GUM ustala cele i sposoby przetwarzania danych osobowych;

2) danych osobowych - rozumie się przez to dane, o których mowa w art. 4 pkt 1 rozporządzenia 2016/679;

3) przetwarzaniu danych osobowych - rozumie się przez to przetwarzanie, o którym mowa w art. 4 pkt 2 rozporządzenia 2016/679;

4) Prezesie Urzędu Ochrony Danych Osobowych - rozumie się przez to organ właściwy do spraw ochrony danych osobowych;

5) upoważnieniu do przetwarzania danych osobowych - rozumie się przez to upoważnienie nadawane przez administratora danych, wskazujące z imienia i nazwiska osobę, która ma prawo przetwarzać dane osobowe w zakresie wskazanym w tym upoważnieniu.

loupe more_vert
ZAMKNIJ close

Alerty

Rozdział 2

Przetwarzanie danych osobowych w GUM

§ 3. 1. Komórki organizacyjne GUM przetwarzają dane osobowe utrwalone w postaci papierowej lub elektronicznej, w szczególności, w związku z realizacją zadań wynikających z przepisów prawa krajowego i Unii Europejskiej oraz zadań określonych w regulaminie organizacyjnym GUM.

2. Dane osobowe, z wyłączeniem danych osobowych określonych w ust. 3 i 4, są przetwarzane w GUM na podstawie następujących przesłanek:

1) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

2) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych;

3) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi danych;

4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

5) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora danych lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych;

6) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, jeżeli przetwarzanie nie odbywa się na podstawie przesłanek wskazanych w pkt 1-5.

3. Dane osobowe szczególnych kategorii, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, są przetwarzane w GUM na podstawie następujących przesłanek:

1) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

2) przetwarzanie jest niezbędne do wypełnienia obowiązku i wykonywania szczególnych praw przez administratora danych lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;

3) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

4) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

5) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;

6) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym;

7) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego;

8) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi;

9) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

4. Dane osobowe dotyczące wyroków skazujących i czynów zabronionych są przetwarzane w GUM, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych.

5. Jeżeli przetwarzanie danych osobowych w GUM odbywa się na podstawie zgody:

1) zgoda nie może być domniemana lub dorozumiana ani wywiedziona z oświadczenia woli o innej treści;

2) odbieranie zgody odbywa się w formie możliwej do późniejszego udowodnienia, w szczególności w formie pisemnej;

3) osoba, która wyraziła zgodę, może ją wycofać w każdym czasie, bez wpływu na zgodność przetwarzania, którego dokonano przed jej cofnięciem; administrator danych umożliwia w łatwy sposób skorzystanie z możliwości wycofania zgody, a osoba, której dane dotyczą, jest o tym informowana zanim wyrazi zgodę.

loupe more_vert
ZAMKNIJ close

Alerty

§ 4. Administrator danych przetwarza dane osobowe zgodnie z zasadami wskazanymi w rozporządzeniu 2016/679.

loupe more_vert
ZAMKNIJ close

Alerty

§ 5. Administrator danych gwarantuje bezpieczne przetwarzanie danych osobowych w GUM i zapewnia środki techniczne i organizacyjne niezbędne dla bezpiecznego, rzetelnego i przejrzystego przetwarzania danych osobowych w pomieszczeniach do tego przeznaczonych, w tym:

1) zbieranie danych osobowych w konkretnych, wyraźnych i uzasadnionych celach, w sposób adekwatny, stosowny oraz ograniczony do realizacji tych celów;

2) przetwarzanie danych osobowych wyłącznie przez osoby posiadające wydane upoważnienie do przetwarzania danych osobowych;

3) zapoznanie z przepisami o ochronie danych osobowych osób przed wydaniem upoważnienia do przetwarzania danych osobowych;

4) przechowywanie danych osobowych w sposób zapewniający bezpieczeństwo danych osobowych oraz w celu zapewnienia rozliczalności, integralności i poufności tych danych oraz w formie umożliwiającej identyfikację osób, których dotyczą, a także nie dłużej niż jest to niezbędne do osiągnięcia celu lub celów, dla których zostały zebrane;

5) zgłaszanie naruszeń ochrony danych osobowych, powodujących wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych, do Prezesa Urzędu Ochrony Danych Osobowych i zawiadamianie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych;

6) realizację praw osób, których dane dotyczą;

7) kontrolę nad przetwarzaniem danych osobowych w sposób zapewniający bezpieczeństwo danych osobowych.

loupe more_vert
ZAMKNIJ close

Alerty

§ 6. 1. Administrator danych wyznacza Inspektora ochrony danych, zwanego dalej „Inspektorem", który podlega administratorowi danych.

2. Administrator danych wspiera Inspektora w wypełnianiu przez niego zadań, zapewniając mu warunki niezbędne do realizacji tych zadań.

3. O wyznaczeniu albo o zmianie Inspektora w GUM zawiadamia się Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia wyznaczenia albo zmiany, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu Inspektora.

4. Dane kontaktowe Inspektora opublikowane są na stronie internetowej GUM oraz w Biuletynie Informacji Publicznej GUM, zwanym dalej „BIP".

5. Do zadań Inspektora należy w szczególności:

1) informowanie administratora danych oraz osób upoważnionych do przetwarzania danych osobowych o obowiązkach spoczywających na nich na mocy rozporządzenia 2016/679 oraz innych przepisów prawa powszechnie obowiązującego oraz przepisów wewnętrznych administratora danych, dotyczących ochrony danych osobowych oraz doradzanie im w tej sprawie;

2) monitorowanie przestrzegania powszechnie obowiązujących przepisów dotyczących ochrony danych osobowych;

3) monitorowanie przestrzegania niniejszego zarządzenia oraz dokumentacji systemu zarządzania bezpieczeństwem informacji w GUM w zakresie przetwarzania danych osobowych;

4) podejmowanie działań zwiększających świadomość pracowników w zakresie ochrony danych osobowych;

5) szkolenie pracowników, i jeżeli ma to zastosowanie, osób wykonujących zadania na podstawie umów cywilnoprawnych, w zakresie ochrony danych osobowych oraz przeprowadzanie sprawdzeń (audytów) ochrony danych osobowych;

6) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych osobowych oraz monitorowanie jej wykonania;

7) współpraca z Prezesem Urzędu Ochrony Danych Osobowych;

8) pełnienie funkcji punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem danych osobowych, w tym z uprzednimi konsultacjami, o których mowa w art. 36 rozporządzenia 2016/679.

6. Osoby, których dane dotyczą i są przetwarzane w GUM, mogą kontaktować się z Inspektorem w sprawach związanych z przetwarzaniem ich danych osobowych.

loupe more_vert
ZAMKNIJ close

Alerty

§ 7. 1. Przetwarzanie danych osobowych w GUM odbywa się w oparciu o wydane przez administratora danych upoważnienie do przetwarzania danych osobowych.

2. Administrator danych może upoważnić inną osobę do udzielania upoważnienia, o którym mowa w ust. 1.

3. Upoważnienia do przetwarzania danych osobowych są udzielane każdej osobie, która realizuje w GUM zadania wiążące się z przetwarzaniem danych osobowych:

1) w ramach realizacji obowiązków służbowych;

2) w ramach uczestnictwa w realizowanych przez GUM projektach;

3) w ramach realizowanych szkoleń dla podmiotów zewnętrznych.

4. Osoba upoważniona jest zobowiązana do:

1) znajomości powszechnie obowiązujących przepisów prawa oraz regulacji wewnętrznych GUM dotyczących ochrony danych osobowych;

2) przetwarzania danych osobowych wyłącznie w celu wykonywania nałożonych obowiązków i realizowanych zadań;

3) udostępniania danych osobowych wyłącznie osobom upoważnionym lub uprawnionym na mocy przepisów prawa do ich uzyskania;

4) uniemożliwienia dostępu do danych osobowych lub wglądu do danych osobom nieupoważnionym;

5) informowania o wszystkich naruszeniach, podejrzeniach naruszenia i nieprawidłowościach w sposobie przetwarzania i ochrony danych osobowych;

6) wykonywania, bez zbędnej zwłoki, zaleceń Inspektora w zakresie ochrony danych osobowych;

7) uczestniczenia w organizowanych szkoleniach z zakresu ochrony danych osobowych;

8) dbałości o ochronę danych osobowych, w szczególności zabezpieczenia przed ich przetwarzaniem, w tym zbieraniem bez podstawy prawnej, przetwarzaniem przez okres dłuższy niż jest to wymagane, zmianą, utratą, uszkodzeniem lub zniszczeniem.

5. Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana do ochrony przetwarzanych danych osobowych i zachowania w tajemnicy sposobów ich zabezpieczenia, również po ustaniu zatrudnienia.

6. Upoważnienie do przetwarzania danych osobowych jest wydawane, w szczególności w związku z:

1) podjęciem pracy w GUM;

2) zmianą zakresu obowiązków;

3) zmianą stanowiska pracy lub zmianą komórki organizacyjnej GUM lub jej nazwy;

4) zmianą danych osobowych osoby, której upoważnienie dotyczy;

5) uczestnictwem w projektach realizowanych w GUM;

6) wykonywaniem czynności, których realizacja jest związana z przetwarzaniem danych osobowych.

7. Wydanie upoważnienia w przypadku, o którym mowa w ust. 6 pkt 1 uzależnione jest od zapoznania się z materiałami szkoleniowymi oraz zdania testu z zakresu ochrony danych osobowych przez osobę, której ma być wydane upoważnienie.

8. Osoby, które otrzymały upoważnienie do przetwarzania danych osobowych w GUM, są ewidencjonowane przez komórkę organizacyjną GUM właściwą do spraw bezpieczeństwa w „Rejestrze upoważnień wydanych przez Prezesa Głównego Urzędu Miar oraz Dyrektora Generalnego".

loupe more_vert
ZAMKNIJ close

Alerty

§ 8. 1. Przetwarzanie danych osobowych w GUM odbywa się w jego siedzibie, jak również poza siedzibą GUM, z uwzględnieniem konieczności zachowania wymaganych standardów bezpieczeństwa, określonych w przepisach wewnętrznych GUM.

2. W związku z przetwarzaniem danych osobowych w GUM mogą być realizowane w szczególności następujące operacje lub zestawy operacji:

1) zbieranie;

2) utrwalanie;

3) organizowanie;

4) porządkowanie;

5) przechowywanie lub archiwizowanie;

6) adaptowanie lub modyfikowanie;

7) pobieranie;

8) przeglądanie;

9) wykorzystywanie;

10) ujawnianie;

11) dopasowywanie lub łączenie;

12) ograniczenie przetwarzania;

13) usuwanie lub niszczenie.

loupe more_vert
ZAMKNIJ close

Alerty

§ 9. 1. W przypadku wątpliwości co do zgodności z prawem działań w zakresie przetwarzania danych osobowych, osoby przetwarzające dane osobowe w GUM mogą zwrócić się do Inspektora z wnioskiem o rozstrzygnięcie wątpliwości.

2. Do czasu rozstrzygnięcia przez Inspektora wątpliwości, niedozwolone jest pozyskiwanie danych osobowych i ich utrwalanie, a w przypadku posiadania danych osobowych, których wątpliwość dotyczy, należy do czasu rozstrzygnięcia wątpliwości ograniczyć przetwarzanie tych danych.

loupe more_vert
ZAMKNIJ close

Alerty

§ 10. 1. Komórka organizacyjna GUM właściwa do spraw bezpieczeństwa prowadzi ,,Rejestr czynności przetwarzania danych osobowych", zwany dalej ,,rejestrem". W rejestrze zamieszcza się wszystkie informacje określone w art. 30 ust. 1 rozporządzenia 2016/679.

2. Dane do rejestru przekazuje komórce organizacyjnej GUM właściwej do spraw bezpieczeństwa kierownik komórki organizacyjnej GUM, niezwłocznie po pojawieniu się każdej nowej czynności przetwarzania.

3. Komórka organizacyjna GUM właściwa do spraw bezpieczeństwa prowadzi ,,Rejestr kategorii czynności przetwarzania danych osobowych", w którym zamieszcza się informacje wskazane w art. 30 ust. 2 rozporządzenia 2016/679.

4. Administrator danych udostępnia rejestry, o których mowa w ust. 1 i 3, na każde wezwanie Prezesa Urzędu Ochrony Danych Osobowych. Rejestry nie są udostępniane osobom trzecim.

loupe more_vert
ZAMKNIJ close

Alerty

§ 11. 1. Administrator danych dąży do zapewnienia ochrony danych w fazie projektowania oraz do zapewnienia domyślnej ochrony danych osobowych.

2. W ramach ochrony danych w fazie projektowania, w GUM wdrażane są środki techniczne i organizacyjne już na etapie projektowania operacji przetwarzania danych osobowych, w taki sposób, aby od początku przetwarzania zapewnić ochronę prywatności i bezpieczeństwo przetwarzanych danych osobowych.

3. Domyślną ochronę danych zapewnia się poprzez uwzględnienie ochrony danych osobowych w kulturze działania GUM, w celu zapewnienia jak najwyższego poziomu ochrony przetwarzanych danych osobowych, m.in. przez przetwarzanie wyłącznie niezbędnych danych osobowych, zapewnienie wymaganego okresu ich przechowywania, ograniczenie dostępności do danych osobowych.

loupe more_vert
ZAMKNIJ close

Alerty

§ 12. Kierownik komórki organizacyjnej GUM jest odpowiedzialny za zarządzanie procesami przetwarzania danych osobowych w podległej mu komórce organizacyjnej.

loupe more_vert
ZAMKNIJ close

Alerty

Rozdział 3

Przechowywanie i niszczenie danych osobowych

§ 13. 1. Dane osobowe są przechowywane w GUM w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do osiągnięcia celów, dla realizacji których dane te zostały zebrane.

2. Kierownik komórki organizacyjnej GUM ustala okres przechowywania danych osobowych, przetwarzanych w kierowanej przez siebie komórce organizacyjnej w ramach realizowanych czynności przetwarzania.

3. W przypadku braku w przepisach prawa regulacji dotyczących okresu przechowywania danych osobowych, kierownik komórki organizacyjnej GUM wskazuje kryteria, na podstawie których ustalił okres przechowywania danych osobowych.

4. Kierownik komórki organizacyjnej GUM jest odpowiedzialny za dokonanie w każdym roku kalendarzowym przeglądu danych osobowych przetwarzanych w kierowanej przez siebie komórce organizacyjnej oraz lokalizacji tych danych, w celu ustalenia konieczności dalszego ich przechowywania.

loupe more_vert
ZAMKNIJ close

Alerty

§ 14. 1. Dane osobowe, których dalsze przechowywanie w GUM nie jest konieczne do realizacji celów, dla których zostały zebrane, są usuwane.

2. Usuwanie danych osobowych, przetwarzanych w GUM w postaci elektronicznej, odbywa się poprzez ich usunięcie lub nadpisanie z wykorzystaniem specjalistycznego oprogramowania.

3. Usuwanie danych osobowych przetwarzanych w GUM w postaci pisemnej oraz znajdujących się na elektronicznych nośnikach danych dokonywane jest poprzez ich fizyczne zniszczenie.

4. Dane osobowe przetwarzane w systemie Elektronicznego Zarządzania Dokumentacją są usuwane przez osoby, które wprowadziły dane do tego systemu lub inną osobę wyznaczoną przez kierownika komórki organizacyjnej GUM, której pracownik wprowadził dane do systemu.

5. Usuwanie danych osobowych odbywa się komisyjnie, z wyłączeniem danych osobowych, o których mowa w ust. 4. Kierownik komórki organizacyjnej GUM albo osoba odpowiedzialna za prowadzenie archiwum zakładowego zgłasza Inspektorowi konieczność usunięcia danych osobowych przetwarzanych w kierowanej przez siebie komórce organizacyjnej albo w archiwum zakładowym. Inspektor proponuje skład komisji, który zatwierdza administrator danych.

6. Komisja, o której mowa w ust. 5, przygotowuje protokół z usunięcia danych osobowych w dwóch egzemplarzach, jeden dla komórki organizacyjnej GUM, na wniosek której usunięto dane osobowe albo archiwum zakładowego, drugi dla Inspektora.

7. Protokół, o którym mowa w ust. 6, powinien zawierać następujące informacje:

1) datę sporządzenia protokołu;

2) rodzaj danych osobowych podlegających usunięciu;

3) postać w jakiej dane osobowe zostały utrwalone (pisemna, elektroniczna);

4) podstawę (powód) usunięcia danych osobowych;

5) nazwę komórki organizacyjnej GUM wnioskującej o usunięcie danych osobowych;

6) imiona i nazwiska oraz podpisy członków komisji.

8. Możliwe jest korzystanie z usług wyspecjalizowanych podmiotów, realizujących usługi w zakresie niszczenia dokumentów i elektronicznych nośników danych, które dają gwarancje zabezpieczeń wymaganych przepisami prawa. Korzystanie z usług podmiotów, o których mowa w zdaniu pierwszym, jest możliwe wyłącznie po zawarciu z tymi podmiotami umowy powierzenia przetwarzanych danych osobowych, dotyczącej realizacji tych usług.

loupe more_vert
ZAMKNIJ close

Alerty

Rozdział 4

Środki techniczne i organizacyjne stosowane w celu ochrony danych osobowych

§ 15. 1. W celu ochrony danych osobowych w GUM stosuje się odpowiednie środki techniczne i organizacyjne.

2. Dobór środków technicznych i organizacyjnych odpowiednich do kategorii przetwarzanych danych osobowych uwzględnienia wymagania zawarte w rozporządzeniu 2016/679.

3. Dobór środków technicznych i organizacyjnych uwzględnia przeprowadzoną ocenę ryzyka i jej następujące elementy:

1) stan wiedzy technicznej;

2) koszt wdrożenia środków technicznych i organizacyjnych;

3) charakter przetwarzania, przez który należy rozumieć sposób dokonywania przetwarzania, czyli częstotliwość, czasowość, długoterminowość;

4) zakres przetwarzania (katalog operacji na danych osobowych);

5) kontekst przetwarzania, czyli kategorie przetwarzanych danych, kategorie osób, których dane osobowe dotyczą, okoliczności zbierania i dalszego przetwarzania, otoczenie i zagrożenia dla bezpieczeństwa i integralności danych osobowych;

6) cel przetwarzania danych osobowych.

4. Jeżeli z oceny ryzyka wynika, że operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób, których dane dotyczą, Inspektor przeprowadza i dokumentuje ocenę skutków dla ochrony danych osobowych, w celu oszacowania źródła, charakteru, specyfiki i powagi tego ryzyka.

5. Wyniki oceny skutków dla ochrony danych uwzględnia się przy doborze środków technicznych i organizacyjnych, które należy zastosować, w celu zgodnego z prawem przetwarzania danych osobowych.

6. Zastosowane środki techniczne uwzględniają zagrożenia związane z przetwarzaniem danych osobowych wynikające, w szczególności, z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych w GUM.

loupe more_vert
ZAMKNIJ close

Alerty

§ 16. Siedziba GUM, w której przetwarzane są dane osobowe, jest nadzorowana całodobowo przez pracowników koncesjonowanego pomiotu, świadczącego usługi z zakresu ochrony i zabezpieczona technicznymi środkami ochrony, w tym monitoringiem i systemem przeciwpożarowym.

loupe more_vert
ZAMKNIJ close

Alerty

§ 17. Dokumenty zawierające dane osobowe są przechowywane w pomieszczeniach zamykanych na klucz, i jeżeli to możliwe, w szafach zamykanych na klucz. Dotyczy to zwłaszcza danych osobowych szczególnej kategorii, o których mowa w art. 9 rozporządzenia 2016/679. Szczegółowe zasady postępowania z kluczami do pomieszczeń GUM określają odrębne akty wewnętrzne GUM.

loupe more_vert
ZAMKNIJ close

Alerty

§ 18. Administrator danych, mając na względzie skuteczną realizację ochrony danych osobowych, monitoruje wdrożone zabezpieczenia, aktualizuje je i dostosowuje do zmieniających się zagrożeń dla przetwarzania danych osobowych w GUM.

loupe more_vert
ZAMKNIJ close

Alerty

Rozdział 5

Realizacja praw osób, których dane osobowe są przetwarzane w GUM

§ 19. Administrator danych realizuje prawa osób, których dane osobowe są przetwarzane w GUM, wskazane w art. 12-22 rozporządzenia 2016/679, jeżeli realizacja ta jest możliwa.

loupe more_vert
ZAMKNIJ close

Alerty

§ 20. 1. Z wyjątkiem prawa do informacji, realizacja praw osób, których dane dotyczą, jeżeli jest możliwa, odbywa się na podstawie pisemnego wniosku osoby, której dane osobowe dotyczą.

2. W przypadku wątpliwości co do tożsamości osoby zwracającej się z wnioskiem o realizację jej praw, tożsamość osoby jest weryfikowana, w szczególności poprzez uzyskanie informacji, która została podana we wcześniejszych kontaktach,

a co do której można mieć pewność, że będzie ją posiadać jedynie osoba, której dane osobowe dotyczą.

3. Wpływające zapytania i wnioski dotyczące przetwarzanych w GUM danych osobowych osób, których te dane dotyczą, są rejestrowane w prowadzonym przez Inspektora ,,Rejestrze wniosków i zapytań osób, których dane osobowe są przetwarzane w GUM".

loupe more_vert
ZAMKNIJ close

Alerty

§ 21. 1. Administrator danych informuje osobę, której dane osobowe są przetwarzane w GUM, o fakcie przetwarzania dotyczących jej danych osobowych.

2. Realizacja obowiązku informacyjnego może odbywać się:

1) jednoetapowo - wszystkie informacje wskazane w art. 13 lub art. 14 rozporządzenia 2016/679 przekazywane są jednocześnie;

2) wieloetapowo - najważniejsze informacje określone przez Inspektora, przekazywane są w momencie pierwszego kontaktu z osobą, której dane dotyczą, natomiast informacje szczegółowe o zasadach przetwarzania, przekazywane są poprzez stronę internetową GUM, BIP oraz tablicę informacyjną znajdującą się w widocznym miejscu w siedzibie GUM.

3. Informacje podaje się w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, a zakres przekazywanych informacji należy dostosować do sposobu pozyskania danych osobowych.

4. Pozyskując dane osobowe od osoby, której dane dotyczą, administrator danych przekazuje tej osobie informacje wskazane w art. 13 rozporządzenia 2016/679, w momencie pozyskania danych.

5. Jeżeli dane osobowe pozyskano z innego źródła niż od osoby, której dane dotyczą, administrator danych podaje osobie, której dane dotyczą, informacje wskazane w art. 14 rozporządzenia 2016/679.

6. Informacje, o których mowa w ust. 5, podaje się w terminie:

1) nie później niż jednego miesiąca od momentu pozyskania danych osobowych, biorąc pod uwagę konkretne okoliczności przetwarzania danych osobowych;

2) najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą;

3) najpóźniej przy pierwszym ujawnieniu danych osobowych, jeżeli planuje się je ujawnić innemu odbiorcy.

7. Obowiązków, o których mowa w ust. 4 i 5, nie stosuje się, gdy i w zakresie w jakim osoba, której dane dotyczą, dysponuje już tymi informacjami.

8. Za realizację obowiązków informacyjnych, o których mowa w ust. 4 i 5, odpowiedzialni są kierownicy komórek organizacyjnych GUM, w których dane osobowe będą przetwarzane. Informacje te mogą zostać przekazane na piśmie, w tym drogą elektroniczną, a w szczególnych przypadkach telefonicznie.

loupe more_vert
ZAMKNIJ close

Alerty

§ 22. 1. Rozpatrywanie wniosków osób, których dane dotyczą, związanych z realizacją ich praw, wpływających do GUM, koordynuje Inspektor. Odpowiedź na wniosek udzielana jest w terminie nie dłuższym niż miesiąc.

2. Za realizację merytoryczną wniosku odpowiedzialni są kierownicy komórek organizacyjnych GUM.

3. Inspektor weryfikuje kompletność danych adresowych oraz identyfikuje komórkę organizacyjną GUM, w której przetwarzane są dane osoby wnioskującej o realizację jej praw.

4. W sytuacji braku wystarczających informacji, umożliwiających zidentyfikowanie komórki organizacyjnej GUM, do której wniosek powinien być przekazany, Inspektor występuje do osoby, która zwróciła się z wnioskiem o realizację jej praw, o uszczegółowienie informacji.

5. Po otrzymaniu informacji z komórki organizacyjnej GUM, realizującej przetwarzanie danych osobowych dotyczących otrzymanego wniosku, Inspektor udziela w formie pisemnej odpowiedzi osobie wnioskującej.

6. W przypadku braku możliwości realizacji wniosku, informację o przyczynach braku możliwości jego realizacji, Inspektor przesyła osobie, która wystąpiła z wnioskiem o realizację jej praw.

7. Jeżeli wniosek osoby w zakresie przysługujących jej praw związanych z ochroną danych osobowych został przesłany bezpośrednio do komórki organizacyjnej GUM, komórka ta jest zobowiązana do niezwłocznego przekazania wniosku Inspektorowi.

loupe more_vert
ZAMKNIJ close

Alerty

§ 23. Osoba, której dane osobowe są przetwarzane w GUM, ma prawo do:

1) żądania dostępu do swoich danych oraz otrzymania ich kopii;

2) żądania sprostowania lub uzupełnienia swoich danych, jeśli są błędne lub nieaktualne;

3) żądania usunięcia danych osobowych, z uwzględnieniem art. 17 rozporządzenia 2016/679;

4) żądania ograniczenia przetwarzania danych osobowych;

5) wniesienia sprzeciwu wobec przetwarzania danych osobowych, zgodnie z art. 21 rozporządzenia 2016/679;

6) wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

loupe more_vert
ZAMKNIJ close

Alerty

Rozdział 6

Powierzenie przetwarzania danych osobowych i udostępnienie danych osobowych

§ 24. 1. Prezes GUM, realizując swoje zadania związane z przetwarzaniem danych osobowych:

1) jako administrator danych - może powierzyć przetwarzanie danych osobowych w swoim imieniu innemu podmiotowi;

2) jako podmiot przetwarzający - może na zlecenie i w imieniu innego podmiotu, będącego administratorem danych, przetwarzać powierzone dane osobowe.

2. Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych osobowych, w drodze odrębnej umowy, zawartej w formie pisemnej lub elektronicznej, albo poprzez uwzględnienie w umowie głównej postanowień zawierających uregulowania analogiczne, jak w odrębnej umowie powierzenia przetwarzania danych osobowych.

3. Podmiot przetwarzający powinien zapewniać gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych osobowych chroniło prawa osób, których dane dotyczą.

4. W przypadku, gdy administrator danych przyjmie dane osobowe do przetwarzania od innego podmiotu będącego administratorem danych, za realizację obowiązków wynikających z umowy powierzenia przetwarzania danych osobowych odpowiada, w imieniu administratora danych, kierownik komórki organizacyjnej GUM realizującej zadania, z którymi wiąże się przetwarzanie powierzonych danych osobowych.

5. Kierownik komórki organizacyjnej GUM zobowiązany jest do informowania Inspektora, co najmniej z dwutygodniowym wyprzedzeniem, o zamiarze powierzenia przetwarzania danych osobowych i przekazania mu niezbędnych informacji w tym zakresie, w szczególności opisu, na czym ma polegać przetwarzanie danych osobowych przez podmiot przetwarzający, aby umożliwić Inspektorowi zajęcie stanowiska w przedmiotowej kwestii, i dokonać z nim uzgodnienia kryteriów powierzenia.

loupe more_vert
ZAMKNIJ close

Alerty

§ 25. 1. Komórka organizacyjna GUM właściwa do spraw bezpieczeństwa prowadzi ,,Rejestr umów powierzenia przetwarzania danych osobowych".

2. Kopie zawartych umów powierzenia przetwarzania danych osobowych są przekazywane do komórki organizacyjnej GUM właściwej do spraw bezpieczeństwa, niezwłocznie po ich podpisaniu.

3. Każda umowa lub postanowienia w sprawie powierzenia danych osobowych do przetwarzania w GUM przez innego administratora danych muszą być uzgodnione i zatwierdzone przez Inspektora.

loupe more_vert
ZAMKNIJ close

Alerty

§ 26. 1. Udostępnienie danych osobowych stanowi przekazanie danych osobowych odbiorcy spoza GUM, który to odbiorca sam decyduje o celach i sposobach przetwarzania danych.

2. Udostępnienie danych osobowych, jeśli jest niezbędne, odbywa się na pisemny, uzasadniony wniosek, ze wskazaniem podstawy żądania udostępnienia danych osobowych.

3. Udostępnienie jest ewidencjonowane w ,,Rejestrze udostępnień danych osobowych", prowadzonym przez komórkę organizacyjną GUM właściwą do spraw bezpieczeństwa.

loupe more_vert
ZAMKNIJ close

Alerty

Rozdział 7

Realizacja szkoleń i prowadzenie działań zwiększających świadomość w zakresie ochrony danych osobowych

§ 27. 1. Inspektor przeprowadza szkolenia z zakresu ochrony danych osobowych:

1) wstępne - dla nowo zatrudnionych pracowników oraz osób wykonujących zadania na podstawie umów cywilnoprawnych;

2) przypominające - dla pracowników GUM oraz osób wykonujących zadania na podstawie umów cywilnoprawnych.

2. Szkolenia z zakresu ochrony danych osobowych mogą być przeprowadzane w trybie stacjonarnym lub online.

3. Szkolenia obejmują co najmniej następujące zagadnienia:

1) przepisy o ochronie danych osobowych;

2) zasady przetwarzania danych osobowych w GUM;

3) regulacje dotyczące bezpiecznego przetwarzania danych osobowych, w tym w systemach teleinformatycznych;

4) zagrożenia związane z przetwarzaniem danych osobowych;

5) sposób postępowania w razie zaistnienia zagrożenia dla bezpieczeństwa przetwarzanych danych osobowych lub naruszenia zasad przetwarzania danych osobowych;

6) odpowiedzialność za niezgodne z prawem przetwarzanie danych osobowych.

4. Przeprowadzenie szkoleń jest dokumentowane listą obecności, a osoby przeszkolone otrzymują zaświadczenie.

loupe more_vert
ZAMKNIJ close

Alerty

§ 28. W GUM prowadzone są działania mające na celu zwiększenie świadomości pracowników w zakresie ochrony danych osobowych, w szczególności poprzez publikowanie w programie SharePoint na platformie Microsoft 365 treści dotyczących ochrony i bezpiecznego przetwarzania danych osobowych.

loupe more_vert
ZAMKNIJ close

Alerty

Rozdział 8

Naruszenia ochrony danych osobowych

§ 29. W przypadku podejrzenia wystąpienia naruszenia ochrony danych osobowych pracownik GUM niezwłocznie podejmuje czynności niezbędne dla powstrzymania niepożądanych skutków, polegające w szczególności na:

1) zaniechaniu działań, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę;

2) powstrzymaniu się od pracy w systemie teleinformatycznym, jeżeli jego dotyczy naruszenie;

3) zabezpieczeniu, w zależności od sytuacji, dostępu do pomieszczenia, nośników informacji i urządzeń służących do przetwarzania informacji, a także dowodów naruszenia przed zniszczeniem;

4) niezwłocznym powiadomieniu Inspektora.

loupe more_vert
ZAMKNIJ close

Alerty

§ 30. 1. Inspektor dokonuje analizy naruszenia ochrony danych osobowych, ocenia wagę zaistniałego naruszenia i podejmuje decyzję w sprawie dalszego postępowania, w tym dotyczącą przetwarzania danych osobowych. Każdy pracownik, który ma związek z zaistniałym naruszeniem, jest zobowiązany do współpracy z Inspektorem i do udzielania wyjaśnień.

2. Jeżeli w wyniku dokonanej oceny wagi naruszenia Inspektor stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych, których dane dotyczą, jest niskie, sporządza raport o naruszeniu ochrony danych osobowych i niezwłocznie przekazuje go administratorowi danych.

3. Jeżeli, w wyniku dokonanej oceny wagi naruszenia, Inspektor stwierdził, że naruszenie ochrony danych osobowych może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, a poziom wagi naruszenia ochrony danych dla osób, których dane dotyczą jest średni, wysoki lub bardzo wysoki, sporządza raport o naruszeniu ochrony danych osobowych i niezwłocznie przekazuje go administratorowi danych oraz osobie upoważnionej przez administratora danych do zgłaszania naruszeń danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych.

4. Zgłoszenia naruszeń danych osobowych należy przekazać do Prezesa Urzędu Ochrony Danych Osobowych, nie później niż w terminie 72 godzin od stwierdzenia naruszenia.

5. Komórka organizacyjna GUM właściwa do spraw bezpieczeństwa prowadzi ,,Rejestr naruszeń ochrony danych osobowych".

loupe more_vert
ZAMKNIJ close

Alerty

§ 31. Wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych wymaga niezwłocznego zawiadomienia osoby lub osób, których dane dotyczą, ze wskazaniem miejsca i czasu zdarzenia, charakteru zdarzenia, możliwych skutków i podjętych czynności, w celu przeciwdziałania negatywnym skutkom zaistniałego naruszenia, chyba że administrator danych podjął działania prewencyjne przed zaistnieniem naruszenia albo podjął działania wskazane w art. 34 ust. 3 rozporządzenia 2016/679, po jego wystąpieniu.

loupe more_vert
ZAMKNIJ close

Alerty

Rozdział 9

Przepisy końcowe

§ 32. Traci moc zarządzenie nr 11 Prezesa Głównego Urzędu Miar z dnia 31 sierpnia 2022 r. w sprawie ochrony danych osobowych w Głównym Urzędzie Miar.

loupe more_vert
ZAMKNIJ close

Alerty

§ 33. Zarządzenie wchodzi w życie z dniem 1 sierpnia 2023 r.

Prezes Głównego Urzędu Miar: Jacek Semaniak

Treść przypisu ZAMKNIJ close
Treść przypisu ZAMKNIJ close
close POTRZEBUJESZ POMOCY?
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00