Polityka ochrony danych osobowych

POLITYKA OCHRONY DANYCH OSOBOWYCH

DOMU POMOCY SPOŁECZNEJ

w ul. Kwiatowej 12, 00-000 Kwiatowo

/ramowy wzór/

wymagający uszczegółowienia w każdym z DPS-ów, biorąc pod uwagę specyfikę danego ośrodka/

1. "Polityka ochrony danych osobowych" (dalej także "Polityka") Domu Pomocy Społecznej

w ul. Kwiatowej 12, 00-000 Kwiatowo stanowi zbiór zasad i regulacji ochrony danych osobowych obowiązujących

w "Słoneczny Dom" Sp. z o.o..

Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu przepisów RODO –

rozporządzenia PEiR (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych

w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich

danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

(Dz. Urz. UE L 119/1 z 4.5.2016).

2. Polityka zawiera:

a) opis zasad ochrony danych obowiązujących w DPS;

b) odwołania do załączników uszczegóławiających (konkretne procedury lub instrukcje

dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych wymagających

doprecyzowania w odrębnych dokumentach).

3. Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest Kierownik/Dyrektor DPS,

a w ramach DPS:

a) Starszy Opiekun, któremu powierzono nadzór nad obszarem ochrony

danych osobowych - zarówno dokumentacja w wersji papierowej, jak i sprzęt, w tym

sprzęt komputerowy.

b) Informatyk - wyznaczony przez Kierownika/Dyrektora

DPS do zapewnienia zgodności procedur i systemów informatycznych stosowanych

w DPS, a związanych w przetwarzaniem danych osobowych.

4. Za monitorowanie przestrzegania Polityki odpowiada Inspektor Ochrony Danych.

5. DPS zapewnia zgodność przetwarzania danych osobowych z regulacjami RODO

oraz krajowymi przepisami dotyczącymi ochrony danych osobowych - szczególnie

w odniesieniu do: pracowników i mieszkańców DPS, a ponadto danych osobowych

powierzonych do przetwarzania podmiotom trzecim, poprzez stosowanie postanowień Polityki

oraz zapewnienie technicznych i organizacyjnych środków ochrony danych.

6. Skróty i definicje:

- Polityka oznacza niniejszą Politykę ochrony danych osobowych, o ile co innego nie

wynika wyraźnie z kontekstu.

- RODO oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016

r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych

osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy

95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119/1 z 4.5.2016).

- Dane oznaczają dane osobowe, o ile co innego nie wynika wyraźnie z kontekstu.

- Dane szczególnych kategorii oznaczają dane osobowe ujawniające pochodzenie rasowe

lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe,

przynależność do związków zawodowych oraz przetwarzania danych genetycznych,

danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub

danych dotyczących zdrowia, seksualności lub orientacji seksualnej.

- Osoba oznacza osobę, której dane dotyczą, o ile co innego nie wynika wyraźnie

z kontekstu.

- Podmiot przetwarzający oznacza podwykonawcę,któremu DPS powierzył przetwarzanie

danych osobowych (np. księgowy, prawnik, lekarz).

- IOD lub Inspektor oznacza Inspektora Ochrony Danych Osobowych.

- RCPD lub Rejestr oznacza Rejestr Czynności Przetwarzania Danych Osobowych.

7. Filary ochrony danych osobowych w DPS:

1) Legalność − DPS dba o ochronę prywatności i przetwarza dane zgodnie z prawem.

2) Bezpieczeństwo − DPS zapewnia odpowiedni poziom bezpieczeństwa danych podejmując

stale działania w tym zakresie.

3) Prawa mieszkańca (pracownika) − DPS umożliwia osobom, których dane przetwarza,

wykonywanie swoich praw i prawa te realizuje.

4) Rozliczalność − DPS dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej

chwili móc wykazać zgodność.

8. Zasady ochrony danych

DPS działa w oparciu o ustawę z 12 marca 2004 r. o pomocy społecznej oraz statut:

1) rzetelnie i uczciwie (rzetelność);

2) w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);

3) w konkretnych celach i nie "na zapas" (minimalizacja);

4) nie więcej niż potrzeba (adekwatność);

5) z dbałością o prawidłowość danych (prawidłowość);

6) nie dłużej niż potrzeba (czasowość);

7) zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo);

8) zgodnie z prawem (legalizm).

9. System ochrony danych

System ochrony danych osobowych w DPS składa się z następujących elementów:

1) Inwentaryzacja danych. Ocena skutków dla ochrony danych. DPS w terminie

co najmniej do końca grudnia 2024 (lub każdorazowo w trakcie

3 miesięcy - jak dodawane (odejmowane) są kolejne kategorie przetwarzanych

danych) dokonuje identyfikacji zasobów przetwarzanych danych osobowych, kategorii

danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania

danych (inwentaryzacja), w tym:

a) przypadków przetwarzania danych szczególnych kategorii;

b) przypadków przetwarzania danych osób, których DPS nie identyfikuje (dane

niezidentyfikowane);

c) współadministrowania danymi.

Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii –

ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem

może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, DPS

przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji

przetwarzania dla ochrony danych osobowych zgodnie z załącznikiem 1 do Polityki. Dla

podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem

można przeprowadzić pojedynczą ocenę.

2) Rejestr. DPS opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych

Osobowych w DPS zgodnie z załącznikiem 2 do Polityki. Rejestr jest narzędziem

rozliczania zgodności z ochroną danych w DPS.

3) Umowy powierzenia przetwarzania danych. DPS zawiera z podmiotami lub osobami,

którym powierza przetwarzanie danych osobowych (np. księgowy,

prawnik, lekarz) odpowiednie umowy powierzenia, stosownie do art. 28 RODO,

zgodnie ze wzorem umowy powierzenia z załącznika 3. Przed powierzeniem danych

osobowych podwykonawcy, należy dokonać weryfikacji gwarancji dawanych przez niego

w zakresie zapewnienia właściwej ochrony danych. W szczególności poprzez przekazanie

odpowiedniej ankiety bezpieczeństwa.

4) Podstawy prawne. DPS zapewnia, identyfikuje, weryfikuje podstawy prawne

przetwarzania danych i rejestruje je w Rejestrze, w tym:

a) utrzymuje system zarządzania zgodami na przetwarzanie danych, aby być w stanie

wykazać, że gdy było to niezbędne uzyskał dobrowolną i świadomą zgodę osoby,

której dane dotyczą na przetwarzanie jej danych;

b) inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy DPS przetwarza dane

na podstawie prawnie uzasadnionego interesu DPS, poprzez przeprowadzanie testu

równowagi zgodnie z załącznikiem 4.

5) Obsługa praw jednostki. DPS spełnia obowiązki informacyjne względem osób, których

dane przetwarza, oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie

żądania, w tym:

a) Obowiązki informacyjne. DPS przekazuje osobom prawem wymagane informacje

przy zbieraniu danych i w innych sytuacjach oraz organizuje i zapewnia

udokumentowanie realizacji tych obowiązków. Wzór klauzuli informacyjnej stanowi

załącznik 5.

b) Możliwość wykonania żądań. DPS weryfikuje i zapewnia możliwość efektywnego

wykonania każdego typu żądania przez siebie i swoich przetwarzających. Procedura

realizacji praw osób, których dane dotyczą stanowi załącznik 6.

c) Obsługa żądań. DPS zapewnia odpowiednie nakłady i procedury, aby żądania osób

były realizowane w terminach i w sposób wymagany RODO i dokumentowane.

d) Zawiadamianie o naruszeniach. DPS stosuje procedury pozwalające na ustalenie

konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem

ochrony danych, zgodnie z procedurą postępowania w przypadku naruszenia,

stanowiącą załącznik 7.

6) Minimalizacja. DPS posiada zasady i metody zarządzania minimalizacją zakresu

przetwarzanych danych osobowych (privacy by default), a w tym:

a) zasady zarządzania adekwatnością danych, aby przetwarzane dane były jedynie

w zakresie niezbędnym do realizacji określonego celu;

b) zasady reglamentacji i zarządzania dostępem do danych, aby miały go jedynie osoby

do tego upoważnione zgodnie z procedurą nadawania upoważnień z załącznika 8;

c) zasady zarządzania okresem przechowywania danych i weryfikacji dalszej

przydatności, aby dane były skutecznie i niezwłocznie niszczone po ustaniu

przydatności, zgodnie z procedurą niszczenia dokumentów z załącznika 9.

7) Bezpieczeństwo. DPS zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:

a) przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii,

w celu doboru adekwatnych środków ochrony danych;

b) przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw

i wolności osób jest wysokie;

c) dostosowuje środki ochrony danych do ustalonego ryzyka;

d) posiada instrukcję zarządzania bezpieczeństwem systemów informatycznych;

e) stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego

naruszenia ochrony danych Urzędowi Ochrony Danych − zarządza incydentami.

8) Privacy by design. DPS zarządza zmianami mającymi wpływ na prywatność. W tym celu

procedury uruchamiania nowych projektów lub zadań DPS uwzględniają konieczność

oceny wpływu zmiany na ochronę danych, zapewnienie prywatności (a w tym zgodności

celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania

zmiany, inwestycji czy na początku nowego projektu.

10. Rejestr Czynności Przetwarzania Danych (RCPD)

1) RCPD stanowi formę dokumentowania czynności przetwarzania danych osobowych

w DPS. RCPD pełni rolę mapy przetwarzania danych i jest jednym z kluczowych

elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały

system ochrony danych osobowych, czyli zasady rozliczalności.

2) DPS prowadzi RCPD, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje

dane osobowe.

3) RCPD jest jednym z podstawowych narzędzi umożliwiających DPS rozliczanie większości

obowiązków ochrony danych.

4) W RCPD, dla każdej czynności przetwarzania danych, którą DPS uznała za odrębną dla

potrzeb RCPD, DPS odnotowuje co najmniej:

(a) nazwę czynności przetwarzania,

(b) cel przetwarzania,

(c) kategorię osób, których dane dotyczą,

(d) kategorie danych osobowych,

(e) kategorię odbiorców danych,

(f) informacje o przekazaniu danych do państwa trzeciego lub organizacji

międzynarodowej,

(g) planowane terminy usunięcia poszczególnych kategorii danych,

(h) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa; (i) podstawę prawną przetwarzania.

5) Wzór RCPD stanowi Załącznik nr 10 do Polityki. Wzór Rejestru zawiera także

kolumny nieobowiązkowe.

W kolumnach nieobowiązkowych DPS rejestruje informacje w miarę potrzeb i możliwości,

z uwzględnieniem tego, że pełniejsza treść RCPD ułatwia zarządzanie zgodnością ochrony

danych i rozliczenie się z niej.

11. Podstawy przetwarzania

1) W celu zapewnienia rozliczalności danych DPS dokumentuje w RCPD podstawy prawne

przetwarzania danych dla poszczególnych czynności przetwarzania.

2) Wskazując ogólną podstawę prawną (zgoda) DPS dookreśla podstawę

w czytelny sposób, gdy jest to potrzebne. Np. dla zgody na przetwarzanie danych osobowych wskazując na

jej zakres, gdy podstawą jest prawo - wskazując na konkretny przepis i inne dokumenty,

np. ustawa o pomocy społecznej, statut DPS, obowiązek prawny - wskazując na kategorie zdarzeń, w których

się zmaterializują, uzasadniony cel - wskazując na konkretny cel, np. zapewnienie bezpieczeństwa mieszkańcom,

prowadzenie dokumentacji medycznej.

3) DPS wdraża metody zarządzania zgodami umożliwiające rejestrację i weryfikację

posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu,

zgody na komunikację na odległość (e-mail, telefon, SMS, in.) oraz rejestrację odmowy

zgody, cofnięcia zgody i podobnych czynności (sprzeciw, ograniczenie itp.). Wzór zgody

stanowi załącznik 11 do Polityki.

4) Kierownik Działu ma obowiązek znać podstawy prawne, na

jakich komórka przez niego kierowana dokonuje konkretnych czynności przetwarzania

danych osobowych. Jeżeli podstawą jest uzasadniony interes DPS, Kierownik Działu ma

obowiązek znać konkretny realizowany przetwarzaniem interes DPS.

12. Zgłaszanie naruszenia ochrony danych osobowych Prezesowi UODO

1) W przypadku naruszenia w DPS ochrony danych osobowych, Informatyk bez

zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po

stwierzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55

RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem

naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi

nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

2) Zgłoszenie naruszenia w DPS ochrony danych osobowych musi co najmniej:

a) opisywać charakter naruszenia ochrony danych osobowych, w tym, w miarę możliwości, kategorie

i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę

rekordów danych osobowych, których dotyczy naruszenie;

b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innej osoby, od

której można uzyskać więcej informacji;

c) opisywać prawdopodobne konsekwencje naruszenia ochrony danych osobowych;

d) opisywać środki podjęte lub proponowane przez administratora w celu zaradzenia

naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu

złagodzenia jego ewentualnych negatywnych skutków.

3) Informatyk dokumentuje wszelkie naruszenia ochrony danych osobowych,

w tym okoliczności naruszenia ochrony danych osobowych w DPS, jego skutki

oraz podjęte działania zaradcze.

4) Procedury postępowania na wypadek naruszenia, a także oceny ryzyka naruszenia

i zawiadamiania osób, których dotyczy naruszenie w przypadku wysokiego ryzyka

naruszenia, określono w załączniku 12.

13. Wyznaczenie Inspektora ochrony danych w DPS

1) Status prawny i zadania Inspektora ochrony danych regulują przepisy art. 37-39 RODO.

2) Inspektor ochrony danych w wykonywaniu swoich zadań podlega bezpośrednio

Dyrektorowi DPS.

3) Do zadań Inspektora ochrony danych należy w szczególności:

a) informowanie i doradzanie administratorowi, podmiotowi przetwarzającemu oraz

pracownikom, którzy przetwarzają dane osobowe, o ich obowiązkach wynikających z RODO;

b) monitorowanie przestrzegania RODO;

c) doradzanie w kwestii oceny skutków dla ochrony danych;

d) inspektor jest niezależny w swoich działaniach i nie może otrzymywać poleceń

dotyczących sposobu wykonywania przez niego obwiązków.

14. Załączniki:

Wykaz załączników do Polityki Ochrony Danych Osobowych.