Regulamin prowadzenia mediów społecznościowych

Regulamin prowadzenia mediów społecznościowych w jednostce sektora finansów publicznych Krakowski Bank Spółdzielczy

 

I. Zakres podmiotowy i przedmiotowy regulaminu

1. Regulamin prowadzenia mediów społecznościowych w jednostce sektora finansów publicznych Krakowski Bank Spółdzielczy określa zasady ochrony danych osobowych dotyczących użytkowników mediów społecznościowych, Administratora oraz obowiązki związane z ochroną danych osobowych w tym zakresie.

2. Regulamin obejmuje swoim zakresem wszystkich pracowników Administratora, udostępniających informacje, w tym dane osobowe, w mediach społecznościowych Administratora, dotyczące jego funkcjonowania. Zakresem podmiotowym regulaminu objęte są także osoby przygotowujące informacje.

3. Regulamin dotyczy przetwarzania danych osobowych we wszystkich mediach społecznościowych prowadzonych przez Administratora (w tym Facebook, Instagram, Twitter).

4. Korzystanie z fanpage’a/kanału obejmuje takie działania użytkownika, jak przeglądanie fanpage’a, wysyłanie wiadomości, kontaktowanie się z Administratorem, publikowanie postów.

 

II. Podstawowe pojęcia

Ilekroć w regulaminie jest mowa o:

1) Administratorze - należy przez to rozumieć jednostkę sektora finansów publicznych Krakowski Bank Spółdzielczy;

2) Danych osobowych - należy przez to rozumieć wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak Jan i Kowalski, 12345678901, ul. Kwiatowa 12, 30-123 Kraków, 192.168.1.1 lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; w szczególności za dane osobowe przetwarzane w ramach prowadzenia mediów społecznościowych należy uznać: Anna, Nowak, annowak123, AnnaN, zdjęcie profilowe, polubienia postów, [email protected], inne dane osobowe zawarte w postach lub komentarzach;

3) IOD - należy przez to rozumieć Inspektora Ochrony Danych, powoływanego przez Administratora na podstawie art. 37 RODO;

4) Przetwarzaniu danych osobowych - należy przez to rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; przetwarzanie danych osobowych w mediach społecznościowych obejmuje w szczególności takie czynności, jak publikowanie danych osobowych (w tym zdjęcie profilowe), komunikowanie się z użytkownikami.

5) Regulaminie - należy przez to rozumieć Regulamin prowadzenia mediów społecznościowych w jednostce sektora finansów publicznych;

6) RODO - należy przez to rozumieć rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119/1 z 4.5.2016);

7) Użytkowniku - należy przez to rozumieć każdą osobę, która jest aktywna w mediach społecznościowych Administratora, której dane osobowe są przetwarzane przez administratora;

8) Zasadzie minimalizacji - zasada określona w art. 5 ust. 1 lit. c) RODO, zgodnie z którą dane osobowe są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

 

III. Obowiązki związane z prowadzeniem mediów społecznościowych

Osoba kierująca komórką organizacyjną, w której zadaniach mieści się przetwarzanie danych osobowych w związku z prowadzeniem mediów społecznościowych jest zobowiązana do dopełnienia następujących obowiązków:

1) Przetwarzania danych osobowych użytkowników zgodnie z zasadami określonymi w pkt IV regulaminu,

2) Wykonania obowiązku informacyjnego, zgodnie z pkt V regulaminu,

3) Realizacji praw użytkowników wynikających z RODO, zgodnie z pkt VI regulaminu,

4) Dokonywania cyklicznych przeglądów i usuwania danych osobowych, zgodnie z pkt VII regulaminu,

5) Prowadzenia komunikacji z użytkownikami, zgodnie z pkt VIII regulaminu.

 

IV. Zasady przetwarzania informacji zawierających dane osobowe w ramach mediów społecznościowych

1. Dane osobowe użytkowników mogą być przetwarzane w następujących celach:

1) prowadzenie fanpage’a/profilu/kanału,

2) kontaktowanie się z użytkownikami zainteresowanymi organizowanymi wydarzeniami/akcjami,

3) przygotowywanie statystyk,

4) prowadzenie akcji marketingowych

5) dochodzenie roszczeń.

2. Kontaktowanie się z użytkownikami dozwolone jest wyłącznie przy użyciu przeznaczonych do tego komunikatorów, w celach związanych z realizacją zadań komórki organizacyjnej. Nie jest dozwolone przechowywanie danych osobowych użytkowników w innych miejscach niż przeznaczony do tego komunikator.

3. Udostępnienie danych osobowych przez osoby kierujące komórkami organizacyjnymi poprzedza analiza zgodności celu przetwarzania z celami określonymi w ust. 1 powyżej, a także zakresu publikowanych danych osobowych z uwzględnieniem zasady minimalizacji danych.

4. W przypadku pozytywnej oceny zgodności celów osoba kierująca komórką organizacyjną może opublikować informacje zawierające dane osobowe, jeżeli zakres tych informacji jest zgodny z działaniami realizowanymi przez tę komórkę organizacyjną.

5. W przypadku wątpliwości co do zgodności celów udostępnienia i ich zakresu, osoba kierująca komórką organizacyjną zasięga opinii IOD.

6. W przypadku publikowania zdjęć osób fizycznych, osoba kierująca komórką organizacyjną zasięga opinii IOD celem ustalenia podstawy przetwarzania danych osobowych w tym przypadku (w tym zasadności i sposobu pozyskania zgody na przetwarzanie danych osobowych), a także opinii Radcy Prawnego w zakresie zgodności takiego udostępniania z przepisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Radca Prawny - uzupełnić zgodnie ze strukturą organizacyjną).

 

V. Realizacja obowiązku informacyjnego

1. Osoba kierująca komórką organizacyjną przetwarzającą dane osobowe użytkowników w związku z prowadzeniem profili Administratora w mediach społecznościowych jest zobowiązana do udostępnienia treści obowiązku informacyjnego, o którym mowa w art. 13 RODO, w przypadku pozyskiwania danych osobowych użytkowników, zgodnie z wewnętrznymi regulacjami dotyczącymi ochrony danych osobowych.

2. Dopuszczalne jest udostępnienie treści obowiązku informacyjnego w ramach polityki prywatności dotyczącej mediów społecznościowych prowadzonych przez administratora.

3. Jeżeli sposób pozyskiwania danych osobowych ma charakter indywidualny, związany z konkretnym wydarzeniem, np. organizacją Dnia Otwartego, osoba kierująca komórką organizacyjną przetwarzającą dane osobowe użytkowników w związku z prowadzeniem profili Administratora w mediach społecznościowych udostępnia, po konsultacji z IOD, treść obowiązku informacyjnego w sposób dostosowany do tego wydarzenia.

 

VI. Realizacja praw podmiotów danych

1. Osoba kierująca komórką organizacyjną przetwarzającą dane osobowe użytkowników w związku z prowadzeniem profili Administratora w mediach społecznościowych jest zobowiązana do przekazania informacji o wnioskach użytkowników związanych z realizacją ich praw wynikających z RODO, czyli:

1) prawie dostępu do danych i otrzymania kopii danych (art. 15 RODO);

2) prawie do sprostowania (art. 16 RODO);

3) prawie do usunięcia danych (art. 17 RODO);

4) prawie do ograniczenia przetwarzania (art. 18 RODO);

5) prawie do przenoszenia danych (art. 20 RODO);

6) prawie do sprzeciwu (art. 21 RODO).

2. W przypadku otrzymania wniosku użytkownika, dotyczącego praw wskazanych w ust. 1 powyżej, osoba kierująca komórką organizacyjną przetwarzającą dane osobowe użytkowników w związku z prowadzeniem profili Administratora w mediach społecznościowych przekazuje taki wniosek do realizacji zgodnie z wewnętrznymi regulacjami dotyczącymi ochrony danych osobowych.

 

VII. Przeglądy i usuwanie danych osobowych

1. Osoba kierująca komórką organizacyjną przetwarzającą dane osobowe użytkowników w związku z prowadzeniem profili Administratora w mediach społecznościowych jest zobowiązana do przeprowadzana cyklicznych przeglądów danych osobowych publikowanych w mediach społecznościowych Administratora, które powinny odbywać się nie rzadziej niż raz w kwartale, i być potwierdzone protokołem stwierdzającym zasadność dalszego przechowywania danych osobowych i ewentualnego usunięcia danych osobowych, których dalsze przetwarzanie nie jest uzasadnione.

2. Okres dopuszczalnego przechowywania danych osobowych w ramach profili w mediach społecznościowych powinny być zgodne z przyjętą w tym zakresie polityką retencji obowiązującą u Administratora.

 

VIII. Komunikacja z użytkownikami - podmiotami danych osobowych

1. Administrator informuje użytkowników, że każdy użytkownik korzystający z mediów społecznościowych Administratora może skontaktować się z nim za pośrednictwem następujących danych kontaktowych:

1) pocztą tradycyjną na ul. Rynek Główny 1, 31-001 Kraków;

2) pocztą elektroniczną poprzez adres e-mail: [email protected]:

2. Administrator informuje użytkowników o wyznaczeniu Inspektora Ochrony Danych, z którym każdy użytkownik może skontaktować się poprzez adres e-mail: [email protected] w sprawach związanych z przetwarzaniem danych osobowych.

 

IX. Obowiązywanie regulaminu

Regulamin obowiązuje od dnia 1 stycznia 2024 r.