Ochrona Danych Osobowych
1. Polityka Ochrony Danych Osobowych służy ustaleniu wymogów, zasad i regulacji dotyczących ochrony danych osobowych w Miejskim Centrum Edukacji w Knurowie.
2. Polityka jest polityką ochrony danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
3. Terminologia:
1) Polityka – oznacza niniejszą Politykę Ochrony Danych Osobowych;
2) RODO lub Rozporządzenie – oznacza Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
3) MCE – oznacza Miejskie Centrum Edukacji w Knurowie;
4) Podmiot przetwarzający – oznacza osobę lub podmiot, któremu MCE powierzyło przetwarzanie danych osobowych;
5) Osoba – oznacza osobę, której dane dotyczą, chyba że co innego wynika wyraźnie z kontekstu;
6) IOD lub Inspektor – oznacza Inspektora Ochrony Danych Osobowych;
7) RCPD lub Rejestr – oznacza Rejestr Czynności Przetwarzania Danych Osobowych.
4. W MCE realizowane są zasady ochrony danych osobowych wynikające z RODO, w tym:
4.1. legalność – MCE dba o ochronę prywatności i przetwarza dane osobowe zgodnie z prawem;
4.2. bezpieczeństwo – MCE zapewnia odpowiedni poziom bezpieczeństwa danych, podejmując stale działania w tym zakresie;
4.3. prawa jednostki – MCE umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje;
4.4. rozliczalność – MCE dokumentuje to, w jaki sposób spełnia obowiązki z zakresie ochrony danych, aby w każdej chwili móc wykazać zgodność z obowiązującymi przepisami.
5. MCE przetwarza dane osobowe z poszanowaniem następujących zasad:
5.1. w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
5.2. rzetelnie (rzetelność);
5.3. w sposób przejrzysty dla osoby, której danej dotyczą (transparentność);
5.4. w konkretnych i wyraźnych celach (ograniczenie celu);
5.5. w zakresie nie większym, niż niezbędny (minimalizacja);
5.6. z dbałością o prawidłowość danych (prawidłowość);
5.7. nie dłużej, niż jest to niezbędne (ograniczenie przechowywania);
5.8. zapewniając odpowiednie bezpieczeństwo danych (integralność i poufność).
6. System ochrony danych osobowych w MCE składa się z następujących elementów:
6.1. Inwentaryzacja danych – MCE dokonuje identyfikacji zasobów danych osobowych i sposobów ich wykorzystania;
6.2. Rejestr – MCE opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych Osobowych w MCE;
6.3. Podstawy prawne – MCE zapewnia, identyfikuje i weryfikuje podstawy prawne przetwarzania danych osobowych i rejestruje je w Rejestrze;
6.4. Obsługa praw jednostki – MCE spełnia obowiązki informacyjne wobec osób, których dane przetwarza oraz zapewnia obsługę ich praw;
6.5. Bezpieczeństwo – MCE zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
6.5.1. przeprowadza analizy ryzyka dla czynności przetwarzania lub ich kategorii;
6.5.2. przeprowadza oceny skutków dla ochrony danych;
6.5.3. dostosowuje środki ochrony do ustalonego ryzyka;
6.5.4. posiada system zarządzania bezpieczeństwem informacji;
6.5.5. stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych ochrony danych Urzędowi Ochrony Danych Osobowych;
6.6. Przetwarzający – MCE posiada zasady doboru podmiotów przetwarzających dane osobowe na rzecz MCE, wymogi co do warunków przetwarzania (umowa powierzenia), zasady weryfikacji wykonywania umów powierzenia;
6.7. Eksport danych – MCE posiada zasady weryfikacji, czy MCE nie przekazuje danych do państw trzecich (czyli poza Unię Europejską, Norwegię, Lichtenstein, Islandię) lub do organizacji międzynarodowych oraz zapewnienia zgodnych z prawem warunków takiego przekazywania.
7. MCE prowadzi Rejestr Czynności Przetwarzania Danych Osobowych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
8. MCE spełnia obowiązki informacyjne wobec osób, których dane osobowe są przetwarzane poprzez zamieszczenie odpowiednich informacji na stronie internetowej oraz tablicach informacyjnych oraz poprzez bezpośrednie przekazywanie odpowiednich informacji dotyczących przetwarzania danych.
9. MCE realizuje prawa osób, których dane są przetwarzane, w szczególności w zakresie:
9.1. Dostępu do danych – na żądanie osoby dotyczące dostępu do jej danych, MCE informuje tę osobę, czy przetwarza jej dane oraz informuje ją o szczegółach przetwarzania;
9.2. Uzyskiwania kopii danych – na żądanie MCE wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych; za wydanie kolejnych kopii danych MCE może pobrać opłatę odpowiadającą kosztom obsługi żądania wydania kopii danych;
9.3. Sprostowania danych – MCE dokonuje sprostowania nieprawidłowych danych na żądanie osoby, której dane dotyczą oraz na jej żądanie informuje ją o odbiorcach, którym ujawniono jej dane osobowe;
9.4. Uzupełnienia danych – MCE na żądanie osoby, której dane dotyczą, uzupełnia jej dane osobowe; MCE ma prawo odmówić uzupełnienia danych, jeżeli byłoby ono niezgodne z celami przetwarzania, w szczególności gdy przetwarzanie tych danych nie jest niezbędne;
9.5. Usunięcia danych – osoba, które dane dotyczą ma prawo żądania usunięcia jej danych, a MCE, o ile nie zachodzi wyjątek, o którym mowa w art. 17 ust. 3 RODO, jest zobowiązane do ich usunięcia, gdy:
9.5.1. dane nie są niezbędne do celów, do której zostały zebrane ani przetwarzane w innych zgodnych z prawem celach;
9.5.2. zgoda na przetwarzanie danych została cofnięcia, a nie ma innej podstawy przetwarzania danych;
9.5.3. osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych;
9.5.4. dane były przetwarzane niezgodnie z prawem;
9.5.5. konieczność usunięcia danych wynika z obowiązku prawnego;
9.5.6. żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku.
MCE na żądanie osoby informuje ją o odbiorcach, którym ujawniono jej dane osobowe.
9.6. Ograniczenia przetwarzania danych – osoba ma prawo żądania od MCE ograniczenia przetwarzania danych, gdy:
9.6.1. kwestionuje prawidłowość danych osobowych – na okres pozwalający sprawdzić ich prawidłowość;
9.6.2. przetwarzanie danych jest niezgodne z prawem, a osoba, której dane dotyczą sprzeciwia się usunięciu tych danych, żądając w zamian ograniczenia ich wykorzystywania;
9.6.3. MCE nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
9.6.4. Osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia czy po stronie MCE zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
W trakcie ograniczenia przetwarzania danych, MCE przechowuje dane, natomiast nie przetwarza ich w inny sposób (nie przekazuje, nie wykorzystuje) bez zgody osoby, której dane dotyczą, chyba że działa w celu ustalenia, dochodzenia lub obrony roszczeń lub w celu ochrony praw innej osoby fizycznej lub prawnej, z uwagi na ważne względy interesu publicznego.
Przed uchyleniem ograniczenia przetwarzania, MCE informuje o tym osobę, której dane dotyczą.
MCE na żądanie osoby informuje ją o odbiorcach, którym ujawniono jej dane osobowe.
9.7. Przenoszenia danych – jeżeli przetwarzanie danych odbywa się na podstawie zgody osoby lub na podstawie umowy w systemach informatycznych MCE, na żądanie tej osoby, MCE wydaje jej w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, a jeżeli jest to techniczne możliwe, przesyła je na żądanie osoby bezpośrednio innemu podmiotowi.
9.8. Sprzeciwu – osoba może zgłosić umotywowany jej szczególną sytuacją sprzeciw wobec przetwarzania jej danych, jeżeli dane przetwarzane są w oparciu o powierzone MCE zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. e) RODO). MCE uwzględni sprzeciw, o ile nie zachodzą po stronie MCE ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, zgłaszającej sprzeciw lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
10. MCE dba o minimalizację przetwarzania danych pod kątem:
10.1. Minimalizacji zakresu – MCE weryfikuje zakres pozyskiwanych danych pod kątem adekwatności do celów przetwarzania oraz dokonuje ich okresowego przeglądu nie rzadziej niż raz na rok;
10.2. Minimalizacja dostępu – MCE stosuje ograniczenia dostępu do danych osobowych
10.2.1. Prawne – zobowiązania do poufności, zakresy upoważnień;
10.2.2. Fizyczne – strefy dostępu, zamykanie pomieszczeń.
Szczegółowe zasady kontroli dostępu określone są w Polityce Bezpieczeństwa MCE.
10.3. Minimalizacja czasu – MCE wdraża mechanizmy kontroli okresu przechowywania danych osobowych oraz stosuje procedury archiwizacji danych.
11. MCE zapewnia stopień bezpieczeństwa danych odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez MCE, w szczególności poprzez:
11.1. Przeprowadzanie i dokumentowanie analizy ryzyka i adekwatności środków bezpieczeństwa;
11.2. Dokonywanie oceny skutków planowanych operacji przetwarzania danych;
11.3. Stosowanie środków bezpieczeństwa ustalonych w ramach analizy ryzyka i adekwatności środków bezpieczeństwa;
11.4. Stosowanie procedur pozwalających na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych osobowych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia.
12. MCE posiada i stosuje zasady doboru i weryfikacji podmiotów przetwarzających dane osobowe na rzecz MCE opracowane, aby przetwarzający dawali gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków w zakresie ochrony danych osobowych spoczywających na MCE.
13. MCE rejestruje w Rejestrze przypadki eksportu danych, czyli przekazywania ich poza Europejski Obszar Gospodarczy.
14. MCE zarządza zmianą mającą wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizację ich przetwarzania.
Informacja o przetwarzaniu danych osobowych
Informujemy, że Miejskie Centrum Edukacji w Knurowie przetwarza informacje, w tym informacje, które na gruncie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO lub Rozporządzenie), stanowią dane osobowe.
Zgodnie z obowiązującymi przepisami dotyczącymi ochrony danych osobowych, mamy obowiązek podać informacje dotyczące przetwarzania danych osobowych określone w art. 13 lub 14 RODO – w zależności od tego, czy zostały one pozyskane bezpośrednio od osoby, której dane dotyczą, czy też z innych źródeł.
W związku z powyższym, informujemy Państwa, że:
1. Administratorem Państwa danych osobowych (zwanym dalej „Administratorem”) jest Miejskie Centrum Edukacji w Knurowie z siedzibą:
al. Lipowa 12, 44-196 Knurów, reprezentowane przez Dyrektora.
Z Administratorem można kontaktować się pisemnie, za pomocą poczty tradycyjnej na adres: al. Lipowa 12, 44-196 Knurów lub pocztą elektroniczną pod adresem: kancelaria @ knurow.edu.pl
2. Administrator wyznaczył Inspektora Ochrony Danych Krzysztofa Jojko, z którym można kontaktować się pisemnie za pomocą poczty tradycyjnej na adres: Miejskie Centrum Edukacji w Knurowie al. Lipowa 12, 44-196 Knurów, pocztą elektroniczną pod adresem: iodo @ knurow.edu.pl lub telefonicznie pod numerem 32 441 97 48
3. Państwa dane osobowe są przetwarzane w celu realizacji przez Administratora ustawowych i statutowych zadań, gdy jest do niezbędne dla realizacji obowiązków prawnych spoczywających na Administratorze lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi (art. 6 ust. 1 lit. c) lub art. 6 ust. 1 lit. e) RODO. Państwa dane mogą być również przetwarzane, gdy jest do niezbędne do wykonania zawartej z nami umowy lub na podstawie Państwa zgody na przetwarzanie danych (art. 6 ust. 1 lit. b) lub art. 6 ust. 1 lit. a) RODO). W każdym przypadku poinformujemy Państwa o dokładnej podstawie prawnej i celu przetwarzania Państwa danych.
4. Państwa dane osobowe możemy udostępniać podmiotom, które sprawują obsługę księgową, świadczą usługi informatyczne, usługi prawnicze, dostarczają nam oprogramowanie niezbędne do wykonywania naszych zadań.
5.Państwa dane nie będą przez nas przekazywane poza teren Unii Europejskiej ani Europejskiego Obszaru Gospodarczego.
6. Państwa dane będą przez nas przechowane przez okres przechowania dokumentacji określony w obowiązujących przepisach, w tym w ustawie z dnia 15 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r., poz. 164 t.j. ze zm.).
7. W związku z przetwarzaniem danych osobowych, przysługują Państwu następujące prawa:
a) prawo dostępu do Państwa danych oraz otrzymania ich kopii;
b) prawo żądania sprostowania (poprawienia) Państwa danych, jeśli są one nieprawidłowe;
c) prawo żądania usunięcia Państwa danych;
d) prawo żądania ograniczenia przetwarzania danych;
e) prawo do przenoszenia danych, jeżeli zostały one dostarczone na podstawie Państwa zgody lub na podstawie umowy i przetwarzanie odbywa się w sposób zautomatyzowany;
f) prawo do wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych lub innego właściwego organu nadzorczego);
g) prawo do cofnięcia zgody na przetwarzanie danych osobowych, jeżeli dane zostały nam dostarczone na podstawie Państwa zgody jako podstawy przetwarzania danych; cofnięcie zgody nie będzie wpływać na zgodność z prawem przetwarzania, którego dokonano na podstawie Państwa zgody przed jej wycofaniem.
8. Mają Państwo prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania Państwa danych osobowych, z przyczyn związanych z Państwa szczególną sytuacją.
9. Podanie przez Państwa danych osobowych jest wymogiem ustawowym, wynikającym z przepisów będących podstawą prawną przetwarzania, o których mowa w pkt 3. Konsekwencją niepodania danych może być w szczególności uniemożliwienie nam wywiązania się z ustawowych obowiązków oraz brak możliwości wykonania Państwa obowiązków lub realizacji Państwa uprawnień.
W przypadku, gdy Państwa dane osobowe przetwarzane są na podstawie Państwa zgody lub są niezbędne do wykonania umowy, możemy odmówić zawarcia umowy lub nie wykonać innych czynności, do których niezbędne jest przetwarzanie Państwa danych.