Polityka Ochrony Danych Osobowych

w Niepublicznym Żłobku Kangurek24 w Opolu

§ 1 

1. Polityka określa zasady przetwarzania oraz zabezpieczania danych osobowych w Żłobku. Celem jest zapewnienie zbieżności przetwarzania z wymaganiami RODO oraz przepisami bezwzględnie  obowiązującego prawa polskiego w zakresie przetwarzania danych osobowych.

2. Polityka obowiązuje wszystkich pracowników oraz współpracowników Żłobka.

3. Niniejsza polityka jest zgodna z obowiązującymi przepisami prawa, oparta o wytyczne zawarte w następujących aktach prawnych:

a) Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2018 r. poz. 1000) wraz z aktami wykonawczymi; 

b) Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (rozporządzenie ogólne o ochronie danych).

§ 2 

Określenia użyte w Polityce Bezpieczeństwa oznaczają::

a) Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, takie jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną,

ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; o których mowa w art. 4 pkt 1 RODO;

b) RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1);

c) Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, o których mowa w art. 4 pkt 2 RODO;

d) Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu „Żłobka” (np. usługodawca, etc.);

e) Pracownicy – oznaczają zarówno osoby zatrudnione w „Żłobku” na podstawie stosunku pracy, jak również osoby fizyczne współpracujące ze „Żłobkiem” na podstawie umowy cywilnoprawnej;

§ 3

1. Żłobek przetwarza dane osobowe gromadzone w zbiorach danych. 

2. Uaktualnienie lub poszerzenie listy Zbiorów danych następuje po uprzednim przeprowadzeniu analizy skutków oraz ryzyk przetwarzania danych osobowych dla praw i wolności osób fizycznych objętych zbiorem.

3. Żłobek nie podejmuje czynności Przetwarzania, które mogłyby wiązać się z istotnym ryzykiem naruszenia praw i wolności osób, których dane osobowe dotyczą. 

4. Dane osobowe domyślnie przetwarzane są na obszarze obejmującym pomieszczenia biurowe Żłobka. 

§ 4

1. Dane osobowe przetwarzane w Żłobku mogą być uzyskiwane bezpośrednio od osób, których dotyczą za ich zgodą, lub z innych źródeł, w granicach dozwolonych przepisami prawa – w tym przypadku będą to przede wszystkim rodzice dzieci oddawanych pod opiekę Żłobka.

2. Zebrane dane osobowe mogą być wykorzystane wyłącznie do celów, dla jakich są zbierane i przetwarzane.

3. Po osiągnięciu celu przetwarzania, dane osobowe powinny być przechowywane w formie uniemożliwiającej identyfikację osób, których dotyczą.

4. W przypadku konieczności udostępnienia dokumentów i danych, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie dokonać anonimizacji tych danych osobowych.

5. W przypadku gdy dane osobowe są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, Żłobek podejmuje decyzję co do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia.

§ 5

1. Żłobek zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych osobowych.

2. Osoby upoważnione do przetwarzania danych osobowych przez Żłobek, oraz wszystkie inne osoby, którym udostępnia się dane osobowe przetwarzane w Żłobku, zobowiązane są do przetwarzania danych osobowych zgodnie z wymogami prawa oraz zgodnie z postanowieniami Polityki, jak również innych wewnętrznych aktów prawnych Żłobka. 

3. Przy zatrudnianiu Pracowników oraz w toku zatrudnienia (dotyczy to analogicznie osób współpracujących na podstawie umowy cywilnoprawnej) Żłobek zapewnia, że:

a) pracownicy przed przystąpieniem do wykonywania obowiązków służbowych otrzymują należytą wiedzę w zakresie zasad przetwarzania i ochrony danych osobowych w Żłobku

b) każdy z Pracowników zostaje upoważniony na piśmie do przetwarzania danych osobowych w niezbędnym zakresie;

c) każdy z pracowników zostaje zobowiązany do zachowania poufności i integralności danych osobowych, przy czym Pracownicy zobowiązani są w szczególności, ale nie wyłącznie do:

i. ścisłego przestrzegania zakresu upoważnienia;

ii. przestrzegania wymogów prawa oraz postanowień Polityki w zakresie przetwarzania;

iii. stosowanie się do przekazanych procedur w zakresie przetwarzania danych osobowych i czynności z tym związanych;

iv. zachowania w tajemnicy danych osobowych;

v. zachowania w tajemnicy sposób zachowania poufności i integralności danych osobowych;

vi. niezwłocznego zgłaszania Żłobkowi wszelkich incydentów związanych z naruszeniem bezpieczeństwa danych osobowych.

4. Żłobek zapewnia, aby dane osobowe przetwarzane w Żłobku były:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;

b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;

c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;

d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

5. Przy zapewnieniu przetwarzania danych osobowych zgodnie z zasadami wskazanymi w powyższych ustępach Żłobek opiera przetwarzanie na następujących podstawach:

a) Legalność – Żłobek dba o ochronę prywatności i przetwarza dane osobowe zgodnie z wymogami prawa;

b) Bezpieczeństwo – Żłobek zapewnia odpowiedni poziom bezpieczeństwa danych osobowych podejmując stale działania w tym zakresie;

c) Prawa Jednostki − Żłobek umożliwia osobom, których dane osobowe są przetwarzane, wykonywanie swoich praw i prawa te realizuje;

d) Rozliczalność – Żłobek zapewnia należyte udokumentowanie sposobu spełniania obowiązków w zakresie ochrony danych osobowych.

§ 6

Żłobek zapewnia zgodność przetwarzania danych osobowych z wymogami prawa również poprzez zaprojektowanie, wprowadzenie i utrzymywanie Systemu. Na System składają się środki organizacyjne oraz środki techniczne ochrony, adekwatne do poziomu ryzyka zidentyfikowanego dla poszczególnych kategorii danych osobowych. Na System składają się w szczególności następujące środki:

a) siedziba Żłobka objęta jest całodobowym monitoringiem. 

b) ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób upoważnionych oraz zapewnienie, że inne osoby mogą przebywać w pomieszczeniach wykorzystywanych

do przetwarzania danych osobowych wyłącznie w towarzystwie osoby upoważnionej;

c) zamykanie pomieszczeń tworzących obszar, o którym mowa w § 3 ust.4 Polityki na czas nieobecności Pracowników upoważnionych, w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym;

d) zapewnienie zabezpieczenia obszaru, o którym mowa w § 3 ust.4 Polityki przed czynnikami losowymi, takimi jak pożar lub powódź;

e) wykorzystywanie zamykanych szafek, szuflad lub innych środków technicznych uniemożliwiających osobom niepowołanym dostęp do przechowywanych w nich danych osobowych;

f) zapewnienie skutecznego usuwania lub niszczenia dokumentów zawierających dane osobowe, w sposób uniemożliwiający ich późniejsze odtworzenie;

g) zapewnienie bezpieczeństwa sprzętowego i informatycznego, w szczególności poprzez następujące działania:

– sprzęt komputerowy zabezpieczono poprzez zastosowanie indywidualnej ochrony antywirusowej i Firewall, 

– sprzęt komputerowy zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i hasła, 

h) szkolenia pracowników.

§ 7

1. Za pomocą Rejestru Żłobek inwentaryzuje zakres i sposoby wykorzystania danych osobowych, oraz dokumentuje kategorie czynności przetwarzania danych osobowych. Znajduje to swój wyraz w  szczególności w wymienieniu kategorii danych osobowych podlegających przetwarzaniu, celu i sposobu tego przetwarzania, ogólnej podstawy prawnej przetwarzania, takiej jak: zgoda, umowa, obowiązek prawny nałożony na Żłobek uzasadniony interes Żłobka, oraz zamieszczeniu informacji dodatkowych, zwiększających szczegółowość i czytelność Rejestru, a także ułatwiających zarządzanie zgodnością ochrony danych osobowych z wymogami prawa, oraz realizację zasady rozliczalności.

2. W przypadku uaktualnienia lub poszerzenia kategorii czynności przetwarzania danych osobowych, Żłobek dokonuje niezwłocznego uaktualnienia Rejestru celem zapewnienia zgodności Rejestru ze stanem faktycznym oraz zakresem operacji przetwarzania danych osobowych.

§ 8

1. Żłobek pozostawia do wglądu w siedzibie:

a) niniejszą Politykę Ochrony Danych Osobowych,

b) Informację o prawach osób, których dane dotyczą,

c) Metodach kontaktu ze Żłobkiem w zakresie danych osobowych.

2. Żłobek dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane osobowe przetwarza.

3. Na żądanie osoby dotyczące dostępu do jej danych, Żłobek informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO, a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych. Odnotowuje się fakt wydania pierwszej kopii danych, a także wykonanie czynności określonych w ust.4,

4. Na żądanie osoby Żłobek wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi.

5. Żłobek bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.

6. Żłobek określa sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, tam gdzie to jest możliwe (np. tabliczka o objęciu obszaru monitoringiem wizyjnym).

7. Żłobek dokonuje sprostowania nieprawidłowych danych na żądanie osoby, której dane osobowe dotyczą. Żłobek ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych Żłobek informuje osobę o odbiorcach danych, na żądanie tej osoby.

8. Żłobek uzupełnia i aktualizuje dane na żądanie osoby, której dane osobowe dotyczą. Żłobek ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. Żłobek może polegać na oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Żłobek procedur, prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.

9. Żłobek na żądanie osoby usuwa dane, gdy:

a) dane nie są niezbędne do celów, w których zostały zebrane ani przetwarzane w innych celach,

b) zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,

c) osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,

d) dane były przetwarzane niezgodnie z prawem,

e) konieczność usunięcia wynika z obowiązku prawnego,

10. Żłobek przed usunięciem danych osobowych weryfikuje, czy nie zachodzą wyjątki, o których mowa wart. 17. ust. 3 RODO.

11. Żłobek dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:

a) osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,

b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,

c) Żłobek nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,

d) osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Żłobka zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu,

12. W trakcie ograniczenia przetwarzania Żłobek przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi

na ważne względy interesu publicznego. Żłobek informuje osobę przed uchyleniem ograniczenia  przetwarzania. W przypadku ograniczenia przetwarzania danych Żłobek informuje osobę o odbiorcach

danych, na żądanie tej osoby.

13. Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, o którym mowa w art. 21 RODO, a dane przetwarzane są przez Żłobek w oparciu o uzasadniony interes Żłobka lub o powierzone Żłobkowi zadanie w interesie publicznym, Żłobek zobowiązuje się, że uwzględni sprzeciw, o ile nie zachodzą po stronie „Żłobka ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.

§ 9 

Żłobek stosuje ograniczenia dostępu do danych osobowych poprzez:

a) zobowiązanie Pracowników do zachowania poufności, w tym w zakresie danych osobowych;

b) poszczególnym Pracownikom upoważnień co do przetwarzania danych osobowych;

c) wdrożenie logicznych środków technicznych ochrony danych osobowych poprzez ograniczenie dostępu do środków infrastruktury informatycznej;

d) wdrożenie fizycznych środków technicznych ochrony danych osobowych takich jak zamykane szafy, zamykane szuflady itd. 

§ 11 

1. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności, ale nie wyłącznie:

a) udostępnienie danych osobowych osobom nieupoważnionym;

b) przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich przetwarzania;

c) nieuprawnione lub przypadkowe uszkodzenie, utratę, zniszczenie lub zmianę danych osobowych.

2. W przypadku stwierdzenia naruszenia ochrony danych osobowych pracownik, który odkryje fakt naruszenia obowiązany jest niezwłocznie powiadomić o tym fakcie Administratora, który, sporządzi raport z tego naruszenia.

3. Administrator po przeprowadzeniu postępowania wyjaśniającego i dokonaniu oceny zasadności zgłoszenia do organu nadzorczego przez pryzmat prawdopodobieństwa, czy naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, odstępuje od sporządzenia zgłoszenia lub sporządza odpowiednie zgłoszenie i przekazuje je niezwłocznie Prezesowi Urzędu Ochrony Danych Osobowych.

4. Od momentu wykrycia faktu naruszenia do ewentualnego zgłoszenia nie może upłynąć więcej niż 72 godziny.

5. Jeżeli ryzyko naruszenia praw i wolności osoby, której Dane osobowe dotyczą jest wysokie, Żłobek zawiadamia o incydencie także osobę, której danej dotyczą, chyba że:

a) wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczyło naruszenie, uniemożliwiające odczyt osobom nieuprawniony do dostępu do tych danych osobowych;

b) zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; lub

c) wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób

6. Niezależnie od obowiązków wskazanych w niniejszym paragrafie, Żłobek dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. 

§ 12 

1. Żłobek może powierzyć przetwarzanie danych osobowych Podmiotowi przetwarzającemu wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi w art. 28 ust. 3 RODO.

2. Żłobek korzysta wyłącznie z usług takich Podmiotów przetwarzających, które zapewniają wystarczające

gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. W celu weryfikacji spełnienia obowiązku, o którym mowa w zdaniu poprzedzającym, Żłobek przed powierzeniem przetwarzania potencjalnemu Podmiotowi przetwarzającemu w miarę możliwości uzyskuje informacje o zasadach ochrony danych osobowych stosowanych przez potencjalny Podmiot przetwarzający, oraz o praktykach tego podmiotu dotyczących zabezpieczenia danych osobowych.

§ 13

1) Administrator udostępnia dane osobowe przetwarzane w zbiorach wyłącznie osobom lub podmiotom

uprawnionym do ich otrzymania na mocy przepisów prawa;

2) Dane osobowe udostępniane są:

a. na podstawie wniosku od podmiotu uprawnionego do otrzymywania danych osobowych na podstawie przepisów (np. organy ścigania, sądy, ),

b. na podstawie umowy z innym podmiotem, w ramach której istnieje konieczność udostępnienia danych w granicach obowiązujących przepisów;

3) Wniosek o udostępnienie danych podmiotowi lub osobie, której dane nie dotyczą powinien zawierać:

a. nazwę i adres wnioskodawcy,

b. wskazanie podstawy prawnej do przetwarzania przez wnioskodawcę danych osobowych, o które prosi,

c. wskazanie celu przetwarzania tych danych,

d. wskazanie zakresu wnioskowanych danych i jeżeli to możliwe zbioru w jakim są przetwarzane.

4) Niedopuszczalne jest udostępnianie odbiorcom danych osobowych w celach innych niż te, dla jakich zostały zgromadzone przez Administratora;

5) Wnioskodawcę lub stronę umowy należy poinformować, że udostępnione dane mogą być  wykorzystane wyłącznie zgodnie z celem, dla którego zostały wydane;

6) Odmawia się udostępnienia danych w przypadku, gdy spowodowałoby to istotne naruszenie dóbr osobistych właściciela danych lub innych osób, a także jeżeli żądane dane osobowe nie mają istotnego związku ze wskazanymi motywami działania wnioskodawcy;

8) W przypadku zapytania dotyczącego treści danych złożonego przez osobę, której te dane dotyczą odpowiedzi udziela się w terminie nie dłuższym niż 30 dni od daty otrzymania zapytania.

§ 14

Żłobek nie przekazuje danych osobowych do Państwa trzeciego położonego poza terytorium Unii Europejskiej lub Europejskiego Obszaru Gospodarczego, poza sytuacjami, w których następuje to na wniosek osoby, której dane osobowe dotyczą.

§ 15 

1. Polityka wchodzi w życie z dniem ogłoszenia.

2. W sprawach nieuregulowanych w Polityce odpowiednie zastosowanie znajdują postanowienia RODO  oraz powszechnie obowiązujące przepisy prawa polskiego i europejskiego.

3. Wszelkie zmiany lub uzupełnienia do Polityki wymagają dla swej skuteczności formy pisemnej pod rygorem nieważności. Zmiany lub uzupełnienia do Polityki wchodzą w życie nie wcześniej niż w terminie 7 dni od dnia ich ogłoszenia.