Ochrona Danych Osobowych

Ochrona Danych Osobowych1. Polityka Ochrony Danych Osobowych służy ustaleniu wymogów, zasad i regulacji dotyczących ochrony danych osobowych w Miejskiej Szkola Podstawowej nr 7.

2. Polityka jest polityką ochrony danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

3. Terminologia:

1) Polityka – oznacza niniejszą Politykę Ochrony Danych Osobowych;

2) RODO lub Rozporządzenie – oznacza Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

3) MSP7 – oznacza Miejska Szkoła Podstawowa nr 7;

4) Podmiot przetwarzający – oznacza osobę lub podmiot, któremu MSP7 powierzyło przetwarzanie danych osobowych;

5) Osoba – oznacza osobę, której dane dotyczą, chyba że co innego wynika wyraźnie z kontekstu;

6) IOD lub Inspektor – oznacza Inspektora Ochrony Danych Osobowych;

7) RCPD lub Rejestr – oznacza Rejestr Czynności Przetwarzania Danych Osobowych.

4. W MSP7 realizowane są zasady ochrony danych osobowych wynikające z RODO, w tym:

4.1. legalność – MSP7 dba o ochronę prywatności i przetwarza dane osobowe zgodnie z prawem;

4.2. bezpieczeństwo – MSP7 zapewnia odpowiedni poziom bezpieczeństwa danych, podejmując stale działania w tym zakresie;

4.3. prawa jednostki – MSP7 umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje;

4.4. rozliczalność – MSP7 dokumentuje to, w jaki sposób spełnia obowiązki z zakresie ochrony danych, aby w każdej chwili móc wykazać zgodność z obowiązującymi przepisami.

5. MSP7 przetwarza dane osobowe z poszanowaniem następujących zasad:

5.1. w oparciu o podstawę prawną i zgodnie z prawem (legalizm);

5.2. rzetelnie (rzetelność);

5.3. w sposób przejrzysty dla osoby, której danej dotyczą (transparentność);

5.4. w konkretnych i wyraźnych celach (ograniczenie celu);

5.5. w zakresie nie większym, niż niezbędny (minimalizacja);

5.6. z dbałością o prawidłowość danych (prawidłowość);

5.7. nie dłużej, niż jest to niezbędne (ograniczenie przechowywania);

5.8. zapewniając odpowiednie bezpieczeństwo danych (integralność i poufność).

6. System ochrony danych osobowych w MSP7 składa się z następujących elementów:

6.1. Inwentaryzacja danych – MSP7 dokonuje identyfikacji zasobów danych osobowych i sposobów ich wykorzystania;

6.2. Rejestr – MSP7 opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych Osobowych w MSP7;

6.3. Podstawy prawne – MSP7 zapewnia, identyfikuje i weryfikuje podstawy prawne przetwarzania danych osobowych i rejestruje je w Rejestrze;

6.4. Obsługa praw jednostki – MSP7 spełnia obowiązki informacyjne wobec osób, których dane przetwarza oraz zapewnia obsługę ich praw;

6.5. Bezpieczeństwo – MSP7 zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:

6.5.1. przeprowadza analizy ryzyka dla czynności przetwarzania lub ich kategorii;

6.5.2. przeprowadza oceny skutków dla ochrony danych;

6.5.3. dostosowuje środki ochrony do ustalonego ryzyka;

6.5.4. posiada system zarządzania bezpieczeństwem informacji;

6.5.5. stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych ochrony danych Urzędowi Ochrony Danych Osobowych;

6.6. Przetwarzający – MSP7 posiada zasady doboru podmiotów przetwarzających dane osobowe na rzecz MSP7, wymogi co do warunków przetwarzania (umowa powierzenia), zasady weryfikacji wykonywania umów powierzenia;

6.7. Eksport danych – MSP7 posiada zasady weryfikacji, czy MSP7 nie przekazuje danych do państw trzecich (czyli poza Unię Europejską, Norwegię, Lichtenstein, Islandię) lub do organizacji międzynarodowych oraz zapewnienia zgodnych z prawem warunków takiego przekazywania.

7. MSP7 prowadzi Rejestr Czynności Przetwarzania Danych Osobowych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.

8. MSP7 spełnia obowiązki informacyjne wobec osób, których dane osobowe są przetwarzane poprzez zamieszczenie odpowiednich informacji na stronie internetowej oraz tablicach informacyjnych oraz poprzez bezpośrednie przekazywanie odpowiednich informacji dotyczących przetwarzania danych.

9. MSP7 realizuje prawa osób, których dane są przetwarzane, w szczególności w zakresie:

9.1. Dostępu do danych – na żądanie osoby dotyczące dostępu do jej danych, MSP7 informuje tę osobę, czy przetwarza jej dane oraz informuje ją o szczegółach przetwarzania;

9.2. Uzyskiwania kopii danych – na żądanie MSP7 wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych; za wydanie kolejnych kopii danych MSP7 może pobrać opłatę odpowiadającą kosztom obsługi żądania wydania kopii danych;

9.3. Sprostowania danych – MSP7 dokonuje sprostowania nieprawidłowych danych na żądanie osoby, której dane dotyczą oraz na jej żądanie informuje ją o odbiorcach, którym ujawniono jej dane osobowe;

9.4. Uzupełnienia danych – MSP7 na żądanie osoby, której dane dotyczą, uzupełnia jej dane osobowe; MSP7 ma prawo odmówić uzupełnienia danych, jeżeli byłoby ono niezgodne z celami przetwarzania, w szczególności gdy przetwarzanie tych danych nie jest niezbędne;

9.5. Usunięcia danych – osoba, które dane dotyczą ma prawo żądania usunięcia jej danych, a MSP7, o ile nie zachodzi wyjątek, o którym mowa w art. 17 ust. 3 RODO, jest zobowiązane do ich usunięcia, gdy:

9.5.1. dane nie są niezbędne do celów, do której zostały zebrane ani przetwarzane w innych zgodnych z prawem celach;

9.5.2. zgoda na przetwarzanie danych została cofnięcia, a nie ma innej podstawy przetwarzania danych;

9.5.3. osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych;

9.5.4. dane były przetwarzane niezgodnie z prawem;

9.5.5. konieczność usunięcia danych wynika z obowiązku prawnego;

9.5.6. żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku.

MSP7 na żądanie osoby informuje ją o odbiorcach, którym ujawniono jej dane osobowe.

9.6. Ograniczenia przetwarzania danych – osoba ma prawo żądania od MSP7 ograniczenia przetwarzania danych, gdy:

9.6.1. kwestionuje prawidłowość danych osobowych – na okres pozwalający sprawdzić ich prawidłowość;

9.6.2. przetwarzanie danych jest niezgodne z prawem, a osoba, której dane dotyczą sprzeciwia się usunięciu tych danych, żądając w zamian ograniczenia ich wykorzystywania;

9.6.3. MSP7 nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

9.6.4. Osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia czy po stronie MSP7 zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.

W trakcie ograniczenia przetwarzania danych, MSP7 przechowuje dane, natomiast nie przetwarza ich w inny sposób (nie przekazuje, nie wykorzystuje) bez zgody osoby, której dane dotyczą, chyba że działa w celu ustalenia, dochodzenia lub obrony roszczeń lub w celu ochrony praw innej osoby fizycznej lub prawnej, z uwagi na ważne względy interesu publicznego.

Przed uchyleniem ograniczenia przetwarzania, MSP7 informuje o tym osobę, której dane dotyczą.

MSP7 na żądanie osoby informuje ją o odbiorcach, którym ujawniono jej dane osobowe.

9.7. Przenoszenia danych – jeżeli przetwarzanie danych odbywa się na podstawie zgody osoby lub na podstawie umowy w systemach informatycznych MSP7, na żądanie tej osoby, MSP7 wydaje jej w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, a jeżeli jest to techniczne możliwe, przesyła je na żądanie osoby bezpośrednio innemu podmiotowi.

9.8. Sprzeciwu – osoba może zgłosić umotywowany jej szczególną sytuacją sprzeciw wobec przetwarzania jej danych, jeżeli dane przetwarzane są w oparciu o powierzone MSP7 zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. e) RODO). MSP7 uwzględni sprzeciw, o ile nie zachodzą po stronie MSP7 ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, zgłaszającej sprzeciw lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.

10. MSP7 dba o minimalizację przetwarzania danych pod kątem:

10.1. Minimalizacji zakresu – MSP7 weryfikuje zakres pozyskiwanych danych pod kątem adekwatności do celów przetwarzania oraz dokonuje ich okresowego przeglądu nie rzadziej niż raz na rok;

10.2. Minimalizacja dostępu – MSP7 stosuje ograniczenia dostępu do danych osobowych

10.2.1. Prawne – zobowiązania do poufności, zakresy upoważnień;

10.2.2. Fizyczne – strefy dostępu, zamykanie pomieszczeń.

Szczegółowe zasady kontroli dostępu określone są w Polityce Bezpieczeństwa MSP7.

10.3. Minimalizacja czasu – MSP7 wdraża mechanizmy kontroli okresu przechowywania danych osobowych oraz stosuje procedury archiwizacji danych.

11. MSP7 zapewnia stopień bezpieczeństwa danych odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez MSP7, w szczególności poprzez:

11.1. Przeprowadzanie i dokumentowanie analizy ryzyka i adekwatności środków bezpieczeństwa;

11.2. Dokonywanie oceny skutków planowanych operacji przetwarzania danych;

11.3. Stosowanie środków bezpieczeństwa ustalonych w ramach analizy ryzyka i adekwatności środków bezpieczeństwa;

11.4. Stosowanie procedur pozwalających na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych osobowych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia.

12. MSP7 posiada i stosuje zasady doboru i weryfikacji podmiotów przetwarzających dane osobowe na rzecz MSP7 opracowane, aby przetwarzający dawali gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków w zakresie ochrony danych osobowych spoczywających na MSP7.

13. MSP7 rejestruje w Rejestrze przypadki eksportu danych, czyli przekazywania ich poza Europejski Obszar Gospodarczy.

14. MSP7 zarządza zmianą mającą wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizację ich przetwarzania.

Informacja o przetwarzaniu danych osobowych

Informujemy, że Miejska Szkoła Podstawowa nr 7 w Knurowie przetwarza informacje, w tym informacje, które na gruncie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO lub Rozporządzenie), stanowią dane osobowe.

Zgodnie z obowiązującymi przepisami dotyczącymi ochrony danych osobowych, mamy obowiązek podać informacje dotyczące przetwarzania danych osobowych określone w art. 13 lub 14 RODO – w zależności od tego, czy zostały one pozyskane bezpośrednio od osoby, której dane dotyczą, czy też z innych źródeł.

W związku z powyższym, informujemy Państwa, że:

1. Administratorem Państwa danych osobowych (zwanym dalej „Administratorem”) jest Miejska Szkoła Podstawowa nr 7 w Kunrowie z siedzibą:
ul. Jedności Narodowej 5, 44-196 Knurów, reprezentowane przez Dyrektora.

Z Administratorem można kontaktować się pisemnie, za pomocą poczty tradycyjnej na adres: Miejska Szkoła Podstawowa nr 7, 44-196 Knurów lub pocztą elektroniczną pod adresem: msp7 @ knurow.edu.pl

2. Administrator wyznaczył Inspektora Ochrony Danych, z którym można kontaktować się pisemnie za pomocą poczty tradycyjnej na adres: Miejska Szkoła Podstawowa nr 7 ul. Jedności Narodowej 5, 44-196 Knurów lub pocztą elektroniczną pod adresem: msp7 @ knurow.edu.pl

3. Państwa dane osobowe są przetwarzane w celu realizacji przez Administratora ustawowych i statutowych zadań, gdy jest do niezbędne dla realizacji obowiązków prawnych spoczywających na Administratorze lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi (art. 6 ust. 1 lit. c) lub art. 6 ust. 1 lit. e) RODO. Państwa dane mogą być również przetwarzane, gdy jest do niezbędne do wykonania zawartej z nami umowy lub na podstawie Państwa zgody na przetwarzanie danych (art. 6 ust. 1 lit. b) lub art. 6 ust. 1 lit. a) RODO). W każdym przypadku poinformujemy Państwa o dokładnej podstawie prawnej i celu przetwarzania Państwa danych.

4. Państwa dane osobowe możemy udostępniać podmiotom, które sprawują obsługę księgową, świadczą usługi informatyczne, usługi prawnicze, dostarczają nam oprogramowanie niezbędne do wykonywania naszych zadań.

5.Państwa dane nie będą przez nas przekazywane poza teren Unii Europejskiej ani Europejskiego Obszaru Gospodarczego.

6. Państwa dane będą przez nas przechowane przez okres przechowania dokumentacji określony w obowiązujących przepisach, w tym w ustawie z dnia 15 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2018 r., poz. 217 t.j. ze zm.).

7. W związku z przetwarzaniem danych osobowych, przysługują Państwu następujące prawa:

a) prawo dostępu do Państwa danych oraz otrzymania ich kopii;

b) prawo żądania sprostowania (poprawienia) Państwa danych, jeśli są one nieprawidłowe;

c) prawo żądania usunięcia Państwa danych;

d) prawo żądania ograniczenia przetwarzania danych;

e) prawo do przenoszenia danych, jeżeli zostały one dostarczone na podstawie Państwa zgody lub na podstawie umowy i przetwarzanie odbywa się w sposób zautomatyzowany;

f) prawo do wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych lub innego właściwego organu nadzorczego);

g) prawo do cofnięcia zgody na przetwarzanie danych osobowych, jeżeli dane zostały nam dostarczone na podstawie Państwa zgody jako podstawy przetwarzania danych; cofnięcie zgody nie będzie wpływać na zgodność z prawem przetwarzania, którego dokonano na podstawie Państwa zgody przed jej wycofaniem.

8. Mają Państwo prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania Państwa danych osobowych, z przyczyn związanych z Państwa szczególną sytuacją.

9. Podanie przez Państwa danych osobowych jest wymogiem ustawowym, wynikającym z przepisów będących podstawą prawną przetwarzania, o których mowa w pkt 3. Konsekwencją niepodania danych może być w szczególności uniemożliwienie nam wywiązania się z ustawowych obowiązków oraz brak możliwości wykonania Państwa obowiązków lub realizacji Państwa uprawnień.

W przypadku, gdy Państwa dane osobowe przetwarzane są na podstawie Państwa zgody lub są niezbędne do wykonania umowy, możemy odmówić zawarcia umowy lub nie wykonać innych czynności, do których niezbędne jest przetwarzanie Państwa danych.