Polityka Ochrony Danych Osobowych w Generalnej Dyrekcji Dróg Krajowych i Autostrad.
Dzienniki resortowe
Dz.Urz.GDDKiA.2022.21
Akt obowiązujący Wersja od: 29 września 2022 r.
ZARZĄDZENIE Nr 21
GENERALNEGO DYREKTORA DRÓG KRAJOWYCH I AUTOSTRAD
z dnia 28 września 2022 r.
w sprawie Polityki Ochrony Danych Osobowych w Generalnej Dyrekcji Dróg Krajowych i Autostrad
Na podstawie § 5 ust. 2 pkt 1 załącznika do zarządzenia Nr 36 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 4 grudnia 2018 r. w sprawie ustalenia regulaminu organizacyjnego Generalnej Dyrekcji Dróg Krajowych i Autostrad 1 , w związku z art. 24 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 i Dz. Urz. UE L 127 z 23.05.2018, str. 2), zarządza się, co następuje:
§ 1.
W Generalnej Dyrekcji Dróg Krajowych i Autostrad ustala się Politykę Ochrony Danych Osobowych, stanowiącą załącznik do zarządzenia.§ 2.
1.
Politykę, o której mowa w § 1, stosuje się do przetwarzania danych osobowych, o którym mowa w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 i Dz. Urz. UE L 127 z 23.05.2018, str. 2), dalej "RODO".2.
Polityka, o której mowa w § 1, może być pomocniczo stosowana również w sprawach związanych z przetwarzaniem danych osobowych, które nie jest regulowane przepisami RODO lub do którego odrębne ustawy nie przewidują obowiązku stosowania przepisów RODO.§ 3.
Niezwłocznie po dniu wejścia w życie niniejszego zarządzenia, nie później niż w terminie 5 dni roboczych, pełnomocnik ds. bezpieczeństwa informacji poinformuje wszystkich pracowników Generalnej Dyrekcji Dróg Krajowych i Autostrad o ustaleniu w Generalnej Dyrekcji Dróg Krajowych i Autostrad Polityki Ochrony Danych Osobowych, w sposób określony w § 4 ust. 4 zarządzenia Nr 23 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 1 września 2021 r. w sprawie ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji w Generalnej Dyrekcji Dróg Krajowych i Autostrad i określenia sposobu wprowadzania dokumentacji tego systemu, właściwy dla dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji.§ 4.
Zarządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.ZAŁĄCZNIK
Polityka Ochrony Danych Osobowych w Generalnej Dyrekcji Dróg Krajowych i Autostrad
Polityka Ochrony Danych Osobowych w Generalnej Dyrekcji Dróg Krajowych i Autostrad
Rozdział 1
Przepisy ogólne
Przepisy ogólne
§ 1.
Polityka Ochrony Danych Osobowych w Generalnej Dyrekcji Dróg Krajowych i Autostrad, zwana dalej "PODO", została opracowana na podstawie art. 24 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej "RODO".§ 2.
1.
PODO ma na celu ustanowienie w Generalnej Dyrekcji Dróg Krajowych i Autostrad, zwanej dalej "GDDKiA", właściwego, z punktu widzenia praw i wolności osób, których dane dotyczą, poziomu ochrony danych osobowych poprzez zapewnienie realizacji zasad, o których mowa w art. 5 RODO, tj.:1)
zgodności z prawem;2)
rzetelności;3)
przejrzystości;4)
ograniczenia celu;5)
minimalizacji danych;6)
prawidłowości;7)
ograniczenia okresu przechowywania.2.
Sposób zapewnienia zgodności przetwarzania danych osobowych z zasadami, o których mowa w ust. 1, podlega dokumentowaniu w celu zapewnienia rozliczalności ich realizacji.§ 3.
1.
PODO określa w szczególności:1)
podział obowiązków i odpowiedzialności osób zobowiązanych do realizacji zadań określonych w PODO;2)
jednolite reguły postępowania w zakresie przetwarzania danych osobowych w całej GDDKiA;3)
sposób wdrażania środków ochrony danych osobowych zapewniających zgodność ich przetwarzania z prawem i uwzględniających wyniki analiz ryzyka dla praw i wolności osób, których dane osobowe przetwarzane są w GDDKiA;4)
sposób zapewnienia realizacji praw osób, których dane osobowe przetwarzane są w GDDKiA.2.
Szczegółowe procedury przetwarzania i ochrony danych osobowych określa dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji w Generalnej Dyrekcji Dróg Krajowych i Autostrad, zwana dalej "dokumentacją SZBI", wprowadzona do stosowania w sposób określony w załączniku nr 3 do zarządzenia Nr 23 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 1 września 2021 r. w sprawie ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji w Generalnej Dyrekcji Dróg Krajowych i Autostrad i określenia sposobu wprowadzania dokumentacji tego systemu.3.
Przetwarzając dane osobowe w GDDKiA uwzględnia się rekomendacje, stanowiska i wytyczne:1)
Prezesa Urzędu Ochrony Danych Osobowych, a także organu poprzedzającego - Generalnego Inspektora Ochrony Danych Osobowych;2)
Europejskiej Rady Ochrony Danych;3)
Europejskiego Inspektora Ochrony Danych.§ 4.
Administratorem danych osobowych przetwarzanych w GDDKiA jest Generalny Dyrektor Dróg Krajowych i Autostrad.§ 5.
1.
Ilekroć w PODO jest mowa o:1)
Administratorze danych - rozumie się przez to Generalnego Dyrektora Dróg Krajowych i Autostrad;2)
czynności przetwarzania - rozumie się przez to zespół powiązanych ze sobą operacji na danych osobowych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te operacje są podejmowane;3)
intranetowej bazie wiedzy o ochronie danych osobowych - rozumie się przez to witrynę "Ochrona danych osobowych" opublikowaną w ramach Portalu intranetowego GDDKiA, dostępną dla pracowników GDDKiA;4)
IOD - rozumie się przez to Inspektora Ochrony Danych w GDDKiA;5)
koordynatorze ds. ochrony danych osobowych w Oddziale GDDKiA lub Koordynatorze - rozumie się przez to pracownika Oddziału GDDKiA, wyznaczonego przez Dyrektora Oddziału GDDKiA do koordynowania realizacji zadań w zakresie ochrony danych osobowych;6)
operacji przetwarzania - rozumie się przez to każdą operację na danych osobowych realizowaną w ramach czynności przetwarzania, a w szczególności zbieranie lub pobieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;7)
organie nadzorczym - rozumie się przez to Prezesa Urzędu Ochrony Danych Osobowych;8)
osobach pełniących funkcje kierownicze - rozumie się przez to Generalnego Dyrektora Dróg Krajowych i Autostrad, jego zastępców oraz Dyrektora Generalnego GDDKiA, dyrektorów oddziałów GDDKiA i ich zastępców, kierujących komórkami organizacyjnymi Centrali GDDKiA i ich zastępców;9)
osobie upoważnionej - rozumie się przez to osobę uprawnioną do przetwarzania danych osobowych poprzez nadanie jej upoważnienia do przetwarzania danych osobowych w trybie określonym w rozdziale 3 PODO;10)
Polityce Bezpieczeństwa Informacji - rozumie się przez to Politykę Bezpieczeństwa Informacji w GDDKiA wprowadzoną do stosowania na mocy zarządzenia Nr 23 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 1 września 2021 r. w sprawie ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji w Generalnej Dyrekcji Dróg Krajowych i Autostrad i określenia sposobu wprowadzania dokumentacji tego systemu;11)
zasobie teleinformatycznym - rozumie się przez to system, bazę danych, aplikację, udział sieciowy, w szczególności folder na dysku sieciowym lub w chmurze obliczeniowej, w którym przetwarza się dane.2.
Pojęcia niezdefiniowane w PODO mają znaczenie nadane im w Polityce Bezpieczeństwa Informacji w GDDKiA oraz RODO.§ 6.
1.
Wszystkie osoby upoważnione do przetwarzania danych osobowych w GDDKiA mają obowiązek stosowania PODO.2.
PODO ma zastosowanie wobec danych osobowych, których przetwarzanie regulowane jest przepisami RODO:1)
przetwarzanych w GDDKiA, będących jej własnością lub jej powierzonych w ramach umów lub porozumień z podmiotami zewnętrznymi, chyba, że umowy te lub porozumienia stanowią inaczej;2)
przetwarzanych we wszystkich obiektach i zasobach teleinformatycznych użytkowanych przez GDDKiA, jak również innych miejscach, w których realizowany jest dostęp do danych osobowych, w szczególności za pośrednictwem zdalnego korzystania z cyberprzestrzeni GDDKiA i pracy w formule BYOD.3.
PODO nie ma zastosowania do przetwarzania danych osobowych, które nie jest regulowane przepisami RODO lub do którego odrębne ustawy nie przewidują obowiązku stosowania przepisów RODO, w szczególności PODO nie ma zastosowania do przetwarzania danych osobowych na potrzeby bezpieczeństwa i obronności państwa.4.
Generalny Dyrektor Dróg Krajowych i Autostrad nie jest zobligowany do stosowania przepisów o ochronie danych osobowych w związku z zapobieganiem i zwalczeniem przestępczości.Rozdział 2
Obowiązki i odpowiedzialność w zakresie zarządzania ochroną danych osobowych
Obowiązki i odpowiedzialność w zakresie zarządzania ochroną danych osobowych
§ 7.
Administrator danych zapewnia bezpieczeństwo danych osobowych oraz realizuje inne obowiązki wynikające z RODO i z przepisów powszechnie obowiązujących. Zadania te wykonuje samodzielnie lub powierza ich wykonanie osobom upoważnionym wskazanym w PODO, innej dokumentacji SZBI lub w pełnomocnictwach.§ 8.
Administrator danych stosuje środki fizyczne, techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a w szczególności zabezpiecza dane osobowe przechowywane, przesyłane lub w inny sposób przetwarzane przed przypadkowym lub niezgodnym z prawem zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem.§ 9.
Osoby pełniące funkcje kierownicze w GDDKiA:1)
organizują przetwarzanie i ochronę danych osobowych w podległych im komórkach organizacyjnych;2)
zapewniają przestrzeganie przepisów o ochronie danych osobowych w podległych im komórkach organizacyjnych;3)
tworzą warunki do zapewnienia właściwego poziomu ochrony danych osobowych w podległych im komórkach, w tym poprzez stosowanie fizycznych, technicznych i organizacyjnych środków zapewniających ochronę tych danych;4)
zapewniają włączenie odpowiednio IOD i Koordynatorów do wszystkich spraw dotyczących ochrony danych osobowych na ich początkowym etapie, poprzez przekazanie im niezbędnych informacji o planowanym procesie przetwarzania danych, w tym informacji określonych w art. 38 RODO.§ 10.
1.
Do zadań kierujących komórkami organizacyjnymi należy realizacja obowiązków Administratora danych niezastrzeżonych dla innych osób, w szczególności:1)
uwzględnianie ochrony danych osobowych w fazie projektowania i realizacji procesów zachodzących w kierowanej komórce organizacyjnej oraz stosowanie zasady domyślnej ochrony danych;2)
identyfikowanie ryzyka naruszenia ochrony danych osobowych i naruszenia praw i wolności osób, których dane są przetwarzane w kierowanej komórce organizacyjnej, a także zarządzanie tym ryzykiem;3)
dokonywanie oceny skutków planowanych operacji przetwarzania danych osobowych dla ich ochrony oraz wnioskowanie do Administratora o uprzednie konsultacje, o których mowa w art. 36 RODO;4)
wnioskowanie o rejestrację, aktualizację lub usunięcie czynności z Rejestru czynności przetwarzania;5)
wypełnianie obowiązków informacyjnych, względem osób fizycznych, których dane przetwarzane są w GDDKiA;6)
przygotowywanie umów dotyczących powierzenia przetwarzania danych i nadzór nad ich realizacją;7)
udostępnianie danych osobowych przetwarzanych w podległej komórce organizacyjnej;8)
rozpatrywanie, w porozumieniu z IOD lub Koordynatorami, skarg, wniosków i żądań osób, których dane dotyczą w związku z przetwarzaniem ich danych osobowych;9)
nadzór nad przestrzeganiem przez podległą komórkę organizacyjną przepisów w zakresie ochrony danych osobowych.2.
Kierujący komórkami organizacyjnymi Centrali GDDKiA mogą powierzyć realizację wybranych zadań, o których mowa w ust. 1, kierującym wewnętrznymi komórkami organizacyjnymi tych komórek organizacyjnych.§ 11.
1.
Kierujący komórką właściwą w sprawach ochrony fizycznej w Centrali GDDKiA i dyrektorzy oddziałów GDDKiA zapewniają środki fizycznej ochrony danych osobowych. Szczegółowy zakres zadań w tym zakresie określa Polityka Bezpieczeństwa Fizycznego w GDDKiA.2.
Dobierając środki ochrony fizycznej danych osobowych uwzględnia się wyniki analiz ryzyka przetwarzania tych danych dla praw i obowiązków osób, których dane dotyczą.§ 12.
1.
Kierujący komórką właściwą w sprawach informatyki w Centrali GDDKiA zapewnia środki bezpieczeństwa danych osobowych przetwarzanych w systemach teleinformatycznych. Szczegółowy zakres zadań w tym zakresie określa Polityka Bezpieczeństwa Teleinformatycznego w GDDKiA.2.
Dobierając środki ochrony teleinformatycznej danych osobowych uwzględnia się wyniki analiz ryzyka przetwarzania tych danych dla praw i obowiązków osób, których dane dotyczą.§ 13.
Osoby upoważnione realizują zadania i obowiązki określone w RODO, PODO i w pozostałej dokumentacji SZBI w odniesieniu do danych osobowych przekazanych im do przetwarzania w ramach obowiązków służbowych. W szczególności są one zobowiązane do:1)
zachowania szczególnej staranności przy przetwarzaniu danych osobowych, z uwzględnieniem zasad zgodności z prawem, rzetelności, przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości i ograniczenia przechowywania;2)
przestrzegania zasad bezpieczeństwa i ochrony informacji określonych w Polityce Bezpieczeństwa Informacji;3)
przestrzegania zasad i stosowania procedur ochrony danych osobowych określonych w PODO oraz dokumentacji SZBI;4)
przestrzegania zakresu udzielonego im upoważnienia;5)
zachowania w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczania.§ 14.
Do zadań IOD należy:1)
monitorowanie przestrzegania przepisów RODO i innych aktów prawnych dotyczących ochrony danych osobowych, w tym prowadzenie sprawdzeń z zakresu ochrony danych osobowych;2)
monitorowanie przestrzegania regulacji wewnętrznych dotyczących ochrony danych osobowych;3)
koordynacja procesu prowadzenia sprawdzeń w Oddziałach GDDKiA;4)
szkolenie osób upoważnionych z przepisów i zasad dotyczących ochrony danych osobowych;5)
opiniowanie projektów wewnętrznych i zewnętrznych aktów prawnych, a w razie potrzeby również innych dokumentów, w zakresie ich zgodności z przepisami o ochronie danych osobowych;6)
doradzanie osobom przetwarzającym dane osobowe w GDDKiA we wszelkich sprawach związanych z ochroną danych osobowych, a także informowanie o obowiązkach spoczywających na nich na mocy przepisów Unii Europejskiej lub krajowych przepisów o ochronie danych osobowych;7)
udzielanie zaleceń co do oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych i monitorowanie jej wykonania;8)
pełnienie roli punktu kontaktowego dla organu nadzorczego i współpraca z tym organem;9)
uzgadnianie sposobu i treści odpowiedzi na wpływające do Centrali GDDKiA żądania osób fizycznych, których dane osobowe są przetwarzane w GDDKiA;10)
udzielanie Koordynatorom wsparcia w zakresie realizacji ich obowiązków, o których mowa w § 16 oraz w dokumentacji SZBI;11)
sporządzanie i przedkładanie Administratorowi danych, do dnia 31 marca każdego roku, rocznego sprawozdania o stanie ochrony danych osobowych w GDDKiA oraz realizacji zadań IOD;12)
realizacja zadań IOD w zakresie rozwiązywania naruszeń ochrony danych osobowych, zgodnie z procedurą reagowania na incydenty lub podejrzenia wystąpienia incydentu bezpieczeństwa informacji, o której mowa w Polityce Bezpieczeństwa Informacji;13)
udział w procesie analizy ryzyka przetwarzania danych osobowych poprzez realizację zadań określonych w procedurach analizy ryzyka, o których mowa w Polityce Bezpieczeństwa Informacji;§ 15.
Do zadań wewnętrznej komórki organizacyjnej do spraw bezpieczeństwa informacji w Centrali GDDKiA należy koordynowanie funkcjonowania systemu ochrony danych osobowych w GDDKiA poprzez:1)
prowadzenie i aktualizowanie Rejestru czynności przetwarzania danych osobowych oraz rejestru kategorii czynności przetwarzania danych osobowych na podstawie informacji przekazanych przez kierowników komórek organizacyjnych;2)
opracowywanie projektów wytycznych i procedur w zakresie sposobu realizacji obowiązków wynikających z przepisów o ochronie danych osobowych;3)
opiniowanie projektów umów powierzenia przetwarzania danych i dokumentacji zamówień publicznych w zakresie ochrony danych osobowych w Centrali GDDKiA;4)
opiniowanie treści i sposobu realizacji obowiązków informacyjnych względem osób, których dane osobowe są przetwarzane w Centrali GDDKiA;5)
koordynacja sposobu realizacji obowiązku informacyjnego w GDDKiA;6)
opiniowanie udostępnienia danych osobowych przez Centralę GDDKiA, w tym w ramach dostępu do informacji publicznej;7)
prowadzenie intranetowej bazy wiedzy o ochronie danych osobowych dla pracowników GDDKiA;8)
współpraca z Koordynatorami w zakresie realizacji przez nich obowiązków, o których mowa w § 16 oraz w dokumentacji SZBI;9)
realizacja zadań w zakresie rozwiązywania naruszeń ochrony danych osobowych, zgodnie z procedurą reagowania na incydenty lub podejrzenia wystąpienia incydentu bezpieczeństwa informacji, o której mowa w Polityce Bezpieczeństwa Informacji;10)
udział w procesie analizy ryzyka przetwarzania danych osobowych poprzez realizację zadań określonych w procedurach analizy ryzyka, o których mowa w Polityce Bezpieczeństwa Informacji.11)
doradzanie pracownikom GDDKiA w ramach procesu planowania ochrony danych osobowych w fazie projektowania i domyślnej ochrony danych.§ 16.
Do zadań Koordynatora ds. ochrony danych w Oddziale GDDKiA należy:1)
monitorowanie przestrzegania przepisów RODO i innych aktów prawnych dotyczących ochrony danych osobowych w Oddziale GDDKiA, w tym prowadzenie sprawdzeń z zakresu ochrony danych osobowych;2)
monitorowanie przestrzegania w Oddziale GDDKiA regulacji wewnętrznych dotyczących ochrony danych osobowych;3)
szkolenie osób upoważnionych w Oddziale GDDKiA z przepisów i zasad dotyczących ochrony danych osobowych;4)
opiniowanie projektów wewnętrznych aktów prawnych Oddziału GDDKiA, a także innych dokumentów w zakresie ich zgodności z przepisami o ochronie danych osobowych;5)
doradzanie osobom przetwarzającym dane osobowe w Oddziale GDDKiA we wszelkich sprawach związanych z ochroną danych osobowych, a także informowanie o obowiązkach spoczywających na nich na mocy przepisów Unii Europejskiej lub krajowych przepisów o ochronie danych osobowych;6)
uzgadnianie sposobu i treści odpowiedzi na wpływające do Oddziału GDDKiA żądania osób fizycznych, których dane osobowe są przetwarzane w Oddziale GDDKiA;7)
sporządzanie i przedkładanie Dyrektorowi Oddziału GDDKiA do dnia 31 stycznia każdego roku rocznego sprawozdania o stanie ochrony danych osobowych w Oddziale GDDKiA oraz realizacji zadań Koordynatora;8)
opiniowanie projektów umów powierzenia przetwarzania danych i dokumentacji zamówień publicznych w zakresie ochrony danych osobowych w Oddziale GDDKiA;9)
opiniowanie treści i sposobu realizacji obowiązku informacyjnego, o którym mowa w RODO względem osób których dane osobowe są przetwarzane w Oddziale GDDKiA;10)
opiniowanie udostępniania danych osobowych przez Oddział GDDKiA, w tym w ramach dostępu do informacji publicznej;11)
realizacja zadań w zakresie rozwiązywania naruszeń ochrony danych osobowych w Oddziale GDDKiA, zgodnie z procedurą reagowania na incydenty lub podejrzenia wystąpienia incydentu bezpieczeństwa informacji, o której mowa w Polityce Bezpieczeństwa Informacji;12)
udział w procesie analizy ryzyka przetwarzania danych osobowych w Oddziale GDDKiA poprzez realizację zadań określonych w procedurach analizy ryzyka, o których mowa w Polityce Bezpieczeństwa Informacji;13)
doradzanie pracownikom Oddziału GDDKiA w ramach procesu planowania ochrony danych osobowych w fazie projektowania i domyślnej ochrony danych.Rozdział 3
Nadawanie dostępu do danych osobowych
Nadawanie dostępu do danych osobowych
§ 17.
1.
Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby upoważnione przez Administratora danych lub podmiot przetwarzający, zapoznane z przepisami o ochronie danych osobowych oraz zobowiązane do zachowania w tajemnicy danych osobowych i sposobów ich ochrony w GDDKiA.2.
Zasady nadawania dostępu do danych osobowych osobom upoważnionym przez podmioty przetwarzające działające na polecenie Administratora danych określają każdorazowo umowy powierzenia przetwarzania, a w zakresie w nich nieuregulowanym regulacje wewnętrzne stosowane przez podmiot przetwarzający.§ 18.
Upoważnienia do przetwarzania danych osobowych dla:1)
pracowników zajmujących stanowisko, z którym wiąże się przetwarzanie danych osobowych - są wypełniane, przedkładane do podpisu oraz wydawane pracownikowi, przez kierującego komórką właściwą do spraw pracowniczych odpowiednio w Centrali GDDKiA lub Oddziale GDDKiA, a następnie przechowywane w aktach osobowych pracownika;2)
stażystów, praktykantów lub wolontariuszy realizujących zadania, z którymi wiąże się przetwarzanie danych osobowych - są wypełniane, przedkładane do podpisu oraz wydawane, przez kierującego komórką właściwą do spraw pracowniczych odpowiednio w Centrali GDDKiA lub Oddziale GDDKiA, a następnie przechowywane w aktach sprawy dotyczącej organizacji stażu, praktyki lub wolontariatu;3)
osób wykonujących zadania na podstawie umów cywilnoprawnych - stanowią załączniki do umowy zawieranej z tą osobą;4)
osób świadczących usługi na rzecz GDDKiA na innej podstawie - są opracowywane, przedkładane do podpisu oraz wydawane, przez kierującego komórką organizacyjną na rzecz której ta osoba wykonuje działania, a następnie przechowywane we właściwych aktach sprawy.§ 19.
Upoważnienia do przetwarzania danych osobowych podpisuje:1)
w odniesieniu do osób zatrudnionych lub wykonujących zadania na rzecz Centrali GDDKiA - Administrator danych, Dyrektor Generalny GDDKiA lub inna osoba upoważniona przez Administratora danych;2)
w odniesieniu do osób zatrudnionych lub wykonujących zadania na rzecz Oddziału GDDKiA - Dyrektor Oddziału GDDKiA lub, w uzasadnionych przypadkach, osoba go zastępująca.§ 20.
Upoważnienia do przetwarzania danych osobowych są wypełniane lub opracowywane z wykorzystaniem wzoru, który stanowi załącznik do PODO.§ 21.
W przypadku wątpliwości, co do zakresu upoważnienia do przetwarzania danych osobowych, o zakresie tym decyduje kierujący komórką organizacyjną, w której osoba upoważniona jest zatrudniona na podstawie umowy o pracę lub z którą współpracuje na innej podstawie.§ 22.
Tryb nadawania, zmiany i odbierania uprawnień dostępu do danych osobowych przetwarzanych w systemach teleinformatycznych określa Polityka Bezpieczeństwa Teleinformatycznego.§ 23.
Kierujący komórką organizacyjną, w której zatrudniony jest pracownik lub na rzecz której wykonuje działania osoba, o której mowa w § 18 pkt 2-4, kieruje pracownika lub tę osobę na szkolenie adaptacyjne z bezpieczeństwa informacji, o którym mowa w Polityce Bezpieczeństwa Informacji.Rozdział 4
Dopuszczalność przetwarzania danych osobowych
Dopuszczalność przetwarzania danych osobowych
§ 24.
1.
Przetwarzanie danych osobowych jest dopuszczalne po spełnieniu co najmniej jednej z przesłanek wymienionych w art. 6 ust. 1 RODO i z uwzględnieniem zasad, o których mowa w art. 5 RODO.2.
W przypadku zamiaru przetwarzania danych szczególnych kategorii, o których mowa w art. 9 RODO, konieczne jest spełnienie co najmniej jednej z przesłanek wymienionych w art. 6 ust. 1 RODO oraz jednej z przesłanek wymienionych w art. 9 ust. 2 RODO.3.
Przetwarzanie danych osobowych o wyrokach skazujących i naruszeniach prawa jest możliwe wyłącznie w sytuacji, gdy wymagają tego przepisy prawa.§ 25.
1.
W przypadku uznania, że przesłanką do przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą, zgoda ta jest odbierana najpóźniej w chwili zbierania danych od tej osoby.2.
Zgoda może zostać odebrana w dowolnej formie, pod warunkiem, że forma ta umożliwia jednoznaczne określenie jakich danych osobowych dotyczy zgoda oraz w jakim celu mają być one przetwarzane. W szczególności zgoda może być odebrana w formie:1)
pisemnej;2)
elektronicznej potwierdzonej podpisem elektronicznym;3)
dokumentowej, w rozumieniu art. 772 Kodeksu cywilnego;4)
świadomego działania wyrażonego poprzez załączenie danych osobowych do pisma, e-maila lub podanie danych osobowych w rozmowie telefonicznej, która jest rejestrowana.3.
W przypadku, gdy dane osobowe przetwarzane na podstawie zgody zbierane są z inicjatywy GDDKiA, zgoda powinna zostać udzielona poprzez podpisanie formularza zgody lub zaznaczenie odpowiedniej opcji (checkbox) w systemie teleinformatycznym. Dopuszcza się możliwość dokumentowania faktu udzielenia zgody poprzez przechowywanie skanu podpisanego dokumentu.4.
Formularz zgody, o którym mowa w ust. 3, musi zawierać pełną treść klauzuli informacyjnej. Osoba, której dane dotyczą musi mieć możliwość zapoznania się z treścią klauzuli przed wyrażeniem zgody.5.
W przypadku odbierania zgody za pośrednictwem systemu teleinformatycznego system ten musi zapewniać rozliczalność udzielonych zgód poprzez odnotowanie co najmniej imienia i nazwiska lub identyfikowalnego loginu osoby, wyrażającej zgodę oraz daty udzielonej zgody.6.
Niedopuszczalne jest:1)
uznawanie za zgodę milczenia lub niepodjęcia określonego działania przez osobę, której dane dotyczą;2)
domyślne oznaczenie opcji zgody w systemie teleinformatycznym, za pośrednictwem którego zbierane są dane osobowe.7.
Kierujący komórką organizacyjną odpowiedzialną za realizację czynności przetwarzania, w ramach której dane osobowe przetwarzane są na podstawie zgody, zapewnia rozliczalność odebranych zgód co najmniej przez okres realizacji tej czynności przetwarzania.§ 26.
1.
W przypadku uznania, że przesłanką do przetwarzania danych osobowych jest prawnie uzasadniony interes Administratora danych, kierujący komórką organizacyjną odpowiedzialną za realizację czynności przetwarzania, w ramach której, na tej podstawie, dane osobowe są przetwarzane, przeprowadza test równowagi.2.
Test równowagi polega na wykazaniu równowagi pomiędzy interesem Administratora danych a sposobem zabezpieczenia realizacji praw i wolności osoby, której dane mają być przetwarzane w ramach czynności przetwarzania, i zapewnia:1)
identyfikację interesów Administratora danych realizowanych za pośrednictwem czynności przetwarzania oraz praw i wolności, które przetwarzanie może naruszyć;2)
ocenę wagi interesów Administratora danych, względem zakresu gromadzonych w ramach czynności przetwarzania danych osobowych;3)
ocenę zabezpieczeń, które Administrator danych planuje zastosować w celu ochrony praw i wolności które przetwarzanie może naruszyć.3.
W sytuacji gdy test, o którym mowa w ust. 1, wykaże brak możliwości zapewnienia równowagi pomiędzy interesem Administratora danych a sposobem zabezpieczenia realizacji praw i wolności osoby, której mają być przetwarzane, określonej czynności przetwarzania nie realizuje się.4.
Kierujący komórką organizacyjną odpowiedzialną za realizację czynności przetwarzania, w ramach której dane osobowe przetwarzane są na podstawie uzasadnionego interesu Administratora danych, zapewnia rzetelność wykonania testu równowagi i jego udokumentowanie.5.
W GDDKiA obowiązuje jednolity sposób wykonywania i dokumentowania testu równowagi określony w dokumentacji SZBI.Rozdział 5
Ochrona danych osobowych w fazie projektowania i domyślna ochrona danych
Ochrona danych osobowych w fazie projektowania i domyślna ochrona danych
§ 27.
Każdą nową czynność przetwarzania danych osobowych projektuje się w sposób zapewniający:1)
domyślną realizację zasad zgodności z prawem, rzetelności, przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości i ograniczenia przechowywania;2)
domyślną realizację praw osób, których dane dotyczą;3)
rozliczalność w zakresie, o którym mowa w pkt 1-2.§ 28.
1.
Przed rozpoczęciem przetwarzania danych osobowych, w ramach nowej czynności przetwarzania, kierujący komórką organizacyjną odpowiedzialną za realizację tej czynności przeprowadza analizę obejmującą co najmniej określenie:1)
celu i podstawy prawnej przetwarzania danych osobowych;2)
rodzajów przetwarzanych danych osobowych oraz kategorii osób, których dane dotyczą;3)
planowanego okresu przetwarzania danych osobowych;4)
sposobu pozyskania i przechowywania oraz zakresu operacji, jakie będą wykonywane na danych osobowych;5)
rodzajów podmiotów, którym dane będą udostępnianie lub powierzane;6)
sposobu realizacji obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO;7)
ryzyk dla praw i wolności osób, których dane dotyczą i proponowanego sposobu zarządzania nimi w ramach planowanej czynności przetwarzania.2.
W sytuacji, o której mowa w § 26 ust. 1, niezbędnym elementem analizy, o której mowa w ust. 1, jest test równowagi, o którym mowa w § 26 ust. 2.3.
W GDDKiA obowiązuje jednolity sposób wykonywania i dokumentowania analizy, o której mowa w ust. 1, określony w dokumentacji SZBI.4.
Dokumentacja z wykonanej analizy stanowi podstawę wpisu nowej czynności przetwarzania do Rejestru czynności przetwarzania, o którym mowa w § 31.§ 29.
1.
Analizę, o której mowa w § 28 ust. 1, ponawia się w przypadku wprowadzenia istotnych zmian w czynności przetwarzania danych osobowych, w szczególności dotyczących:1)
rozszerzenia zakresu przetwarzanych danych;2)
zmiany celu przetwarzania;3)
zmiany lub dodania nowej podstawy prawnej przetwarzania danych,;4)
zmiany środków organizacyjno-technicznych ochrony danych,;5)
zmiany otoczenia prawnego czynności przetwarzania;6)
a także innych wywierających wpływ na zapewnienie realizacji zasad i praw, o których mowa w § 27.2.
Dokumentacja z wykonanej analizy, o której mowa w ust. 1, stanowi podstawę aktualizacji wpisu czynności przetwarzania w Rejestrze czynności przetwarzania, o którym mowa w § 31.Rozdział 6
Rejestrowanie czynności przetwarzania
Rejestrowanie czynności przetwarzania
§ 30.
1.
W GDDKiA prowadzi się wspólny Rejestr czynności przetwarzania i wspólny rejestr kategorii czynności przetwarzania dla wszystkich jednostek organizacyjnych.2.
Rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania prowadzone są w wewnętrznej komórce organizacyjnej do spraw bezpieczeństwa informacji w Centrali GDDKiA.§ 31.
1.
W Rejestrze czynności przetwarzania zamieszcza się informacje dotyczące wszystkich czynności przetwarzania realizowanych w GDDKiA.2.
Wpis pojedynczej czynności przetwarzania w Rejestrze czynności przetwarzania zawiera co najmniej informacje o:1)
celu przetwarzania danych osobowych;2)
kategoriach osób i kategoriach danych osobowych jakie są przetwarzane w ramach czynności przetwarzania;3)
podstawie prawnej przetwarzania danych osobowych;4)
odbiorcach lub kategoriach odbiorców, którym dane osobowe mogą być przekazywane;5)
planowanych terminach usunięcia poszczególnych kategorii danych osobowych;6)
sposobach przetwarzania danych (papierowo, elektronicznie);7)
ewentualnym przekazywaniu danych do państwa trzeciego lub organizacji międzynarodowych;8)
fizycznych, technicznych i organizacyjnych środkach ochrony danych osobowych.3.
Rejestr czynności przetwarzania jest udostępniany pracownikom GDDKiA za pośrednictwem wewnętrznych elektronicznych kanałów komunikacji.§ 32.
1.
W Rejestrze kategorii czynności przetwarzania dokonuje się wpisu w każdej sytuacji, w której Generalny Dyrektor Dróg Krajowych i Autostrad przyjmuje na siebie obowiązki podmiotu przetwarzającego, w myśl art. 28 RODO.2.
Kierujący komórką organizacyjną, która zamierza przetwarzać dane osobowe w sytuacji, o której mowa w ust. 1, informuje wewnętrzną komórkę organizacyjną do spraw bezpieczeństwa informacji w Centrali GDDKiA o zawartej umowie lub innym instrumencie prawnym nakładającym na Generalnego Dyrektora Dróg Krajowych i Autostrad obowiązki podmiotu przetwarzającego. Informacja ta stanowi podstawę wpisu do rejestru kategorii czynności przetwarzania.3.
Kierujący komórką organizacyjną w Oddziale GDDKiA przekazuje informację, o której mowa w ust. 2, za pośrednictwem Koordynatora.4.
Rejestr kategorii czynności przetwarzania zawiera co najmniej informacje o:1)
celu przetwarzania danych osobowych;2)
nazwie i danych kontaktowych administratora powierzającego dane;3)
danych kontaktowych IOD administratora powierzającego dane, o ile został wyznaczony;4)
kategoriach osób i kategoriach danych osobowych jakie są przetwarzane w ramach obowiązków, o których mowa w ust. 1;5)
czasie na który powierzone zostały dane osobowe;6)
ewentualnym przekazywaniu danych do państwa trzeciego lub organizacji międzynarodowych;7)
fizycznych, technicznych i organizacyjnych środkach ochrony danych osobowych.5.
Rejestr kategorii czynności przetwarzania jest udostępniany pracownikom GDDKiA za pośrednictwem wewnętrznych elektronicznych kanałów komunikacji.Rozdział 7
Zarządzanie ryzykiem i ocena skutków przetwarzania dla ochrony praw i wolności osób fizycznych
Zarządzanie ryzykiem i ocena skutków przetwarzania dla ochrony praw i wolności osób fizycznych
§ 33.
1.
Przetwarzanie danych osobowych w GDDKiA odbywa się z uwzględnieniem ryzyka, jakie to przetwarzanie może wywoływać dla praw i wolności osób, których dane dotyczą.2.
Zarządzanie ryzykiem naruszenia praw i wolności osób, których dane dotyczą, ma na celu rzetelną ocenę wpływu operacji przetwarzania danych osobowych i stosowanych lub proponowanych do stosowania zabezpieczeń na prawa i wolności osoby, której dane dotyczą, na wszystkich etapach realizacji czynności przetwarzania oraz opracowanie planu postępowania ze zidentyfikowanym ryzykiem.§ 34.
1.
Analizę ryzyka przetwarzania danych osobowych dla praw i wolności osób, których dane dotyczą przeprowadza się podczas:1)
planowania nowej czynności przetwarzania;2)
planowania zmian w zarejestrowanej czynności przetwarzania;3)
analizy naruszenia ochrony danych osobowych;4)
cyklicznej analizy ryzyka, o której mowa w Polityce Bezpieczeństwa Informacji.2.
W analizie, o której mowa w ust. 1, uwzględnia się kontekst przetwarzanych danych osobowych oraz łatwość identyfikacji osoby fizycznej za pośrednictwem przetwarzanych danych.3.
Za przeprowadzenie analizy ryzyka odpowiedzialny jest:1)
kierujący komórką organizacyjną odpowiedzialną za realizację czynności przetwarzania - w przypadkach określonych w ust. 1 pkt 1 i 2;2)
zespół analizujący naruszenie ochrony danych osobowych - w przypadku określonym w ust. 1 pkt 3;3)
Zespół ds. analizy ryzyka, o którym mowa w Polityce Bezpieczeństwa Informacji - w przypadku określonym w ust. 1 pkt 4.4.
Przeprowadzający analizę zapewnia udział w procesie analizy ryzyka pracownika komórki odpowiedzialnej za bezpieczeństwo informacji w GDDKiA oraz odpowiednio IOD lub Koordynatora.5.
Analizę ryzyka przeprowadza się w oparciu o procedurę, o której mowa w § 6 Polityki Bezpieczeństwa Informacji.§ 35.
1.
W sytuacji, gdy analiza ryzyka, o której mowa w § 34 ust. 1, wykaże duże prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia praw i wolności osób, których dane dotyczą oraz w przypadku planowania operacji przetwarzania wymienionej w wykazie, o którym mowa w art. 35 ust. 4 RODO, przeprowadzający analizę dokonuje oceny skutków planowanych operacji przetwarzania na ochronę danych osobowych.2.
Oceny, o której mowa w ust. 1, dokonuje się zgodnie z zaleceniami IOD.3.
W sytuacji, gdy ocena, o której mowa w ust. 1, wykaże wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą, przeprowadzający analizę wnioskuje do Administratora danych o przeprowadzenie konsultacji z organem nadzorczym. Przed podjęciem decyzji o przeprowadzeniu konsultacji z organem nadzorczym przeprowadzający analizę jest zobowiązany do wykazania przed Administratorem danych niezbędności realizacji operacji przetwarzania wskazujących na wysokie ryzyko.Rozdział 8
Realizacja obowiązków informacyjnych
Realizacja obowiązków informacyjnych
§ 36.
Obowiązki informacyjne, o których mowa w art. 13 i 14 RODO, realizuje się wobec osób fizycznych, których dane przetwarzane są w ramach czynności przetwarzania.§ 37.
1.
Obowiązki informacyjne realizuje się poprzez:1)
publikację klauzul informacyjnych w miejscach zbierania danych od osób, których dane dotyczą;2)
publikację klauzul informacyjnych na stronach internetowych i intranetowych GDDKiA, w tym na stronach za pośrednictwem których zbierane są dane osobowe;3)
zamieszczenie klauzul informacyjnych we wzorach dokumentów, za pośrednictwem których zbierane są dane osobowe;4)
przesyłanie i przekazywanie klauzul informacyjnych w korespondencji lub bezpośrednio osobom, których dane dotyczą;5)
przekazywanie treści klauzul informacyjnych w postaci głosowej w sytuacji, gdy inny sposób ich przekazania nie jest możliwy.2.
Dopuszcza się realizację obowiązków informacyjnych w postaci warstwowej, przy czym pierwsza warstwa klauzuli informacyjnej musi zawierać bezpośrednie odesłanie do treści pełnej klauzuli informacyjnej.§ 38.
1.
Kierujący komórką organizacyjną odpowiedzialną za realizację czynności przetwarzania opracowuje treść klauzul informacyjnych w ramach analizy, o której mowa w § 28 ust. 1.2.
Treść klauzul informacyjnych może być modyfikowana w każdym czasie, w szczególności w przypadku stwierdzenia ich niepoprawności lub nieaktualności w całości lub części.3.
Treść klauzul opracowuje się zgodnie ze wzorem opublikowanym w intranetowej bazie wiedzy o ochronie danych osobowych dla pracowników GDDKiA.4.
Dla czynności przetwarzania powtarzalnych lub realizowanych w sposób ciągły stosuje się klauzule informacyjne opublikowane w intranetowej bazie wiedzy o ochronie danych osobowych.§ 39.
Treść klauzul informacyjnych innych niż wymienione w § 38 ust. 4, modyfikacje dotychczas stosowanych klauzul oraz sposób realizacji obowiązku informacyjnego kierujący komórką organizacyjną odpowiedzialną za realizację czynności przetwarzania uzgadnia z komórką do spraw bezpieczeństwa informacji w Centrali GDDKiA lub Koordynatorem.Rozdział 9
Przekazywanie danych osobowych podmiotom zewnętrznym
Przekazywanie danych osobowych podmiotom zewnętrznym
§ 40.
Dane osobowe są udostępniane na wniosek osoby, której dane dotyczą, w ramach przysługującego jej prawa dostępu do danych i w trybie, o którym mowa w Rozdziale 11.§ 41.
1.
Dane osobowe mogą być udostępniane innemu niż określony w § 40 podmiotowi zewnętrznemu, o ile podmiot ten wykaże posiadanie podstawy prawnej do przetwarzania określonego zakresu danych osobowych.2.
Udostępnienia danych osobowych, o którym mowa w ust. 1, dokonuje kierujący komórką organizacyjną odpowiedzialną za współpracę z podmiotem zewnętrznym, na wniosek tego podmiotu i po potwierdzeniu istnienia podstawy prawnej, o której mowa w ust. 1.3.
Udostępnienia danych osobowych można dokonać w trybie bezwnioskowym wyłącznie w przypadku, gdy stanowi o tym przepis prawa lub umowa, albo inny instrument prawny wiążący GDDKiA z podmiotem, o którym mowa w ust. 1.§ 42.
Przed rozpoczęciem współpracy z podmiotem zewnętrznym, z którą wiąże się przetwarzanie danych osobowych, kierujący komórką organizacyjną odpowiedzialną za tę współpracę dokonuje ustalenia ról, jakie pełnią strony w zakresie przetwarzania danych osobowych, w szczególności ustala:1)
która strona (strony) i w jakim zakresie pełni rolę administratora danych,2)
która strona (strony) i w jakim zakresie pełni rolę podmiotu przetwarzającego,3)
czy strony pełnią role współadministratorów danych osobowych.§ 43.
1.
Dane osobowe są powierzane podmiotowi zewnętrznemu w przypadku, gdy podmiot ten wykonuje w imieniu i na rzecz GDDKiA zadania związane z przetwarzaniem danych osobowych.2.
Powierzenie przetwarzania może nastąpić wyłącznie w drodze umowy zawartej w formie pisemnej, dokumentowej lub elektronicznej, pomiędzy podmiotem przetwarzającym, a Administratorem danych. Administratora danych oraz podmiot przetwarzający mogą reprezentować osoby odpowiednio umocowane.3.
Projekt umowy powierzenia przetwarzania opracowuje kierujący komórką organizacyjną odpowiedzialną za zlecenie podmiotowi zewnętrznemu zadania, o którym mowa w ust. 1. Projekt umowy powierzenia przetwarzania opracowuje się zgodnie ze wzorem opublikowanym w intranetowej bazie wiedzy o ochronie danych osobowych dla pracowników GDDKiA.4.
Projekt umowy powierzenia przetwarzania danych osobowych wymaga zaopiniowania odpowiednio przez komórkę do spraw bezpieczeństwa informacji w Centrali GDDKiA, albo Koordynatora.5.
Komórka organizacyjna GDDKiA prowadzi rejestr powierzeń przetwarzania danych osobowych. Rejestr zawiera:1)
nazwy i dane kontaktowe podmiotów przetwarzających;2)
cel i zakres powierzanych danych osobowych;3)
wykaz operacji przetwarzania powierzonych w ramach umowy powierzenia;4)
daty zawarcia umów powierzenia;5)
informacje dotyczące podpowiedzenia danych.§ 44.
1.
Dane osobowe mogą być przetwarzane wspólnie z podmiotem zewnętrznym w ramach współadministrowania.2.
W sytuacji gdy Generalny Dyrektor Dróg Krajowych i Autostrad wraz z innym podmiotem zamierzają współadministrować danymi osobowymi, kierujący komórką organizacyjną odpowiedzialną za współpracę z tym podmiotem opracowuje umowę lub porozumienie o współadministrowaniu.3.
Umowa lub porozumienie, o którym mowa w ust. 2, zawiera postanowienia dotyczące podziału zadań i odpowiedzialności pomiędzy stronami w zakresie zapewnienia zgodności przetwarzania danych osobowych z przepisami prawa.4.
Treść umowy lub porozumienia, o którym mowa w ust. 2, wymaga zaopiniowania przez komórkę do spraw bezpieczeństwa informacji w Centrali GDDKiA.Rozdział 10
Retencja danych osobowych
Retencja danych osobowych
§ 45.
1.
Planowany okres przechowywania danych osobowych ustala się w procesie projektowania nowej czynności przetwarzania, o którym mowa w Rozdziale 5, z uwzględnieniem ust. 2 i 3.2.
Dane osobowe przetwarzane w aktach spraw podlegają archiwizacji wraz z aktami tych spraw. Szczegółowe zasady dotyczące archiwizacji reguluje instrukcja kancelaryjna.3.
Dane osobowe przetwarzane w ramach zbiorów nietworzących akt sprawy przechowywane są do czasu ustania celu, dla którego zostały zebrane lub do chwili, gdy są już zbędne do osiągnięcia tego celu.§ 46.
1.
Procedurę usuwania danych osobowych po upływie okresu ich przetwarzania ustala się indywidualnie dla każdej czynności przetwarzania, mając na uwadze sposoby zbierania i przechowywania danych osobowych w ramach tej czynności. W szczególności dane osobowe usuwa się poprzez anonimizację dokumentów lub nadpisanie danych przetwarzanych w systemach teleinformatycznych.2.
Kierujący komórką organizacyjną realizującą czynność przetwarzania, nie rzadziej niż raz na 2 lata zarządza przegląd zbiorów nie tworzących akt sprawy w celu usunięcia z nich danych osobowych, dla których ustał cel ich przetwarzania.Rozdział 11
Realizacja praw osób, których dane dotyczą
Realizacja praw osób, których dane dotyczą
§ 47.
Kierujący komórką organizacyjną Centrali GDDKiA oraz Dyrektor Oddziału GDDKiA, każdy w swoim zakresie, są zobowiązani do odpowiadania na żądania osób fizycznych, których dane są przetwarzane w związku z realizacją czynności przetwarzania w podległych im komórkach organizacyjnych.§ 48.
1.
W przypadku zgłoszenia przez osobę, której dane dotyczą, żądania dostępu do danych osobowych, które jej dotyczą, kierujący komórką organizacyjną realizującą czynność przetwarzania, w ramach której przetwarzane są te dane niezwłocznie podejmuje decyzję co do sposobu udostępnienia danych i ustala treść odpowiedzi.2.
Realizując prawo dostępu, o którym mowa w ust. 1, uwzględnia się prawo do prywatności innych osób, których dane są przetwarzane w związku z przetwarzaniem danych osoby żądającej dostępu do danych.§ 49.
1.
W przypadku zgłoszenia przez osobę, której dane dotyczą, żądania usunięcia lub ograniczenia przetwarzania jej danych osobowych lub sprzeciwu wobec przetwarzania jej danych osobowych, kierujący komórką organizacyjną realizującą czynność przetwarzania, w ramach której przetwarzane są te dane niezwłocznie podejmuje decyzję co do sposobu postępowania z tymi danymi i ustala treść odpowiedzi.2.
W przypadku, gdy dane, których dotyczy żądanie lub sprzeciw, o których mowa w ust. 1, przetwarzane są w systemie teleinformatycznym, sposób odpowiedzi na żądanie lub sprzeciw ustala się z właścicielem systemu oraz ASI merytorycznym.3.
Sposoby odpowiedzi na żądania, o których mowa w ust. 1., każdorazowo uzgadniane są odpowiednio z IOD lub Koordynatorem.4.
Udzielenie odpowiedzi na żądania, o których mowa w ust. 1, odbywa się na zasadach i w terminach określonych w art. 12 RODO.Rozdział 12
Postępowanie w przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych
Postępowanie w przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych
§ 50.
1.
Każdy pracownik GDDKiA jest zobowiązany do:1)
natychmiastowego zgłaszania dostrzeżonych naruszeń ochrony danych osobowych oraz podejrzeń naruszenia ochrony tych danych;2)
powstrzymania się od działań mogących spowodować zatarcie śladów, bądź dowodów naruszenia do chwili ich zebrania przez osoby obsługujące naruszenie;3)
aktywnego włączania się w proces obsługi naruszenia, w szczególności niezwłocznego udzielania informacji i wyjaśnień dotyczących dostrzeżonego naruszenia osobom obsługującym naruszenie.2.
Informacje dotyczące naruszeń ochrony danych osobowych stwierdzonych w GDDKiA stanowią informację wewnętrzną i mogą być przekazywane poza struktury GDDKiA wyłącznie przez osoby do tego upoważnione.§ 51.
Szczegółowe zasady zgłaszania oraz obsługi naruszeń ochrony danych osobowych określają procedury reagowania na incydenty lub podejrzenia wystąpienia incydentu bezpieczeństwa informacji, o których mowa w § 12 Polityki Bezpieczeństwa Informacji.Rozdział 13
Monitorowanie zgodności przetwarzania danych osobowych z przepisami
Monitorowanie zgodności przetwarzania danych osobowych z przepisami
§ 52.
1.
Monitorowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz PODO jest zadaniem IOD oraz Koordynatorów.2.
Monitorowanie, o którym mowa w ust. 1, odbywa się w szczególności w formie sprawdzeń planowych lub doraźnych.3.
IOD przy udziale Koordynatorów opracowuje plan sprawdzeń na dany rok kalendarzowy i przedkłada go do wiadomości Administratora danych do końca stycznia danego roku.§ 53.
1.
IOD przeprowadza sprawdzenia planowe w Centrali GDDKiA i koordynuje proces sprawdzeń planowych w Oddziałach GDDKiA.2.
IOD przeprowadza sprawdzenia doraźne samodzielnie lub zleca ich przeprowadzenie Koordynatorom.3.
Sprawdzenia mogą być przeprowadzane przy wsparciu specjalistycznych podmiotów zewnętrznych.§ 54.
1.
Przeprowadzający sprawdzenie ma prawo do:1)
wstępu do pomieszczeń, w których są przetwarzane dane osobowe w obecności osoby zajmującej to pomieszczenie lub powołanej komisji;2)
żądania, w zakresie niezbędnym do przeprowadzenia sprawdzenia, złożenia pisemnych lub ustnych wyjaśnień oraz okazania dokumentów i wykonania ich kopii przez osoby przetwarzające dane osobowe;3)
przeprowadzania oględzin urządzeń, nośników informacji i systemów informatycznych służących do przetwarzania danych osobowych.2.
Osoba przetwarzająca dane, których dotyczy sprawdzenie, ma obowiązek niezwłocznie udzielić informacji i wyjaśnień, o których mowa w ust. 1 pkt 2.§ 55.
1.
Z przeprowadzonego sprawdzenia sporządza się sprawozdanie zawierające w szczególności przedmiot sprawdzenia, stwierdzone nieprawidłowości i propozycje działań korygujących.2.
Koordynatorzy uzgadniają zakres sprawozdania z IOD.3.
Sprawozdanie przedkłada się kierującemu komórką organizacyjną, w której realizowano sprawdzenie, Pełnomocnikowi ds. Bezpieczeństwa Informacji oraz:1)
Dyrektorowi Generalnemu GDDKiA - w przypadku sprawdzeń w Centrali GDDKiA,2)
Dyrektorowi Oddziału - w przypadku sprawdzenia w Oddziale GDDKiA.4.
W przypadku stwierdzenia nieprawidłowości osoby, o których mowa w ust. 3 pkt 1 i 2, decydują o podjęciu działań korygujących i określają termin przywrócenia przetwarzania danych osobowych do stanu zgodnego z prawem.5.
Kierujący komórką organizacyjną, w której stwierdzono nieprawidłowości, informuje odpowiednio IOD lub Koordynatora oraz Pełnomocnika ds. Bezpieczeństwa Informacji o realizacji działań korygujących niezwłocznie po ich wdrożeniu.Rozdział 14
Środki ochrony danych osobowych
Środki ochrony danych osobowych
§ 56.
Ochronę danych osobowych w GDDKiA zapewnia się poprzez zastosowanie:1)
środków organizacyjnych;2)
środków bezpieczeństwa fizycznego;3)
środków bezpieczeństwa teleinformatycznego.§ 57.
1.
Zastosowane środki ochrony danych osobowych uwzględniają stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania danych.2.
Przy doborze środków ochrony danych osobowych uwzględnia się wyniki analiz ryzyka, o których mowa w Rozdziale 7.3.
Ogólny opis środków ochrony danych osobowych właściwych dla danej czynności przetwarzania umieszcza się w Rejestrze czynności przetwarzania.§ 58.
Do środków organizacyjnych zalicza się w szczególności:1)
wyznaczenie IOD w Centrali GDDKiA oraz wyznaczenie koordynatorów ds. ochrony danych osobowych w Oddziałach GDDKiA;2)
monitorowanie przestrzegania przepisów o ochronie danych osobowych;3)
dopuszczanie do przetwarzania danych osobowych wyłącznie osób posiadających upoważnienie;4)
zapewnianie zapoznania osób przetwarzających dane osobowe z przepisami o ochronie danych osobowych;5)
zobowiązanie osób przetwarzających dane osobowe do zachowania danych osobowych w tajemnicy;6)
niszczenie dokumentów zawierających dane osobowe po ustaniu ich przydatności, za pomocą mechanicznych niszczarek dokumentów;7)
zakaz pozostawiania bez nadzoru dokumentów zawierających dane osobowe.§ 59.
Środki bezpieczeństwa teleinformatycznego danych osobowych określa Polityka Bezpieczeństwa Teleinformatycznego.§ 60.
Środki bezpieczeństwa fizycznego danych osobowych określa Polityka Bezpieczeństwa Fizycznego.Rozdział 15
Postanowienia końcowe
Postanowienia końcowe
§ 61.
1.
W sprawach nieuregulowanych w PODO zastosowanie mają przepisy RODO.2.
PODO podlega regularnym przeglądom, nie rzadziej niż w terminie przeglądów Systemu Zarzadzania Bezpieczeństwem Informacji, o których mowa w Polityce Bezpieczeństwa Informacji.3.
Wszelkie zmiany PODO są procedowane zgodnie z zasadami prowadzenia prac legislacyjnych w GDDKiA.1 Niniejsze zarządzenie zostało zmienione zarządzeniem Nr 13 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 6 maja 2020 r. zmieniającym zarządzenie w sprawie ustalenia regulaminu organizacyjnego Generalnej Dyrekcji Dróg Krajowych i Autostrad, zarządzeniem Nr 25 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 13 lipca 2020 r. zmieniającym zarządzenie w sprawie ustalenia regulaminu organizacyjnego Generalnej Dyrekcji Dróg Krajowych i Autostrad, zarządzeniem Nr 34 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 17 września 2020 r. zmieniającym zarządzenie w sprawie ustalenia regulaminu organizacyjnego Generalnej Dyrekcji Dróg Krajowych i Autostrad oraz zarządzeniem Nr 39 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 1 października 2020 r. zmieniającym zarządzenie w sprawie ustalenia regulaminu organizacyjnego Generalnej Dyrekcji Dróg Krajowych i Autostrad.