Zasady dotyczące ochrony danych osobowych

Zasady dotyczące ochrony danych osobowych

przetwarzanych przez Towarzystwo Biblijne w Polsce

Rozdział I

Zasady ogólne

§ 1

  1. Towarzystwo Biblijne w Polsce z siedzibą w Warszawie (00-626) przy ul. Marszałkowskiej 15A, zwane dalej „Towarzystwem”, przetwarza dane osobowe w związku z pełnionymi funkcjami statutowymi, korzystając przy tym z autonomii oraz niezależności gwarantowanej w szczególności przez art. 25 ust. 1-3 i art. 53 ust. 7 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. oraz przepisy ustawy z dnia 17 maja 1989 r. o gwarancjach wolności sumienia i wyznania (Dz.U. z 2017 r., poz. 1153) – jako krajowa organizacja międzykościelna wpisana do rejestru kościołów i innych związków wyznaniowych.

  2. Niniejsze zasady dotyczące ochrony danych osobowych stosuje się do wszelkich operacji przetwarzania danych osobowych przez Towarzystwo jako całość i wszystkie jego jednostki organizacyjne,

  3. Na użytek niniejszych zasad dotyczących ochrony danych osobowych:

    1. dane osobowe” oznaczają̨ informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą̨”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą̨ można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię̨ i nazwisko, numer identyfikacyjny, dane o lokalizacji lub identyfikator internetowy;

    2. przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

    3. zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie,

    1. administrator” oznacza Towarzystwo;

    1. podmiot przetwarzający” oznacza osobę fizyczną, która przetwarza dane osobowe w imieniu administratora;

    2. zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

    3. naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

    4. profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

    5. Rozporządzenie” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

    6. prawo o ochronie danych osobowych” oznacza przepisy powszechnie obowiązujące;

    7. organ nadzorczy” oznacza Prezesa Urzędu Ochrony Danych Osobowych.

§ 2

Przetwarzając dane osobowe Towarzystwo jako całość oraz jego organy, są zobowiązane do przestrzegania powszechnie obowiązujących przepisów prawa dotyczących przetwarzania danych osobowych, w szczególności poprzez stosowanie się do niniejszych zasad dotyczących ochrony danych osobowych.

Rozdział II

Przetwarzanie danych

§ 3

Dane osobowe muszą być:

  1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

  2. zbierane w konkretnych, wyraźnie określonych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych, do badań naukowych lub historycznych albo do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami („ograniczenie celu”);

  3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

  4. prawidłowe i w razie potrzeby uaktualniane („prawidłowość”);

  5. przechowywane zgodnie z wymogami przepisów powszechnie obowiązujących („ograniczenie przechowywania”);

  6. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);

  7. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”);

  8. przetwarzane w sposób umożliwiający określenie, czy prawo dotyczące ochrony danych osobowych jest przestrzegane („rozliczalność”).

§ 4

Przetwarzanie danych osobowych jest możliwe w stosunku do danej osoby wyłącznie wtedy, gdy spełniony jest co najmniej jeden z poniższych warunków:

      1. osoba utrzymuje stałe kontakty z Towarzystwem w związku z jego celami statutowymi;

      2. osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych, bądź też uczynił to przynajmniej jeden z jej rodziców lub opiekun prawny;

      3. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą̨, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

      4. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

      5. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

      6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Rozdział III

Prawa osoby, której dane są przetwarzane

§ 5

  1. Jeżeli dane osobowe zbierane są od osoby, której te dane dotyczą, administrator zobowiązany jest do powiadomienia jej o przetwarzaniu, uwzględniając przy tym co najmniej poniższe informacje:

  1. nazwę administratora i dane kontaktowe;

  2. dane kontaktowe inspektora ochrony danych dla danego administratora, o ile został taki powołany;

  3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;

  4. możliwość przekazywania danych do innych administratorów, jeśli jest to planowane;

  5. okres, przez który dane osobowe będą przechowywane;

  6. prawo do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych, przy czym danych przetwarzanych w związku z wypełnianymi funkcjami statutowymi nie można usunąć;

  7. prawo wniesienia skargi do organu nadzorczego;

  8. gdy podanie danych osobowych jest wymogiem ustawowym lub stanowi warunek zawarcia umowy bądź czynności religijnej oraz gdy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

  9. dodatkowo w przypadku, gdy do przetwarzania wymagana była zgoda danej osoby, informacje o prawie do cofnięcia zgody w dowolnym momencie.

  1. Jeżeli dane zostały pozyskane inaczej niż od danej osoby, należy dodatkowo taką osobę poinformować o kategorii przetwarzanych danych osobowych oraz źródle uzyskania danych osobowych w terminie nie dłuższym niż jeden miesiąc.

  2. Obowiązek udzielenia informacji nie ma zastosowania, jeżeli:

  1. osoba, której dane dotyczą, dysponuje już tymi informacjami, lub

  2. utrwalenie lub ujawnienie danych jest wyraźnie przewidziane prawem, lub

  3. poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku;

  4. dane objęte są tajemnicą zawodową przewidzianą w prawie,

  5. przetwarzanie danych, w tym ich upublicznienie, jest związane z wykonywaniem lub pełnieniem funkcji w organach Towarzystwa.

  1. Sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności w przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym, przy czym administrator zobowiązany jest podjąć odpowiednie środki ochrony danych.

§ 6

  1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora danych potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

      1. cele przetwarzania;

      2. kategorie odnośnych danych osobowych;

      3. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione;

      4. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

      5. informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

      6. informacje o prawie wniesienia skargi do organu nadzorczego;

      7. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle.

  1. Na zgłoszone żądanie, administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu, w szczególności także poprzez sporządzenie wyciągu lub odpisu dokumentu, który zawiera dane takiej osoby, o ile nie naruszy praw i wolności innych osób, w tym poprzez ujawnienie w ten sposób danych innych osób bądź tajemnicy zawodowej. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.

  2. Jeżeli dane osobowe są przekazywane do administratora w innym państwie lub organizacji międzynarodowej, której Towarzystwo jest członkiem, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach danych osobowych związanych z przekazaniem.

§ 7

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w szczególności poprzez przedstawienie dodatkowego oświadczenia. Sprostowanie lub uzupełnienie może nastąpić poprzez adnotację, stanowiącą wówczas integralną część dokumentu lub zbioru, którego dotyczy.

§ 8

        1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych („prawo do bycia zapomnianym”), a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

  2. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych i nie ma innej podstawy prawnej przetwarzania;

  3. osoba, której dane dotyczą, wniosła skuteczny w rozumieniu Rozporządzenia sprzeciw wobec przetwarzania;

  4. dane osobowe były przetwarzane niezgodnie z prawem;

  5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego.

        1. Prawo, o którym mowa w ust. 1, nie ma zastosowania w przypadku, gdy:

  1. dane zostały zebrane w związku z wypełnianymi funkcjami statutowymi,

  2. dane wykorzystywane są do celów archiwalnych lub statystycznych, badań naukowych lub historycznych, o ile prawdopodobne jest, że prawo do zapomnienia uniemożliwi lub istotnie utrudni realizację takich celów.

§ 9

        1. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania, z wyjątkiem przechowywania, w następujących przypadkach:

  1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;

  2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

  3. administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń.

  1. Przepis § 8 ust. 2 stosuje się odpowiednio.

§ 10

        1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

        2. Przepis ust. 1 nie ma zastosowania, jeżeli ta decyzja:

          1. jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;

          2. jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub

          3. opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

        1. W przypadkach określonych w ust. 2 administrator powinien wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

Rozdział IV

Zarządzanie ochroną danych

§ 11

  1. Administrator ma obowiązek zapewnić odpowiednie środki organizacyjne i techniczne w celu ochrony danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania danych oraz ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki te obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

  2. Na etapie projektowania oraz w trakcie procesów przetwarzania administrator powinien zastosować odpowiednie środki techniczne i organizacyjne, służące ochronie danych, a także pozwalające, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia celu przetwarzania.

§ 12

  1. Administrator prowadzi w formie dokumentowej, w tym w formie elektronicznej, rejestr czynności przetwarzania danych osobowych, który obejmuje:

    1. nazwę administratora oraz jego dane kontaktowe, jak również inspektora ochrony danych, jeśli został powołany;

    2. cele przetwarzania;

    3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

    4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;

    5. gdy ma to zastosowanie, informacje dotyczące przekazania danych osobowych poza terytorium Rzeczypospolitej Polskiej;

    6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

    7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

  1. Administrator ma obowiązek udostępnienia rejestru na żądanie organu nadzorczego.

§ 13

  1. Administrator powinien powołać inspektora ochrony danych, jeżeli:

    1. w Towarzystwie ma miejsce przetwarzanie danych więcej niż 10.000 osób (duża skala), lub

    2. przetwarzaniu podlegają szczególne kategorie danych.

  1. Dane inspektora ochrony danych administrator publikuje na swojej stronie internetowej oraz udostępnia w miejscu dostępnym dla osób, których dane są przetwarzane.

  2. W przypadku powołania lub odwołania inspektora ochrony danych administrator zawiadamia o tym fakcie organ nadzorczy.

§ 14

        1. Inspektor ochrony danych powinien być odpowiednio i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

  1. Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

  1. Administrator zapewnia, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega osobie odpowiedzialnej, chyba że sam pełni funkcję osoby odpowiedzialnej.

  2. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw im przysługujących.

  3. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy, co do wykonywania swoich zadań.

  4. Inspektor ochrony danych może wykonywać inne zadania i obowiązki, przy czym nie powinny one powodować konfliktu interesów.

§ 15

  1. Do zadań inspektora ochrony danych należy w szczególności:

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy prawa o ochronie danych osobowych i doradzanie im w tej sprawie;

  2. monitorowanie przestrzegania prawa o ochronie danych osobowych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych;

  3. współpraca z organem nadzorczym;

  4. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz prowadzenie konsultacji we innych sprawach.

  1. Inspektor ochrony danych wypełnia swoje zadania z uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

§ 16

Administrator, podmiot przetwarzający oraz inspektor ochrony danych:

  1. współpracują z organem nadzorczym na jego żądanie w ramach wykonywania przez niego zadań własnych;

  2. są zobowiązane do przekazywania organowi nadzorczemu wszelkich informacji i wyjaśnień, o które organ nadzorczy zwróci się w ramach swoich uprawnień – w terminie 7 dni od otrzymania wezwania drogą korespondencyjną lub elektroniczną;

  3. udostępniają zbiory danych, dokumenty oraz pomieszczenia do kontroli przez organ nadzorczy – w terminie 7 dni od otrzymania wezwania drogą korespondencyjną lub elektroniczną;

  4. stosują się do zaleceń oraz rozstrzygnięć organu nadzorczego – niezwłocznie bądź we wskazanym przez organ nadzorczy terminie.

§ 17

        1. Przekazanie danych do innego zbioru danych może nastąpić na wniosek osoby, której dane dotyczą lub na wniosek administratora zbioru danych, w którym mają zostać użyte wnioskowane dane.

        2. Przekazywanie danych osobowych innym podmiotom może nastąpić w przypadku, gdy:

  1. jest to niezbędne dla wykonania zdań określonych w przepisach prawa; lub

  2. osoba, której dane dotyczą została o tym poinformowana i uprzednio wyraziła zgodę na przekazanie danych;

  3. przekazanie jest niezbędne dla wykonania umowy, której stroną jest osoba, której dane dotyczą lub w interesie której dane miałyby zostać przekazane;

  4. przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;

  5. dla celów badawczych, w tym historycznych lub statystycznych;

  6. w zakresie archiwizacji wymaganej przepisami prawa.

§ 18

  1. W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z prawem, administrator powinien oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

  2. Gdy operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest do dokonania oceny skutków dla ochrony danych w celu oszacowania, w szczególności, źródła, charakteru, specyfiki i powagi tego ryzyka. Wyniki oceny należy uwzględnić przy określaniu odpowiednich środków, które należy zastosować, by wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z niniejszym regulaminem. Jeżeli ocena skutków dla ochrony danych wykaże, że operacje przetwarzania powodują wysokie ryzyko, którego administrator nie może zminimalizować odpowiednimi środkami z punktu widzenia dostępnej technologii i kosztów wdrożenia, przed przetwarzaniem należy uzyskać opinię organu nadzoru.

§ 19

  1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później jednak niż w ciągu 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

  2. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

    1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i szacunkową liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

    2. zawierać imię i nazwisko oraz dane kontaktowe inspektora lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

    3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

    4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych przypadkach, środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

  1. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można ich udzielać sukcesywnie.

  2. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

  3. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator, bez zbędnej zwłoki, zawiadamia jasnym i prostym językiem osobę, której dane dotyczą, o takim naruszeniu.

  4. Z obowiązku, określonego w ust. 4, administrator jest zwolniony, jeśli:

    1. wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; lub

    2. zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;

    3. wymagałoby to nadmiernego wysiłku, wówczas zobowiązany jest do wydania publicznego komunikatu lub zastosowanie podobnego środka, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Rozdział V

Rozpatrywanie skarg

§ 20

Każda osoba, której dane dotyczą, ma prawo zwrócić się do organu nadzorczego, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza przepisy o ochronie danych osobowych (skarga).