RODO
Informacja na temat ochrony danych osobowych przetwarzanych w Lokalnej Grupie Działania
"Równiny Wołomińskiej"
Informacja ogólna
Wzwiązku z wejściem w życie
Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) oraz ustawy z dnia10 maja
2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000) Lokalna Grupa Działania
„Partnerstwo wrozwoju” dostosowała organizacyjne i techniczne środki bezpieczeństwa
przyprzetwarzaniu danych osobowych w ramach zadań realizowanych jako Lokalna GrupaDziałania.
Zaktualizowaliśmy naszą
PolitykęBezpieczeństwa ochrony danych osobowych oraz instrukcję zarządzania systemamiinformatycznymi
w związku z przetwarzaniem danych osobowych wnioskodawców ibeneficjentów działań pomocowych
oferowanych w ramach PROW 2014-2020, w tym:
¾ przeprowadziliśmyprzegląd zasobu danych
osobowych w celu przeprowadzenia nowych dokumentów iokreślenia środków technicznych spełniających
wymagania RODO i IOD,
¾ przeszkoliliśmypracowników biura,
członków Rady LGD i Zarządu LGD w zakresie nowych przepisówRODO i zapewniliśmy dopuszczenie do
przetwarzania danych wyłącznie osobyposiadające upoważnienie,
¾ zapewniliśmy,aby osoby upoważnione do
przetwarzania danych osobowych zobowiązały się dozachowania nieograniczonej w czasie tajemnicy, a
także prowadzić ewidencję osóbupoważnionych do przetwarzania danych powierzonych Podmiotowi
przetwarzającemu,
¾ przeprowadziliśmyoceny skutków
planowanych operacji przetwarzania danych przed rozpoczęciem ichprzetwarzania (analiza ryzyka - art.
35 RODO),
¾ ustanowiliśmyi prowadzimy rejestr
czynności przetwarzania ochrony danych osobowych,
¾ ustanowiliśmysystem zgłaszania
naruszenia ochrony danych osobowych do organu nadzorczegooraz zawiadamianie o tym osób, których dane
te dotyczą (art. 33 i 34 RODO),
¾ zapewniliśmyniezwłocznie informowanie
innych Administratorów danych osobowych poza LGD otym, że osoba której dane dotyczą, skierowała do
Podmiotu przetwarzającegokorespondencję zawierającą żądanie w zakresie wykonania praw, o których
mowa wrozdziale III RODO, jak również udostępniać treść tej korespondencji,
¾ zapewniliśmyudostępnianie innym
Administratorom danych osobowych wszelkich informacji niezbędnychdo wykazania spełnienia obowiązków
określonych w art. 28 RODO przeprowadzanieaudytów, w tym inspekcji i przyczyniania się do nich.
Zależy nam na zachowaniu
wysokiegostandardu ochrony danych oraz pełnej przejrzystości przetwarzania danychosobowych
powierzonych nam w ramach prowadzonych badań ewaluacyjnych.
W sprawie pytań o zakres wdrożenia RODOw
LGD prosimy o kontakt adres e-mail: biuro@lgdrw.pl lub pisemnie na adres
korespondencyjnybiura LGD ul. Przemysłowa 70, 05-240 Tłuszcz.
Twoje Prawa względem
Administratora Danych Osobowych są następujące:
Prawodo dostępu do danych: art. 15 RODO. Masz prawo uzyskaniadostępu do Twoich danych
przetwarzanych przez Administratora (Administratordostarczy Ci kopię danych osobowych podlegających
przetwarzaniu ewentualnie zaopłatą regulowaną przez RODO) oraz do informacji dotyczących:
celuprzetwarzania; kategorii odnośnych danych osobowych; odbiorców lub kategoriiodbiorców danych
którym dane ujawniono lub będą ujawnione w tym jeśli sąprzekazywane do państwa spoza UE lub do
organizacji międzynarodowej ozabezpieczeniach związanych z przekazaniem; w miarę możliwości
planowanegookresu przechowywania danych osobowych, a gdy nie jest to możliwe, kryteriówustalania
tego okresu; prawa do żądania od Administratora sprostowania, usunięcialub ograniczenia
przetwarzania danych osobowych oraz do wniesienia sprzeciwuwobec takiego przetwarzania; prawa
wniesienia skargi do organu nadzorczego;jeżeli dane osobowe nie zostały zebrane od Ciebie - ich
źródła;zautomatyzowanego podejmowania decyzji, w tym profilowani oraz o zasadach ichpodejmowania, a
także o znaczeniu i przewidywanych konsekwencjach takiegoprzetwarzania dla
Ciebie.
Prawodo sprostowania danych: art. 16 RODO. Masz prawo żądania odAdministratora niezwłocznego sprostowania
dotyczących Ciebie danych osobowych,które są nieprawidłowe. Z uwzględnieniem celów przetwarzania,
masz prawożądania uzupełnienia niekompletnych danych osobowych, w tym poprzezprzedstawienie
dodatkowego oświadczenia.
Prawodo usunięcia danych, tzw. prawo do bycia zapomnianym:art. 17 RODO. Masz prawo żądania od Administratora niezwłocznego usunięciaTwoich
danych osobowych jeżeli zachodzi jedna z następujących okoliczności:dane osobowe nie są już
niezbędne do celów, w których zostały zebrane lub winny sposób przetwarzane; właściciel danych
cofnął zgodę, na której opiera sięprzetwarzanie i nie ma innej podstawy prawnej przetwarzania;
wnosisz sprzeciwwobec przetwarzania i nie występują nadrzędne prawnie uzasadnione
podstawyprzetwarzania w sprawach innych niż marketing bezpośredni; dane osobowe byłyprzetwarzane
niezgodnie z prawem; dane osobowe muszą zostać usunięte w celuwywiązania się z obowiązku prawnego
przewidzianego w prawie Unii Europejskiejlub prawie państwa członkowskiego, któremu podlega
Administrator; dane osobowezostały zebrane w związku z oferowaniem usług społeczeństwa
informacyjnego.Wyżej opisane prawo jest jednak wyłączone w zakresie w jakim przetwarzanie
jestniezbędne: do korzystania z prawa do wolności wypowiedzi i informacji; do wywiązaniasię z
prawnego obowiązku wymagającego przetwarzania na mocy prawa UniiEuropejskiej lub prawa państwa
członkowskiego, któremu podlega Administrator,lub do wykonania zadania realizowanego w interesie
publicznym lub w ramachsprawowania władzy publicznej powierzonej Administratorowi; z uwagi na
względyinteresu publicznego w dziedzinie zdrowia publicznego; do celów archiwalnych winteresie
publicznym, do celów badań naukowych lub historycznych lub do celówstatystycznych, o ile
prawdopodobne jest, że wyżej opisane prawo właścicieladanych uniemożliwi lub poważnie utrudni
realizację celów takiego przetwarzania;lub do ustalenia, dochodzenia lub obrony
roszczeń.
Prawodo ograniczenia przetwarzania danych: art. 18 RODO. Maszprawo żądania od Administratora ograniczenia przetwarzania w
następującychprzypadkach: kwestionujesz prawidłowość danych osobowych - na okres
pozwalającyAdministratorowi sprawdzić prawidłowość tych danych; przetwarzanie jestniezgodne z
prawem, a sprzeciwiasz się usunięciu danych osobowych, żądając wzamian ograniczenia ich
wykorzystywania; Administrator nie potrzebuje jużdanych osobowych do celów przetwarzania, ale są one
potrzebne Tobie doustalenia, dochodzenia lub obrony roszczeń; właściciel danych wniósł sprzeciwwobec
przetwarzania - do czasu stwierdzenia, czy prawnie uzasadnione podstawypo stronie Administratora są
nadrzędne wobec podstaw sprzeciwu osoby, którejdane dotyczą, za wyjątkiem przetwarzania w celu
marketingu bezpośredniego.Jeżeli przetwarzanie zostało ograniczone, takie dane osobowe można
przetwarzać,z wyjątkiem przechowywania, wyłącznie za Twoją zgodą lub w celu ustalenia,dochodzenia
lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznejlub prawnej, lub z uwagi na ważne
względy interesu publicznego UniiEuropejskiej lub państwa członkowskiego.
Prawodo przenoszenia danych: art. 20 RODO. Masz prawo otrzymać wustrukturyzowanym,
powszechnie używanym formacie nadającym się do odczytumaszynowego Twoje dane osobowe, które
Administrator ma od Ciebie, a także maszprawo przesłać te dane osobowe innemu administratorowi bez
przeszkód ze stronyAdministratora, jeżeli: przetwarzanie odbywa się na podstawie zgody lub
napodstawie umowy, oraz przetwarzanie odbywa się w sposób zautomatyzowany. Maszprawo żądania, by
dane osobowe zostały przesłane przez Administratorabezpośrednio innemu administratorowi, o ile jest
to technicznie możliwe.
Prawodo wniesienia sprzeciwu wobec przetwarzania danych:Masz prawo w dowolnym momencie wnieść sprzeciw - z przyczyn związanych z
Twojąszczególną sytuacją - wobec przetwarzania dotyczących Ciebie danych osobowychopartego na Twojej
zgodzie lub na prawnie uzasadnionym interesie ADO (patrzinformacja powyżej), w tym profilowania. W
przypadku wniesienia takiegosprzeciwu ADO nie wolno już przetwarzać Twoich danych osobowych, chyba
że ADOwykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania,nadrzędnych wobec
Twoich interesów, praw i wolności, albo gdy wykaże istnieniepodstaw do ustalenia, dochodzenia lub
obrony roszczeń.
Możesz skorzystać z tych uprawnień w dowolny sposób,mailowo na adres biuro@lgdrw.pl
Najważniejszezapisy Polityki Bezpieczeństwa LGD Partnerstwo w rozwoju
Polityka bezpieczeństwa ochrony
danychzawiera szczegółowy opis zakresu obowiązków i procedur postępowania wprawidłowym zarządzaniu
bezpieczeństwem informacji w trakcie realizowanychprzez LGD. Kluczowe ustalenia
dokumentu:
¾ zabezpieczeniepomieszczeń przed dostępem
osób trzecich (biuro ochrony, identyfikacjainteresantów, kody dostępu, zabezpieczenia
informatyczne),
¾ wyznaczenieIOD (odpowiedzialnego za
nadzór w zakresie obiegu i wykorzystania dokumentacjii danych oraz warunków technicznych i
organizacyjnych w jakich sąprzetwarzane),
¾ systematyczneorganizowanie szkoleń dla
pracowników w zakresie przetwarzania danych isposobów ich ochrony,
¾ okresoweszacowanie ryzyka zagrożeń
obszarów przetwarzania danych,
¾ kontrolaprzestrzegania zasad
bezpieczeństwa przetwarzania i ochrony danych,
¾ różnestopnie upoważnień dostępu do
danych dla każdego członka zespołu,
¾ każdyz członków zespołu badawczego
zobligowany jest do podpisania wewnętrznejdeklaracji poufności, w zakresie wszelkich danych
pozyskanych oraz przetwarzanychw toku realizowanych projektów.
InstrukcjaZarządzania Systemem
Informatycznym Służącym do Przetwarzania Danych stanowi niejako
uszczegółowienieprowadzonej przez LGD Polityki bezpieczeństwa ochrony danych. Intensywny
rozwójsystemów komputerowych, aplikacji oraz digitalizacja informacji powoduje, iżdane osobowe
wnioskodawców programów dotacyjnych administrowane przez naszestowarzyszenie są przechowywane na
urządzeniach pamięci masowej (serwer), copozwala na dostęp do nich jedynie upoważnionym pracownikom
biura, członkomzarządu, członkom rady LGD. Aby zwiększyć niezawodność i zredukować do minimumryzyko
utraty danych i/lub dostępu osób nieuprawnionych LGD wdrożyło odpowiednie zabezpieczenia
informatycznew tym zakresie. Ryzyko utraty materiału badawczego (w tym pozyskanychdokumentów/baz
danych oraz nagrań z wywiadów, notatek, raportów itp.) zostałozniwelowany
poprzez:
¾ hasładostępu (do systemów operacyjnych w
komputerach pracowników spółki, do serwerana którym przechowywane są dane, do poczty elektronicznej
firmowych serwerów,plików / dokumentów zawierających dane wrażliwe). Hasła składają się z conajmniej
8 znaków, zawierają małe i wielkie litery oraz cyfry i/lub znakispecjalne, takie same znaki nie
¾ występująobok siebie więcej niż
dwukrotnie, użytkownicy są zobowiązani zmieniać hasło co90 dni, komputery są wyposażone we
włączające się po 15 minutach od przerwaniapracy wygaszacze ekranu monitorów – wznowienie
wyświetlenia następuje dopieropo wprowadzeniu odpowiedniego hasła,
¾ obowiązującyzakaz wykonywania kopii
całych Zbiorów Danych. Całe Zbiory Danych mogą byćkopiowane tylko przez Administratora lub
automatycznie przez SystemInformatyczny, z zachowaniem procedur ochrony
Danych,
¾ możliwośćjednostkowego kopiowana
informacji na nośniki magnetyczne, optyczne i innewyłącznie po zaszyfrowaniu dostępu do zapisanych
na nich danych. Nośnikiprzechowywane są w zamkniętych na klucz szafach. Po ustaniu przydatności
tychkopii, Dane są trwale skasowane lub fizycznie zniszczone nośniki,
¾ systembackup’u, i archiwizacji danych
zabezpiecza wytworzone produkty z realizacjibadania,
¾ macierzedyskowe RAID oraz zasilacz
UPS,
¾ programykontrolujące procesy i dostęp do
plików wytworzonych w trakcie trwania badania,
¾ ograniczeniestosowania nietrwałych
nośników informacji,
¾ ochronęantywirusową (kontrola wszystkich
przychodzących i wychodzących danych -łącznie z pocztą elektroniczną, ruchem sieciowym oraz
wszystkimi interakcjamisieciowymi).
Powyższenarzędziapowodują,iżnakażdym
etapie realizacji badania ewaluacyjnego ryzykoutraty zgromadzonego materiału badawczego i/lub
uzyskania do niego dostępuprzez osoby nieupoważnione będzie maksymalnie
ograniczone.
Przydatneinformacje:
Strona Generalnego Inspektora
OchronyDanych Osobowych: https://giodo.gov.pl/
tekst RODO: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679