Rozdział 1

Przepisy ogólne

§ 1. 1. Zarządzenie określa sposób ochrony danych osobowych, przetwarzanych w Głównym Urzędzie Miar, zwanym dalej „GUM", oraz zastosowane środki ochrony, odpowiednie do zagrożeń i kategorii danych osobowych objętych ochroną, przetwarzanych przez pracowników oraz inne osoby mające w GUM dostęp do tych danych osobowych, zgodnie z przepisami o ochronie danych osobowych, w przypadku, gdy cele i sposoby przetwarzania danych osobowych określa Prezes GUM.

2. Zapewnienie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych ma zagwarantować poufność ich przetwarzania, integralność, rzetelność, przejrzystość, jak również dostępność dla podmiotów uprawnionych, i wymaga zastosowania niezbędnych środków technicznych i organizacyjnych oraz właściwych procedur.

3. W zakresie nieuregulowanym niniejszym zarządzeniem stosuje się przepisy:

1) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej „rozporządzeniem 2016/679";

2) ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781).

§ 2. Ilekroć w zarządzeniu jest mowa o:

1) administratorze danych - rozumie się przez to Prezesa GUM w przypadku, gdy Prezes GUM ustala cele i sposoby przetwarzania danych osobowych;

2) danych osobowych - rozumie się przez to dane, o których mowa w art. 4 pkt 1 rozporządzenia 2016/679;

3) osobie upoważnionej - rozumie się przez to osobę, która otrzymała od administratora danych upoważnienie do przetwarzania danych osobowych;

4) przetwarzaniu danych osobowych - rozumie się przez to przetwarzanie, o którym mowa w art. 4 pkt 2 rozporządzenia 2016/679;

5) Prezesie Urzędu Ochrony Danych Osobowych - rozumie się przez to organ właściwy do spraw ochrony danych osobowych;

6) upoważnieniu do przetwarzania danych osobowych - rozumie się przez to upoważnienie nadawane przez administratora danych, wskazujące z imienia i nazwiska osobę, która ma prawo przetwarzać dane osobowe w zakresie wskazanym w tym upoważnieniu.

Rozdział 2

Przetwarzanie danych osobowych w GUM

§ 3. 1. Komórki organizacyjne GUM przetwarzają dane osobowe utrwalone w postaci papierowej lub elektronicznej, w szczególności, w związku z realizacją zadań wynikających z przepisów prawa krajowego i Unii Europejskiej oraz zadań określonych w regulaminie organizacyjnym GUM.

2. Dane osobowe, z wyłączeniem danych osobowych określonych w ust. 3 i 4, są przetwarzane w GUM na podstawie następujących przesłanek:

1) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

2) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych;

3) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi danych;

4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

5) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, jeżeli przetwarzanie nie odbywa się na podstawie przesłanek wskazanych w pkt 1-4.

3. Dane osobowe szczególnych kategorii, o których mowa w art. 9 rozporządzenia 2016/679, są przetwarzane w GUM na podstawie następujących przesłanek:

1) przetwarzanie jest niezbędne do wypełnienia obowiązku i wykonywania szczególnych praw przez administratora danych lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;

2) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego;

3) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego lub leczenia;

4) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi;

5) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.

4. Dane osobowe dotyczące wyroków skazujących i czynów zabronionych są przetwarzane w GUM, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych.

5. Jeżeli przetwarzanie danych osobowych w GUM odbywa się na podstawie zgody:

1) zgoda nie może być domniemana lub dorozumiana ani wywiedziona z oświadczenia woli o innej treści;

2) odbieranie zgody odbywa się w formie możliwej do późniejszego udowodnienia, w szczególności w formie pisemnej;

3) osoba, która wyraziła zgodę, może ją wycofać w każdym czasie, bez wpływu na zgodność przetwarzania, którego dokonano przed jej cofnięciem; administrator danych umożliwia w łatwy sposób skorzystanie z możliwości wycofania zgody, a osoba, której dane dotyczą, jest o tym informowana zanim wyrazi zgodę.

§ 4. Administrator danych przetwarza dane osobowe zgodnie z zasadami wskazanymi w rozporządzeniu 2016/679.

§ 5. Administrator danych gwarantuje bezpieczne przetwarzanie danych osobowych w GUM i zapewnia środki techniczne i organizacyjne niezbędne dla bezpiecznego, rzetelnego i przejrzystego przetwarzania danych osobowych w pomieszczeniach do tego przeznaczonych, w tym:

1) zbieranie danych osobowych w konkretnych, wyraźnych i uzasadnionych celach, w sposób adekwatny, stosowny oraz ograniczony do realizacji tych celów;

2) przetwarzanie danych osobowych wyłącznie przez osoby posiadające wydane upoważnienie do przetwarzania danych osobowych;

3) zapoznanie z przepisami o ochronie danych osobowych osób przed wydaniem upoważnienia do przetwarzania danych osobowych;

4) przechowywanie danych osobowych w sposób zapewniający bezpieczeństwo danych osobowych oraz w celu zapewnienia rozliczalności, integralności i poufności tych danych oraz w formie umożliwiającej identyfikację osób, których dotyczą, a także nie dłużej niż jest to niezbędne do osiągnięcia celu lub celów, dla których zostały zebrane;

5) zgłaszanie naruszeń ochrony danych osobowych, powodujących wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych, do Prezesa Urzędu Ochrony Danych Osobowych i zawiadamianie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych;

6) realizację praw osób, których dane dotyczą;

7) kontrolę nad przetwarzaniem danych osobowych w sposób zapewniający bezpieczeństwo danych osobowych.

§ 6. 1. Administrator danych wyznacza Inspektora ochrony danych, zwanego dalej „Inspektorem", który podlega administratorowi danych.

2. Administrator danych wspiera Inspektora w wypełnianiu przez niego zadań, zapewniając mu warunki niezbędne do realizacji tych zadań.

3. O wyznaczeniu albo o zmianie Inspektora w GUM zawiadamia się Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia wyznaczenia albo zmiany, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu Inspektora.

4. Dane kontaktowe Inspektora opublikowane są na stronie internetowej GUM oraz w Biuletynie Informacji Publicznej GUM, zwanym dalej „BIP".

5. Do zadań Inspektora należy w szczególności:

1) informowanie administratora danych oraz osób upoważnionych do przetwarzania danych osobowych o obowiązkach spoczywających na nich na mocy rozporządzenia 2016/679 oraz innych przepisów prawa powszechnie obowiązującego oraz przepisów wewnętrznych administratora danych, dotyczących ochrony danych osobowych oraz doradzanie im w tej sprawie;

2) monitorowanie przestrzegania powszechnie obowiązujących przepisów dotyczących ochrony danych osobowych;

3) monitorowanie przestrzegania niniejszego zarządzenia oraz dokumentacji systemu zarządzania bezpieczeństwem informacji w GUM w zakresie przetwarzania danych osobowych;

4) prowadzenie „Rejestru czynności przetwarzania danych osobowych", „Rejestru kategorii czynności przetwarzania danych osobowych", ,,Rejestru udostępnień danych osobowych" oraz ,,Rejestru naruszeń ochrony danych osobowych";

5) podejmowanie działań zwiększających świadomość pracowników w zakresie ochrony danych osobowych szkolenie nowo zatrudnionych pracowników, i jeżeli ma to zastosowanie, osób wykonujących zadania na podstawie umów cywilnoprawnych, w zakresie ochrony danych osobowych oraz przeprowadzanie sprawdzeń (audytów) ochrony danych osobowych;

6) szkolenie nowo zatrudnionych pracowników, i jeżeli ma to zastosowanie, osób wykonujących zadania na podstawie umów cywilnoprawnych, w zakresie ochrony danych osobowych oraz przeprowadzanie sprawdzeń (audytów) ochrony danych osobowych;

7) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych osobowych oraz monitorowanie jej wykonania;

8) współpraca z Prezesem Urzędu Ochrony Danych Osobowych;

9) pełnienie funkcji punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem danych osobowych, w tym z uprzednimi konsultacjami, o których mowa w art. 36 rozporządzenia 2016/679.

6. Osoby, których dane dotyczą i są przetwarzane w GUM, mogą kontaktować się z Inspektorem w sprawach związanych z przetwarzaniem ich danych osobowych.

§ 7. 1. Przetwarzanie danych osobowych w GUM odbywa się w oparciu o wydane upoważnienie do przetwarzania danych osobowych.

2. Administrator danych może upoważnić inną osobę do udzielania upoważnienia, o którym mowa w ust. 1.

3. Osoba upoważniona jest zobowiązana do ochrony przetwarzanych danych osobowych i zachowania w tajemnicy sposobów ich zabezpieczenia, również po ustaniu zatrudnienia, co potwierdza podpisując stosowne oświadczenie o zachowaniu danych w poufności.

4. Administrator danych udziela upoważnienia do przetwarzania danych osobowych każdej osobie, która realizuje w GUM zadania wiążące się z przetwarzaniem danych osobowych:

1) w ramach realizacji obowiązków służbowych;

2) w ramach uczestnictwa w realizowanych przez GUM projektach;

3) w ramach realizowanych szkoleń dla podmiotów zewnętrznych.

5. Osoba upoważniona jest zobowiązana do:

1) zapoznania się z powszechnie obowiązującymi przepisami prawa dotyczącymi ochrony danych osobowych oraz z niniejszym zarządzeniem;

2) podpisania oświadczenia, o którym mowa w ust. 3;

3) przetwarzania danych osobowych wyłącznie w celu wykonywania nałożonych obowiązków i realizowanych zadań;

4) udostępniania danych osobowych wyłącznie osobom upoważnionym lub uprawnionym na mocy przepisów prawa do ich uzyskania;

5) uniemożliwienia dostępu do danych osobowych lub wglądu do danych osobom nieupoważnionym;

6) informowania o wszystkich naruszeniach, podejrzeniach naruszenia i nieprawidłowościach w sposobie przetwarzania i ochrony danych osobowych;

7) wykonywania, bez zbędnej zwłoki, poleceń Inspektora w zakresie ochrony danych osobowych;

8) uczestniczenia w organizowanych szkoleniach z zakresu ochrony danych osobowych;

9) dbałości o ochronę danych osobowych, w szczególności zabezpieczenia przed ich przetwarzaniem, w tym zbieraniem bez podstawy prawnej, przetwarzaniem przez okres dłuższy niż jest to wymagane, zmianą, utratą, uszkodzeniem lub zniszczeniem.

6. Upoważnienie do przetwarzania danych osobowych dla osób, o których mowa w ust. 4, jest wydawane w szczególności w związku z:

1) podjęciem pracy w GUM;

2) zmianą zakresu obowiązków;

3) zmianą stanowiska pracy lub zmianą komórki organizacyjnej GUM lub jej nazwy;

4) zmianą danych osobowych osoby, której upoważnienie dotyczy;

5) uczestnictwem w projektach realizowanych w GUM;

6) wykonywaniem czynności, których realizacja jest związana z przetwarzaniem danych osobowych.

7. Osoby, które otrzymały upoważnienie do przetwarzania danych osobowych w GUM, są ewidencjonowane w „Rejestrze upoważnień wydanych przez Prezesa Głównego Urzędu Miar oraz Dyrektora Generalnego".

§ 8. 1. Przetwarzanie danych osobowych w GUM odbywa się w jego siedzibie, jak również poza siedzibą GUM, z uwzględnieniem konieczności zachowania wymaganych standardów bezpieczeństwa, określonych w przepisach wewnętrznych GUM.

2. W związku z przetwarzaniem danych osobowych w GUM mogą być realizowane w szczególności następujące operacje lub zestawy operacji:

1) zbieranie;

2) utrwalanie;

3) organizowanie;

4) porządkowanie;

5) przechowywanie lub archiwizowanie;

6) adaptowanie lub modyfikowanie;

7) pobieranie;

8) przeglądanie;

9) wykorzystywanie;

10) ujawnianie;

11) dopasowywanie lub łączenie;

12) ograniczenie przetwarzania;

13) usuwanie lub niszczenie.

§ 9. 1. W przypadku wątpliwości co do zgodności z prawem działań w zakresie przetwarzania danych osobowych, osoby przetwarzające dane osobowe w GUM mogą zwrócić się do Inspektora z wnioskiem o rozstrzygnięcie wątpliwości.

2. Do czasu rozstrzygnięcia przez Inspektora wątpliwości, niedozwolone jest pozyskiwanie danych osobowych i ich utrwalanie, a w przypadku posiadania danych osobowych, których wątpliwość dotyczy, należy do czasu rozstrzygnięcia wątpliwości ograniczyć przetwarzanie tych danych.

§ 10. 1. W GUM prowadzony jest ,,Rejestr czynności przetwarzania danych osobowych", zwany dalej ,,rejestrem". W rejestrze zamieszcza się wszystkie informacje określone w art. 30 ust. 1 rozporządzenia 2016/679.

2. Dane do rejestru przekazuje Inspektorowi kierownik komórki organizacyjnej GUM, niezwłocznie po pojawieniu się każdej nowej czynności przetwarzania.

3. W GUM prowadzony jest ,,Rejestr kategorii czynności przetwarzania danych osobowych", w którym zamieszcza się informacje wskazane w art. 30 ust. 2 rozporządzenia 2016/679.

4. Administrator danych udostępnia rejestry, o których mowa w ust. 1 i 3, na każde wezwanie Prezesa Urzędu Ochrony Danych Osobowych. Rejestry nie są udostępniane osobom trzecim.

§ 11. 1. Administrator danych dąży do zapewnienia ochrony danych w fazie projektowania oraz do zapewnienia domyślnej ochrony danych osobowych.

2. W ramach ochrony danych w fazie projektowania, w GUM wdrażane są środki techniczne i organizacyjne już na etapie projektowania operacji przetwarzania danych osobowych, w taki sposób, aby od początku przetwarzania zapewnić ochronę prywatności i bezpieczeństwo przetwarzanych danych osobowych.

3. Domyślną ochronę danych zapewnia się poprzez uwzględnienie ochrony danych osobowych w kulturze działania GUM, w celu zapewnienia jak najwyższego poziomu ochrony przetwarzanych danych osobowych, m.in. przez przetwarzanie wyłącznie niezbędnych danych osobowych, zapewnienie wymaganego okresu ich przechowywania, ograniczenie dostępności do danych osobowych.

§ 12. Kierownik komórki organizacyjnej GUM jest odpowiedzialny za zarządzanie procesami przetwarzania danych osobowych w podległej mu komórce organizacyjnej.

Rozdział 3

Przechowywanie i niszczenie danych osobowych

§ 13. 1. Dane osobowe są przechowywane w GUM w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do osiągnięcia celów, dla realizacji których dane te zostały zebrane.

2. Kierownik komórki organizacyjnej GUM ustala okres przechowywania danych osobowych, przetwarzanych w kierowanej przez siebie komórce organizacyjnej w ramach realizowanych czynności przetwarzania.

3. W przypadku braku w przepisach prawa regulacji dotyczących okresu przechowywania danych osobowych, kierownik komórki organizacyjnej GUM wskazuje kryteria, na podstawie których ustalił okres przechowywania danych osobowych.

4. Kierownik komórki organizacyjnej GUM jest odpowiedzialny za dokonanie w każdym roku kalendarzowym przeglądu danych osobowych przetwarzanych w kierowanej przez siebie komórce organizacyjnej oraz lokalizacji tych danych, w celu ustalenia konieczności dalszego ich przechowywania.

§ 14. 1. Dane osobowe, których dalsze przechowywanie w GUM nie jest konieczne do realizacji celów, dla których zostały zebrane, są usuwane.

2. Usuwanie danych osobowych, przetwarzanych w GUM w postaci elektronicznej, odbywa się poprzez ich usunięcie lub nadpisanie z wykorzystaniem specjalistycznego oprogramowania.

3. Usuwanie danych osobowych przetwarzanych w GUM w postaci pisemnej oraz znajdujących się na elektronicznych nośnikach danych dokonywane jest poprzez ich fizyczne zniszczenie.

4. Dane osobowe przetwarzane w systemie Elektronicznego Zarządzania Dokumentacją są usuwane przez osoby, które wprowadziły dane do tego systemu lub inną osobę wyznaczoną przez kierownika komórki organizacyjnej GUM, której pracownik wprowadził dane do systemu.

5. Usuwanie danych osobowych odbywa się komisyjnie, z zastrzeżeniem ust. 4. Kierownik komórki organizacyjnej GUM albo osoba odpowiedzialna za prowadzenie archiwum zakładowego zgłasza Inspektorowi konieczność usunięcia danych osobowych przetwarzanych w kierowanej przez siebie komórce organizacyjnej albo w archiwum zakładowym. Inspektor proponuje skład komisji, który zatwierdza administrator danych.

6. Komisja, o której mowa w ust. 5, przygotowuje protokół z usunięcia danych osobowych w dwóch egzemplarzach, jeden dla komórki organizacyjnej GUM, na wniosek której usunięto dane osobowe albo archiwum zakładowego, drugi dla Inspektora.

7. Protokół, o którym mowa w ust. 6, powinien zawierać następujące informacje:

1) datę sporządzenia protokołu;

2) rodzaj danych osobowych podlegających usunięciu;

3) postać w jakiej dane osobowe zostały utrwalone (pisemna, elektroniczna);

4) podstawę (powód) usunięcia danych osobowych;

5) nazwę komórki organizacyjnej GUM wnioskującej o usunięcie danych osobowych;

6) imiona i nazwiska oraz podpisy członków komisji.

8. Możliwe jest korzystanie z usług wyspecjalizowanych podmiotów, realizujących usługi w zakresie niszczenia dokumentów i elektronicznych nośników danych, które dają gwarancje zabezpieczeń wymaganych przepisami prawa. Korzystanie z usług podmiotów, o których mowa w zdaniu pierwszym, jest możliwe wyłącznie po zawarciu z tymi podmiotami umowy powierzenia przetwarzanych danych osobowych, dotyczącej realizacji tych usług.

Rozdział 4

Środki techniczne i organizacyjne stosowane w celu ochrony danych osobowych

§ 15. 1. W celu ochrony danych osobowych w GUM stosuje się odpowiednie środki techniczne i organizacyjne.

2. Dobór środków technicznych i organizacyjnych odpowiednich do kategorii przetwarzanych danych osobowych uwzględnienia wymagania zawarte w rozporządzeniu 2016/679.

3. Dobór środków technicznych i organizacyjnych uwzględnia przeprowadzoną ocenę ryzyka i jej następujące elementy:

1) stan wiedzy technicznej;

2) koszt wdrożenia środków technicznych i organizacyjnych;

3) charakter przetwarzania, przez który należy rozumieć sposób dokonywania przetwarzania, czyli częstotliwość, czasowość, długoterminowość;

4) zakres przetwarzania (katalog operacji na danych osobowych);

5) kontekst przetwarzania, czyli kategorie przetwarzanych danych, kategorie osób, których dane osobowe dotyczą, okoliczności zbierania i dalszego przetwarzania, otoczenie i zagrożenia dla bezpieczeństwa i integralności danych osobowych;

6) cel przetwarzania danych osobowych.

4. Jeżeli z oceny ryzyka wynika, że operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób, których dane dotyczą, Inspektor przeprowadza i dokumentuje ocenę skutków dla ochrony danych osobowych, w celu oszacowania źródła, charakteru, specyfiki i powagi tego ryzyka.

5. Wyniki oceny skutków dla ochrony danych uwzględnia się przy doborze środków, które należy zastosować, w celu zgodnego z prawem przetwarzania danych osobowych.

6. Zastosowane środki techniczne uwzględniają zagrożenia związane z przetwarzaniem danych osobowych wynikające, w szczególności, z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych w GUM.

§ 16. Siedziba GUM, w której przetwarzane są dane osobowe, jest nadzorowana całodobowo przez pracowników koncesjonowanego pomiotu, świadczącego usługi z zakresu ochrony i zabezpieczona technicznymi środkami ochrony, w tym monitoringiem i systemem przeciwpożarowym.

§ 17. Dokumenty zawierające dane osobowe są przechowywane w pomieszczeniach zamykanych na klucz, i jeżeli to możliwe, w szafach zamykanych na klucz. Dotyczy to zwłaszcza danych osobowych szczególnej kategorii, o których mowa w art. 9 rozporządzenia 2016/679. Szczegółowe zasady postępowania z kluczami do pomieszczeń GUM określają odrębne akty wewnętrzne GUM.

§ 18. Administrator danych, mając na względzie skuteczną realizację ochrony danych osobowych, monitoruje wdrożone zabezpieczenia, aktualizuje je i dostosowuje do zmieniających się zagrożeń dla przetwarzania danych osobowych w GUM.

Rozdział 5

Realizacja praw osób, których dane osobowe są przetwarzane w GUM

§ 19. Administrator danych realizuje prawa osób, których dane osobowe są przetwarzane w GUM, wskazane w art. 12-22 rozporządzenia 2016/679, jeżeli realizacja ta jest możliwa.

§ 20. 1. Z wyjątkiem prawa do informacji, realizacja praw osób, których dane dotyczą, jeżeli jest możliwa, odbywa się na podstawie pisemnego wniosku osoby, której dane osobowe dotyczą.

2. W przypadku wątpliwości co do tożsamości osoby zwracającej się z wnioskiem o realizację jej praw, tożsamość osoby jest weryfikowana, w szczególności poprzez uzyskanie informacji, która została podana we wcześniejszych kontaktach, a co do której można mieć pewność, że będzie ją posiadać jedynie osoba, której dane osobowe dotyczą.

3. Wpływające zapytania i wnioski dotyczące przetwarzanych w GUM danych osobowych osób, których te dane dotyczą, są rejestrowane w prowadzonym przez Inspektora ,,Rejestrze wniosków i zapytań osób, których dane osobowe są przetwarzane w GUM".

§ 21. 1. Administrator danych informuje osobę, której dane osobowe są przetwarzane w GUM, o fakcie przetwarzania dotyczących jej danych osobowych.

2. Realizacja obowiązku informacyjnego może odbywać się:

1) jednoetapowo - wszystkie informacje wskazane w art. 13 lub art. 14 rozporządzenia 2016/679 przekazywane są jednocześnie;

2) wieloetapowo - najważniejsze informacje określone przez Inspektora, przekazywane są w momencie pierwszego kontaktu z osobą, której dane dotyczą, natomiast informacje szczegółowe o zasadach przetwarzania, przekazywane są poprzez stronę internetową GUM, BIP oraz tablicę informacyjną znajdującą się w widocznym miejscu w siedzibie GUM.

3. Informacje podaje się w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, a zakres przekazywanych informacji należy dostosować do sposobu pozyskania danych osobowych.

4. Pozyskując dane osobowe od osoby, której dane dotyczą, administrator danych przekazuje tej osobie informacje wskazane w art. 13 rozporządzenia 2016/679, w momencie pozyskania danych.

5. Jeżeli dane osobowe pozyskano z innego źródła niż od osoby, której dane dotyczą, administrator danych podaje osobie, której dane dotyczą, informacje wskazane w art. 14 rozporządzenia 2016/679.

6. Informacje, o których mowa w ust. 5, podaje się w terminie:

1) nie później niż jednego miesiąca od momentu pozyskania danych osobowych, biorąc pod uwagę konkretne okoliczności przetwarzania danych osobowych;

2) najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą;

3) najpóźniej przy pierwszym ujawnieniu danych osobowych, jeżeli planuje się je ujawnić innemu odbiorcy.

7. Obowiązków, o których mowa w ust. 4 i 5, nie stosuje się, gdy i w zakresie w jakim osoba, której dane dotyczą, dysponuje już tymi informacjami.

8. Za realizację obowiązków informacyjnych, o których mowa w ust. 4 i 5, odpowiedzialni są kierownicy komórek organizacyjnych GUM, w których dane osobowe będą przetwarzane. Informacje te mogą zostać przekazane na piśmie, w tym drogą elektroniczną, a w szczególnych przypadkach telefonicznie.

§ 22. 1. Rozpatrywanie wniosków osób, których dane dotyczą, związanych z realizacją ich praw, wpływających do GUM, koordynuje Inspektor. Odpowiedź na wniosek udzielana jest w terminie nie dłuższym niż miesiąc.

2. Za realizację merytoryczną wniosku odpowiedzialni są kierownicy komórek organizacyjnych GUM.

3. Inspektor weryfikuje kompletność danych adresowych oraz identyfikuje komórkę organizacyjną GUM, w której przetwarzane są dane osoby wnioskującej o realizację jej praw.

4. W sytuacji braku wystarczających informacji, umożliwiających zidentyfikowanie komórki organizacyjnej GUM, do której wniosek powinien być przekazany, Inspektor występuje do osoby, która zwróciła się z wnioskiem o realizację jej praw, o uszczegółowienie informacji.

5. Po otrzymaniu informacji z komórki organizacyjnej GUM, realizującej przetwarzanie danych osobowych dotyczących otrzymanego wniosku, Inspektor udziela w formie pisemnej odpowiedzi osobie wnioskującej.

6. W przypadku braku możliwości realizacji wniosku, informację o przyczynach braku możliwości jego realizacji, Inspektor przesyła osobie, która wystąpiła z wnioskiem o realizację jej praw.

7. Jeżeli wniosek osoby w zakresie przysługujących jej praw związanych z ochroną danych osobowych został przesłany bezpośrednio do komórki organizacyjnej GUM, komórka ta jest zobowiązana do niezwłocznego przekazania wniosku Inspektorowi.

§ 23. Osoba, której dane osobowe są przetwarzane w GUM, ma prawo do:

1) dostępu do swoich danych oraz otrzymania ich kopii;

2) sprostowania lub poprawiania swoich danych, jeśli są błędne lub nieaktualne;

3) usunięcia danych osobowych, w sytuacji, gdy przetwarzanie danych nie następuje w celu wywiązania się z obowiązku wynikającego z przepisu prawa lub w ramach sprawowania władzy publicznej;

4) ograniczenia przetwarzania danych osobowych;

5) sprzeciwu wobec przetwarzania danych osobowych, zgodnie z art. 21 rozporządzenia 2016/679;

6) wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Rozdział 6

Powierzenie przetwarzania danych osobowych i udostępnienie danych osobowych

§ 24. 1. Prezes GUM, realizując swoje zadania związane z przetwarzaniem danych osobowych:

1) jako administrator danych - może powierzyć przetwarzanie danych osobowych w swoim imieniu innemu podmiotowi;

2) jako podmiot przetwarzający - może na zlecenie i w imieniu innego podmiotu, będącego administratorem danych, przetwarzać powierzone dane osobowe.

2. Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych osobowych, w drodze odrębnej umowy zawartej w formie pisemnej lub elektronicznej albo poprzez uwzględnienie w umowie głównej postanowień zawierających uregulowania analogiczne, jak w odrębnej umowie powierzenia przetwarzania danych osobowych.

3. Podmiot przetwarzający powinien zapewniać gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych osobowych chroniło prawa osób, których dane dotyczą.

4. W przypadku, gdy administrator danych przyjmie dane osobowe do przetwarzania od innego podmiotu będącego administratorem danych, za realizację obowiązków wynikających z umowy powierzenia przetwarzania danych osobowych odpowiada, w imieniu administratora danych, kierownik komórki organizacyjnej GUM realizującej zadania, z którymi wiąże się przetwarzanie powierzonych danych osobowych.

5. Kierownik komórki organizacyjnej GUM zobowiązany jest do informowania Inspektora, co najmniej z dwutygodniowym wyprzedzeniem, o zamiarze powierzenia przetwarzania danych osobowych i przekazania mu niezbędnych informacji w tym zakresie, w szczególności opisu, na czym ma polegać przetwarzanie danych osobowych przez podmiot przetwarzający, aby umożliwić Inspektorowi zajęcie stanowiska w przedmiotowej kwestii, i dokonać z nim uzgodnienia kryteriów powierzenia.

§ 25. 1. Informacje o zawartych umowach powierzenia przetwarzania danych osobowych są ujęte w ,,Rejestrze czynności przetwarzania danych osobowych".

2. Kategorie czynności przetwarzania, które zostały powierzone do przetwarzania, ujęte są w ,,Rejestrze kategorii czynności przetwarzania".

3. Kopie zawartych umów powierzenia przetwarzania danych są przekazywane do Inspektora niezwłocznie po ich podpisaniu.

4. Każda umowa lub postanowienia w sprawie powierzenia danych osobowych do przetwarzania w GUM przez innego administratora danych muszą być uzgodnione i zatwierdzone przez Inspektora.

§ 26. 1. Udostępnienie danych osobowych stanowi przekazanie danych osobowych odbiorcy spoza GUM, który to odbiorca sam decyduje o celach i sposobach przetwarzania danych.

2. Udostępnienie danych osobowych, jeśli jest niezbędne, odbywa się na pisemny, uzasadniony wniosek, ze wskazaniem podstawy żądania udostępnienia danych osobowych.

3. Udostępnienie jest ewidencjonowane w ,,Rejestrze udostępnień danych osobowych"

Rozdział 7

Realizacja szkoleń i prowadzenie działań zwiększających świadomość w zakresie ochrony danych osobowych

§ 27. 1. W GUM organizowane są szkolenia z zakresu ochrony danych osobowych dla pracowników oraz osób wykonujących zadania na podstawie umów cywilnoprawnych, w zakresie obowiązujących przepisów oraz zagrożeń związanych z przetwarzaniem danych osobowych, zwane dalej „szkoleniami".

2. Szkolenia prowadzi Inspektor lub inny pracownik wyznaczony przez administratora danych. Szkolenia przeprowadza się dla każdego nowego pracownika. W przypadku braku możliwości przeprowadzenia szkolenia w trybie stacjonarnym lub online, Inspektor lub inny pracownik wyznaczony przez administratora danych, przekazuje materiały szkoleniowe w postaci elektronicznej do zapoznania się.

3. Szkolenia obejmują co najmniej następujące zagadnienia:

1) przepisy o ochronie danych osobowych;

2) zasady przetwarzania danych osobowych w GUM;

3) regulacje dotyczące bezpiecznego przetwarzania danych osobowych, w tym w systemach teleinformatycznych;

4) zagrożenia związane z przetwarzaniem danych osobowych;

5) sposób postępowania w razie zaistnienia zagrożenia dla bezpieczeństwa przetwarzanych danych osobowych lub naruszenia zasad przetwarzania danych osobowych;

6) odpowiedzialność za niezgodne z prawem przetwarzanie danych osobowych.

4. Przeprowadzenie szkoleń w trybie stacjonarnym lub online jest odpowiednio dokumentowane listą obecności oraz oświadczeniem uczestników o zapoznaniu się z przepisami o ochronie danych osobowych, a osoby przeszkolone otrzymują zaświadczenie.

§ 28. W GUM prowadzone są działania mające na celu zwiększenie świadomości pracowników w zakresie ochrony danych osobowych, poprzez publikowanie w programie SharePoint na platformie Microsoft 365 treści dotyczących ochrony i bezpiecznego przetwarzania danych osobowych.

Rozdział 8

Naruszenia ochrony danych osobowych

§ 29. W przypadku podejrzenia wystąpienia naruszenia ochrony danych osobowych pracownik niezwłocznie podejmuje czynności niezbędne dla powstrzymania niepożądanych skutków, polegające w szczególności na:

1) zaniechaniu działań, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę;

2) powstrzymaniu się od pracy w systemie teleinformatycznym, jeżeli jego dotyczy naruszenie;

3) zabezpieczeniu, w zależności od sytuacji, dostępu do pomieszczenia, nośników informacji i urządzeń służących do przetwarzania informacji, a także dowodów naruszenia przed zniszczeniem;

4) niezwłocznym powiadomieniu Inspektora.

§ 30. 1. Inspektor dokonuje analizy naruszenia ochrony danych osobowych, ocenia wagę zaistniałego naruszenia i podejmuje decyzję w sprawie dalszego postępowania, w tym dotyczącą przetwarzania danych osobowych. Każdy pracownik, który ma związek z zaistniałym naruszeniem, jest zobowiązany do współpracy z Inspektorem i do udzielania wyjaśnień.

2. Jeżeli w wyniku dokonanej oceny wagi naruszenia Inspektor stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych, których dane dotyczą, jest niskie, dokumentuje zgłoszony przypadek naruszenia w ,,Rejestrze naruszeń ochrony danych osobowych" oraz sporządza i niezwłocznie przekazuje raport dla administratora danych o naruszeniu ochrony danych osobowych.

3. Jeżeli, w wyniku dokonanej oceny wagi naruszenia, Inspektor stwierdził, że naruszenie ochrony danych osobowych może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, a poziom wagi naruszenia ochrony danych dla osób, których dane dotyczą jest średni, wysoki lub bardzo wysoki, oprócz dokumentacji naruszenia w ,,Rejestrze naruszeń ochrony danych osobowych" i zgłoszenia administratorowi danych, Inspektor zgłasza naruszenie Prezesowi Urzędu Ochrony Danych Osobowych nie później niż w terminie 72 godzin od stwierdzenia naruszenia.

§ 31. Wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych wymaga dokumentacji naruszenia w ,,Rejestrze naruszeń ochrony danych osobowych", zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych, administratorowi danych oraz niezwłocznego zawiadomienia osoby lub osób, których dane dotyczą, ze wskazaniem miejsca i czasu zdarzenia, charakteru zdarzenia, możliwych skutków i podjętych czynności, w celu przeciwdziałania negatywnym skutkom zaistniałego naruszenia, chyba że administrator danych podjął działania prewencyjne przed zaistnieniem naruszenia albo podjął działania wskazane w art. 34 ust. 3 rozporządzenia 2016/679, po jego wystąpieniu.

Rozdział 9

Przepisy przejściowe i końcowe

§ 32. Traci moc zarządzenie nr 4 Prezesa Głównego Urzędu Miar z dnia 30 marca 2022 r. w sprawie ochrony danych osobowych w Głównym Urzędzie Miar.

§ 33. Zarządzenie wchodzi w życie z dniem 5 września 2022 r.