Rozdział 1

Przepisy ogólne

§ 1. 1. Zarządzenie określa zasady przetwarzania danych osobowych oraz sposób ochrony takich danych przetwarzanych w Głównym Urzędzie Miar, zwanym dalej „GUM”, oraz zastosowane środki ochrony, odpowiednie do zagrożeń i kategorii danych osobowych objętych ochroną, przetwarzanych przez pracowników oraz inne osoby mające w GUM dostęp do tych danych, zgodnie z przepisami o ochronie danych osobowych, w przypadku, gdy cele i sposoby przetwarzania danych osobowych określa Prezes GUM.

2. Zapewnienie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych ma zagwarantować poufność, integralność i dostępność danych, a także rzetelność, przejrzystość i zgodność z prawem ich przetwarzania, i wymaga zastosowania niezbędnych środków technicznych i organizacyjnych oraz właściwych procedur.

3. W zakresie nieuregulowanym niniejszym zarządzeniem stosuje się przepisy:

1) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.5.2018, str. 2 oraz Dz. Urz. UE L 74 z 04.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”;

2) ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781).

§ 2. Ilekroć w zarządzeniu jest mowa o:

1) administratorze - rozumie się przez to Prezesa GUM, w przypadku, gdy Prezes GUM ustala cele i sposoby przetwarzania danych osobowych;

2) danych osobowych - rozumie się przez to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, zgodnie z art. 4 pkt 1 rozporządzenia 2016/679;

3) przetwarzaniu danych osobowych - rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, zgodnie z art. 4 pkt 2 rozporządzenia 2016/679;

4) Prezesie Urzędu Ochrony Danych Osobowych - rozumie się przez to organ właściwy do spraw ochrony danych osobowych w Rzeczypospolitej Polskiej;

5) upoważnieniu do przetwarzania danych osobowych - rozumie się przez to upoważnienie nadawane przez administratora, wskazujące z imienia i nazwiska osobę, która ma prawo przetwarzać dane osobowe w zakresie wskazanym w tym upoważnieniu;

6) Zespole - rozumie się przez to zespół ds. bezpieczeństwa informacji, o którym mowa w decyzji Prezesa Głównego Urzędu Miar dotyczącej ustanowienia oraz określenia zadań pełnomocnika Prezesa Głównego Urzędu Miar do spraw Zintegrowanego Systemu Zarządzania.

Rozdział 2

Przetwarzanie danych osobowych w GUM

§ 3. 1. Komórki organizacyjne GUM przetwarzają dane osobowe utrwalone w postaci papierowej lub elektronicznej, w szczególności w związku z realizacją zadań wynikających z przepisów prawa krajowego i Unii Europejskiej oraz zadań określonych w regulaminie organizacyjnym GUM.

2. Dane osobowe, z wyłączeniem danych osobowych określonych w ust. 3 i 4, są przetwarzane w GUM na podstawie co najmniej jednej z następujących przesłanek:

1) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

2) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

3) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

5) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych;

6) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, jeżeli przetwarzanie nie odbywa się na podstawie przesłanek wskazanych w pkt. 1-5.

3. Dane osobowe szczególnych kategorii, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, nie są przetwarzane w GUM, chyba że występuje co najmniej jedna z następujących przesłanek:

1) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

2) przetwarzanie jest niezbędne do wypełnienia obowiązku i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;

3) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

4) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

5) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń;

6) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym;

7) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi;

8) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

4. Dane osobowe dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa są przetwarzane w GUM, gdy jest to dozwolone przepisami prawa, a w szczególności, gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

5. Jeżeli przetwarzanie danych osobowych w GUM odbywa się na podstawie zgody:

1) zgoda nie może być domniemana lub dorozumiana ani wywiedziona z oświadczenia woli o innej treści;

2) odbieranie zgody odbywa się w formie możliwej do późniejszego udowodnienia, w szczególności w formie pisemnej;

3) osoba, która wyraziła zgodę, może ją wycofać w każdym czasie, bez wpływu na zgodność przetwarzania, którego dokonano przed jej cofnięciem; administrator umożliwia w łatwy sposób skorzystanie z możliwości wycofania zgody, a osoba, której dane dotyczą, jest o tym informowana zanim wyrazi zgodę.

§ 4. Administrator przetwarza dane osobowe zgodnie z zasadami wskazanymi w art. 5 rozporządzenia 2016/679.

§ 5. 1. Administrator gwarantuje bezpieczne przetwarzanie danych osobowych w GUM i zapewnia środki techniczne i organizacyjne niezbędne dla bezpiecznego, rzetelnego i przejrzystego przetwarzania danych osobowych w pomieszczeniach do tego przeznaczonych, w tym:

1) zbieranie danych osobowych w konkretnych, wyraźnych i uzasadnionych celach, w sposób adekwatny, stosowny oraz ograniczony do realizacji tych celów;

2) przetwarzanie danych osobowych wyłącznie przez osoby posiadające upoważnienie do przetwarzania danych osobowych;

3) zapoznanie z przepisami o ochronie danych osobowych osób przed udzieleniem upoważnienia do przetwarzania danych osobowych;

4) przechowywanie danych osobowych w sposób zapewniający bezpieczeństwo danych osobowych oraz w celu zapewnienia rozliczalności, poufności, integralności i dostępności tych danych oraz w formie umożliwiającej identyfikację osób, których dotyczą, a także nie dłużej niż jest to niezbędne do osiągnięcia celu lub celów, dla których zostały zebrane;

5) zgłaszanie naruszeń ochrony danych osobowych, powodujących wystąpienie ryzyka naruszenia praw i wolności osób fizycznych, do Prezesa Urzędu Ochrony Danych Osobowych i zawiadamianie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, jeżeli ryzyko jest wysokie;

6) realizację praw osób, których dane dotyczą;

7) kontrolę nad przetwarzaniem danych osobowych w sposób zapewniający bezpieczeństwo danych osobowych.

2. Do zapewnienia bezpieczeństwa danych osobowych w GUM stosuje się odpowiednio postanowienia zarządzenia Prezesa Głównego Urzędu Miar w sprawie polityki bezpieczeństwa informacji Głównego Urzędu Miar.

§ 6. 1. Administrator wyznacza Inspektora ochrony danych, zwanego dalej „Inspektorem”, który podlega administratorowi.

2. Administrator zapewnia Inspektorowi warunki niezbędne do realizacji zadań, w tym włącza go we wszelkie działania związane z przetwarzaniem i ochroną danych osobowych.

3. O wyznaczeniu albo o zmianie Inspektora w GUM zawiadamia się Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia wyznaczenia albo zmiany, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu Inspektora.

4. Dane kontaktowe Inspektora są opublikowane na stronie internetowej GUM oraz w Biuletynie Informacji Publicznej GUM, zwanym dalej „BIP”.

5. Do zadań Inspektora należy w szczególności:

1) informowanie administratora oraz osób upoważnionych do przetwarzania danych osobowych o obowiązkach spoczywających na nich na mocy rozporządzenia 2016/679 oraz innych przepisów prawa powszechnie obowiązującego oraz przepisów wewnętrznych administratora, dotyczących ochrony danych osobowych oraz doradzanie im w tej sprawie;

2) monitorowanie przestrzegania powszechnie obowiązujących przepisów dotyczących ochrony danych osobowych;

3) monitorowanie przestrzegania niniejszego zarządzenia oraz dokumentacji systemu zarządzania bezpieczeństwem informacji w GUM w zakresie przetwarzania danych osobowych;

4) podejmowanie działań zwiększających świadomość pracowników w zakresie ochrony danych osobowych;

5) szkolenie pracowników i, jeżeli ma to zastosowanie, osób wykonujących zadania na podstawie umów cywilnoprawnych, w zakresie ochrony danych osobowych oraz przeprowadzanie sprawdzeń (audytów) ochrony danych osobowych;

6) udzielanie zaleceń co do oceny skutków dla ochrony danych osobowych oraz monitorowanie jej wykonania;

7) współpraca z Prezesem Urzędu Ochrony Danych Osobowych;

8) pełnienie funkcji punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem danych osobowych, w tym z uprzednimi konsultacjami, o których mowa w art. 36 rozporządzenia 2016/679.

6. Osoby, których dane dotyczą i są przetwarzane w GUM, mogą kontaktować się z Inspektorem w sprawach związanych z przetwarzaniem ich danych osobowych.

7. Inspektor jest uprawniony do dostępu do danych osobowych oraz obszarów przetwarzania w zakresie niezbędnym do realizacji jego zadań. Administrator zapewnia, aby Inspektor nie otrzymywał instrukcji dotyczących wykonywania zadań.

§ 7. 1. Przetwarzanie danych osobowych w GUM odbywa się w oparciu o wydane przez administratora upoważnienie do przetwarzania danych osobowych.

2. Administrator może upoważnić inną osobę do udzielania upoważnienia, o którym mowa w ust. 1.

3. Upoważnienia do przetwarzania danych osobowych są udzielane każdej osobie, która realizuje w GUM zadania wiążące się z przetwarzaniem danych osobowych:

1) w ramach realizacji obowiązków służbowych;

2) w ramach realizowanych w GUM projektów;

3) na podstawie umów cywilnoprawnych.

4. Upoważnienie do przetwarzania danych osobowych jest udzielane, w szczególności w związku z:

1) podjęciem pracy w GUM - w zakresie niezbędnym do realizowania zadań wynikających z bieżących obowiązków określonych w opisie stanowiska pracy albo zakresie obowiązków pracownika lub wynikających z udokumentowanych poleceń pracodawcy;

2) zmianą obowiązków pracownika - jeżeli zmiana taka wymaga zmiany zakresu przetwarzanych danych osobowych;

3) zmianą stanowiska pracy lub zmianą komórki organizacyjnej GUM lub jej nazwy;

4) zmianą danych osobowych osoby, której upoważnienie dotyczy;

5) odbywaniem stażu, praktyki albo wolontariatu - w zakresie niezbędnym do realizowania zadań wynikających z porozumienia w sprawie stażu, praktyk albo wolontariatu;

6) uczestnictwem w projektach realizowanych w GUM - w zakresie niezbędnym do wykowywana zadań w ramach konkretnego projektu realizowanego w GUM;

7) realizacją umowy cywilnoprawnej - w zakresie niezbędnym do realizacji obowiązków wynikających z umowy cywilnoprawnej oraz wskazówek zleceniodawcy;

8) wykonywaniem czynności, których realizacja wiąże się z koniecznością przetwarzania danych osobowych.

5. Udzielenie upoważnienia w przypadkach, o których mowa w ust. 4 pkt 1, 5 i 7, jest uzależnione od zapoznania się z materiałami szkoleniowymi oraz zdania testu z zakresu ochrony danych osobowych przez osobę, której ma być wydane upoważnienie.

6. Osoba upoważniona jest zobowiązana do:

1) znajomości powszechnie obowiązujących przepisów prawa oraz regulacji wewnętrznych GUM dotyczących ochrony danych osobowych;

2) przetwarzania danych osobowych wyłącznie w celu wykonywania nałożonych obowiązków i realizowanych zadań;

3) udostępniania danych osobowych wyłącznie osobom upoważnionym lub uprawnionym na mocy przepisów prawa do ich uzyskania;

4) uniemożliwienia dostępu do danych osobowych lub wglądu do danych osobom nieupoważnionym;

5) informowania o wszystkich naruszeniach, podejrzeniach naruszenia i nieprawidłowościach w sposobie przetwarzania i ochrony danych osobowych - zgodnie z § 29 i § 30 ust.1 zarządzenia;

6) uczestniczenia w organizowanych szkoleniach z zakresu ochrony danych osobowych;

7) dbałości o ochronę danych osobowych, w szczególności zabezpieczenia przed ich przetwarzaniem, w tym zbieraniem bez podstawy prawnej, przetwarzaniem przez okres dłuższy niż jest to wymagane, zmianą, utratą, uszkodzeniem lub zniszczeniem.

7. Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana do ochrony przetwarzanych danych osobowych i zachowania w tajemnicy sposobów ich zabezpieczenia, również po ustaniu zatrudnienia albo współpracy.

8. Komórka organizacyjna GUM właściwa do spraw systemu zarządzania prowadzi „Rejestr upoważnień wydanych przez Prezesa Głównego Urzędu Miar oraz Dyrektora Generalnego”.

§ 8. 1. Przetwarzanie danych osobowych w GUM odbywa się w jego siedzibie, jak również poza siedzibą GUM, z uwzględnieniem konieczności zachowania wymaganych standardów bezpieczeństwa, określonych w przepisach wewnętrznych GUM.

2. W związku z przetwarzaniem danych osobowych w GUM mogą być realizowane w szczególności następujące operacje lub zestawy operacji:

1) zbieranie;

2) utrwalanie;

3) organizowanie;

4) porządkowanie;

5) przechowywanie lub archiwizowanie;

6) adaptowanie lub modyfikowanie;

7) pobieranie;

8) przeglądanie;

9) wykorzystywanie;

10) ujawnianie;

11) dopasowywanie lub łączenie;

12) ograniczenie przetwarzania;

13) usuwanie lub niszczenie.

§ 9. 1. W przypadku wątpliwości co do zgodności z prawem działań w zakresie przetwarzania danych osobowych, osoby przetwarzające dane osobowe w GUM mogą zwrócić się do Inspektora z wnioskiem o przedstawienie stanowiska.

2. Do czasu uzyskania stanowiska Inspektora, niedozwolone jest pozyskiwanie danych osobowych i ich utrwalanie, a w przypadku posiadania danych osobowych, których wątpliwość dotyczy, należy do czasu rozstrzygnięcia wątpliwości ograniczyć przetwarzanie tych danych.

§ 10. 1. Komórka organizacyjna GUM właściwa do spraw systemu zarządzania prowadzi ,,Rejestr czynności przetwarzania danych osobowych”, zwany dalej ,,rejestrem”. W rejestrze zamieszcza się wszystkie informacje określone w art. 30 ust. 1 rozporządzenia 2016/679.

2. Niezwłocznie po pojawieniu się każdej nowej czynności przetwarzania, kierownik komórki organizacyjnej GUM przekazuje dane do rejestru komórce organizacyjnej GUM właściwej do spraw systemu zarządzania.

3. Komórka organizacyjna GUM właściwa do spraw systemu zarządzania prowadzi ,,Rejestr kategorii czynności przetwarzania danych osobowych”, w którym zamieszcza się informacje wskazane w art. 30 ust. 2 rozporządzenia 2016/679.

4. Administrator udostępnia rejestry, o których mowa w ust. 1 i 3, na każde wezwanie Prezesa Urzędu Ochrony Danych Osobowych. Rejestry nie są udostępniane osobom trzecim.

§ 11. 1. Administrator dąży do zapewnienia ochrony danych w fazie projektowania oraz do zapewnienia domyślnej ochrony danych osobowych.

2. W ramach ochrony danych w fazie projektowania, w GUM są wdrażane środki techniczne i organizacyjne już na etapie projektowania operacji przetwarzania danych osobowych, w taki sposób, aby od początku przetwarzania zapewnić ochronę prywatności i bezpieczeństwo przetwarzanych danych osobowych. W każdym przypadku projektowania procesów przetwarzania lub wdrażaniu nowych rozwiązań wiążących się z przetwarzaniem danych osobowych, w pracę nad nimi włączany jest Inspektor.

3. Domyślną ochronę danych zapewnia się poprzez uwzględnienie ochrony danych osobowych w kulturze działania GUM, w celu zapewnienia jak najwyższego poziomu ochrony przetwarzanych danych osobowych, m.in. przez przetwarzanie wyłącznie niezbędnych danych osobowych, zapewnienie wymaganego okresu ich przechowywania, ograniczenie dostępności do danych osobowych.

§ 12. Kierownik komórki organizacyjnej GUM jest odpowiedzialny za zarządzanie procesami przetwarzania danych osobowych w podległej mu komórce organizacyjnej.

Rozdział 3

Przechowywanie i niszczenie danych osobowych

§ 13. 1. Dane osobowe są przechowywane w GUM w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do osiągnięcia celów, dla realizacji których dane te zostały zebrane.

2. Kierownik komórki organizacyjnej GUM ustala okres przechowywania danych osobowych, przetwarzanych w kierowanej przez siebie komórce organizacyjnej w ramach realizowanych czynności przetwarzania.

3. W przypadku braku w przepisach prawa regulacji dotyczących okresu przechowywania danych osobowych, kierownik komórki organizacyjnej GUM wskazuje kryteria, na podstawie których ustalił okres przechowywania danych osobowych.

4. Kierownik komórki organizacyjnej GUM jest odpowiedzialny za dokonanie w każdym roku kalendarzowym przeglądu danych osobowych przetwarzanych w kierowanej przez siebie komórce organizacyjnej oraz lokalizacji tych danych, w celu ustalenia konieczności dalszego ich przechowywania.

§ 14. 1. Dane osobowe, których dalsze przechowywanie w GUM nie jest konieczne do realizacji celów, dla których zostały zebrane, są usuwane.

2. Usuwanie danych osobowych, przetwarzanych w GUM w postaci elektronicznej, odbywa się poprzez ich usunięcie lub nadpisanie z wykorzystaniem specjalistycznego oprogramowania.

3. Usuwanie danych osobowych przetwarzanych w GUM w postaci pisemnej oraz znajdujących się na elektronicznych nośnikach danych, jest dokonywane poprzez ich fizyczne zniszczenie.

4. Dane osobowe przetwarzane w systemie Elektronicznego Zarządzania Dokumentacją są usuwane przez osoby, które wprowadziły dane do tego systemu lub inną osobę wyznaczoną przez kierownika komórki organizacyjnej GUM, której pracownik wprowadził dane do systemu.

5. Usuwanie danych osobowych odbywa się komisyjnie, z wyłączeniem danych osobowych, o których mowa w ust. 4. Skład Komisji wyznacza administrator. W przypadku wątpliwości co do usunięcia danych osobowych, Kierownik komórki organizacyjnej GUM albo osoba odpowiedzialna za prowadzenie archiwum zakładowego zwraca się o opinię do Inspektora.

6. Komisja, o której mowa w ust. 5, przygotowuje protokół z usunięcia danych osobowych dla komórki organizacyjnej GUM, na wniosek której usunięto dane osobowe albo dla archiwum zakładowego.

7. Protokół, o którym mowa w ust. 6, powinien zawierać następujące informacje:

1) datę sporządzenia protokołu;

2) rodzaj danych osobowych podlegających usunięciu;

3) postać w jakiej dane osobowe zostały utrwalone (pisemna, elektroniczna);

4) podstawę (powód) usunięcia danych osobowych;

5) nazwę komórki organizacyjnej GUM wnioskującej o usunięcie danych osobowych;

6) imiona i nazwiska oraz podpisy członków komisji.

8. Możliwe jest korzystanie z usług wyspecjalizowanych podmiotów, realizujących usługi w zakresie niszczenia dokumentów i elektronicznych nośników danych, które dają gwarancje zabezpieczeń wymaganych przepisami prawa. Korzystanie z usług podmiotów, o których mowa w zdaniu pierwszym, jest możliwe wyłącznie po zawarciu z tymi podmiotami umowy powierzenia przetwarzanych danych osobowych, dotyczącej realizacji tych usług.

Rozdział 4

Środki techniczne i organizacyjne stosowane w celu ochrony danych osobowych

§ 15. 1. W celu ochrony danych osobowych w GUM stosuje się odpowiednie środki techniczne i organizacyjne.

2. Dobór środków technicznych i organizacyjnych odpowiednich do kategorii przetwarzanych danych osobowych uwzględnia wymagania zawarte w rozporządzeniu 2016/679.

3. Dobór środków technicznych i organizacyjnych uwzględnia przeprowadzoną ocenę ryzyka i jej następujące elementy:

1) stan wiedzy technicznej;

2) koszt wdrożenia środków technicznych i organizacyjnych;

3) charakter przetwarzania, przez który należy rozumieć sposób dokonywania przetwarzania, czyli częstotliwość, czasowość, długoterminowość;

4) zakres przetwarzania (katalog operacji na danych osobowych);

5) kontekst przetwarzania, czyli kategorie przetwarzanych danych, kategorie osób, których dane osobowe dotyczą, okoliczności zbierania i dalszego przetwarzania, otoczenie i zagrożenia dla bezpieczeństwa i integralności danych osobowych;

6) cel przetwarzania danych osobowych.

4. Za przeprowadzenie oceny ryzyka odpowiadają kierownicy komórek organizacyjnych GUM, którzy dokonują takiej oceny w konsultacji z Inspektorem. Administrator przyjmuje metodykę analizy ryzyka, a także określa akceptowalny poziom ryzyka. W oparciu o wynik analizy ryzyka przedstawiony przez poszczególnych kierowników komórek organizacyjnych GUM, administrator podejmuje decyzję o postępowaniu z ustalonym ryzykiem.

5. Jeżeli z oceny ryzyka wynika, że operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób, których dane dotyczą, kierownik komórki organizacyjnej odpowiedzialnej za dany proces przetwarzania przeprowadza i dokumentuje ocenę skutków dla ochrony danych osobowych, w celu oszacowania źródła, charakteru, specyfiki i powagi tego ryzyka i przekazuje ją do zaopiniowania przez Inspektora, a następnie do zatwierdzenia przez administratora.

6. Wyniki oceny skutków dla ochrony danych uwzględnia się przy doborze środków technicznych i organizacyjnych, które należy zastosować, w celu zgodnego z prawem przetwarzania danych osobowych.

7. Zastosowane środki techniczne uwzględniają zagrożenia związane z przetwarzaniem danych osobowych wynikające, w szczególności, z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych w GUM.

§ 16. Siedziba GUM oraz Świętokrzyski Kampus Laboratoryjny GUM, w których są przetwarzane dane osobowe, są nadzorowane całodobowo przez pracowników koncesjonowanego podmiotu, świadczącego usługi z zakresu ochrony i zabezpieczone technicznymi środkami ochrony, w tym monitoringiem i systemem przeciwpożarowym.

§ 17. Dokumenty zawierające dane osobowe są przechowywane w pomieszczeniach zamykanych na klucz i, jeżeli to możliwe, w szafach zamykanych na klucz. Dotyczy to zwłaszcza danych osobowych szczególnej kategorii, o których mowa w art. 9 rozporządzenia 2016/679. Szczegółowe zasady postępowania z kluczami do pomieszczeń GUM określają odrębne akty wewnętrzne GUM.

§ 18. Administrator, mając na względzie skuteczną realizację ochrony danych osobowych, monitoruje wdrożone zabezpieczenia, aktualizuje je i dostosowuje do zmieniających się zagrożeń dla przetwarzania danych osobowych w GUM.

Rozdział 5

Realizacja praw osób, których dane osobowe są przetwarzane w GUM

§ 19. Administrator realizuje prawa osób, których dane osobowe są przetwarzane w GUM, wskazane w art. 12-22 rozporządzenia 2016/679, jeżeli realizacja ta jest możliwa.

§ 20. 1. Osoba, której dane dotyczą może wystąpić z żądaniem realizacji swoich praw do administratora w drodze pisemnej, w tym elektronicznie na adres e-mail GUM lub Inspektora, adres elektronicznej skrzynki podawczej lub adres e-Doręczeń.

2. W przypadku wątpliwości co do tożsamości osoby zwracającej się z wnioskiem o realizację jej praw, tożsamość osoby jest weryfikowana, w szczególności poprzez uzyskanie informacji, która została podana we wcześniejszych kontaktach, a co do której można mieć pewność, że będzie ją posiadać jedynie osoba, której dane osobowe dotyczą.

3. Wpływające zapytania i wnioski dotyczące przetwarzanych w GUM danych osobowych osób, których te dane dotyczą, są rejestrowane w ,,Rejestrze wniosków i zapytań osób, których dane osobowe są przetwarzane w GUM”, prowadzonym przez komórkę organizacyjną GUM właściwą do spraw systemu zarządzania.

§ 21. 1. Administrator informuje osobę, której dane osobowe są przetwarzane w GUM, o fakcie przetwarzania dotyczących jej danych osobowych.

2. Realizacja obowiązku informacyjnego może odbywać się:

1) jednoetapowo - wszystkie informacje wskazane w art. 13 lub art. 14 rozporządzenia 2016/679 przekazywane są jednocześnie;

2) wieloetapowo - najważniejsze informacje, w tym tożsamość administratora, jego dane kontaktowe, cele i podstawy przetwarzania oraz prawa podmiotu danych, są przekazywane w momencie pierwszego kontaktu z osobą, której dane dotyczą, natomiast informacje szczegółowe o zasadach przetwarzania są przekazywane poprzez stronę internetową GUM, BIP lub tablicę informacyjną znajdującą się w widocznym miejscu w siedzibie GUM albo w Świętokrzyskim Kampusie Laboratoryjnym GUM.

3. Informacje podaje się w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, a zakres przekazywanych informacji należy dostosować do sposobu pozyskania danych osobowych.

4. Pozyskując dane osobowe od osoby, której dane dotyczą, administrator przekazuje tej osobie informacje wskazane w art. 13 rozporządzenia 2016/679, w momencie pozyskania danych.

5. Jeżeli dane osobowe pozyskano z innego źródła niż od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, informacje wskazane w art. 14 rozporządzenia 2016/679.

6. Informacje, o których mowa w ust. 5, podaje się w terminie:

1) nie później niż jednego miesiąca od momentu pozyskania danych osobowych, biorąc pod uwagę konkretne okoliczności przetwarzania danych osobowych;

2) najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą;

3) najpóźniej przy pierwszym ujawnieniu danych osobowych, jeżeli planuje się je ujawnić innemu odbiorcy.

7. Obowiązków, o których mowa w ust. 4 i 5, nie stosuje się, gdy i w zakresie w jakim osoba, której dane dotyczą, dysponuje już tymi informacjami.

8. Za realizację obowiązków informacyjnych, o których mowa w ust. 4 i 5, są odpowiedzialni kierownicy komórek organizacyjnych GUM, w których dane osobowe będą przetwarzane. Informacje te mogą zostać przekazane na piśmie, w tym drogą elektroniczną, a w szczególnych przypadkach telefonicznie.

§ 22. 1. Rozpatrywanie wniosków osób, których dane dotyczą, związanych z realizacją ich praw, wpływających do GUM, koordynuje Inspektor. Odpowiedź na wniosek jest udzielana w terminie nie dłuższym niż miesiąc, przez osobę wyznaczoną przez administratora.

2. Za realizację merytoryczną wniosku są odpowiedzialni kierownicy komórek organizacyjnych GUM.

3. Inspektor weryfikuje kompletność danych adresowych oraz identyfikuje komórkę organizacyjną GUM, w której są przetwarzane dane osoby wnioskującej o realizację jej praw.

4. W sytuacji braku wystarczających informacji, umożliwiających zidentyfikowanie komórki organizacyjnej GUM, do której wniosek powinien być przekazany, Inspektor występuje do osoby, która zwróciła się z wnioskiem o realizację jej praw, o uszczegółowienie informacji.

5. Po otrzymaniu informacji z komórki organizacyjnej GUM, realizującej przetwarzanie danych osobowych dotyczących otrzymanego wniosku, Inspektor przekazuje propozycję odpowiedzi osobie wyznaczonej przez administratora, która udziela jej osobie wnioskującej w formie pisemnej lub elektronicznej.

6. W przypadku braku możliwości realizacji wniosku, informację o przyczynach braku możliwości jego realizacji, osoba wyznaczona przez administratora przesyła osobie, która wystąpiła z wnioskiem o realizację jej praw.

7. Jeżeli wniosek osoby w zakresie przysługujących jej praw związanych z ochroną danych osobowych został przesłany bezpośrednio do komórki organizacyjnej GUM, komórka ta jest zobowiązana do niezwłocznego przekazania wniosku Inspektorowi.

§ 23. Osoba, której dane osobowe są przetwarzane w GUM, ma prawo do:

1) żądania dostępu do swoich danych oraz otrzymania ich kopii;

2) żądania sprostowania lub uzupełnienia swoich danych, jeśli są błędne lub nieaktualne;

3) żądania usunięcia danych osobowych, z uwzględnieniem art. 17 rozporządzenia 2016/679;

4) żądania przeniesienia swoich danych;

5) żądania ograniczenia przetwarzania danych osobowych;

6) wniesienia sprzeciwu wobec przetwarzania danych osobowych, zgodnie z art. 21 rozporządzenia 2016/679;

7) niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu;

8) wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Rozdział 6

Powierzenie przetwarzania danych osobowych i udostępnienie danych osobowych

§ 24. 1. Prezes GUM, realizując swoje zadania związane z przetwarzaniem danych osobowych:

1) jako administrator - może powierzyć przetwarzanie danych osobowych w swoim imieniu innemu podmiotowi;

2) jako podmiot przetwarzający - może, na zlecenie i w imieniu innego podmiotu, będącego administratorem, przetwarzać powierzone dane osobowe.

2. Administrator może powierzyć innemu podmiotowi przetwarzanie danych osobowych, w drodze odrębnej umowy, zawartej w formie pisemnej lub elektronicznej, albo poprzez uwzględnienie w umowie głównej postanowień zawierających uregulowania analogiczne, jak w odrębnej umowie powierzenia przetwarzania danych osobowych.

3. Podmiot przetwarzający powinien zapewniać gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odpowiadało przepisom rozporządzenia 2016/679 oraz chroniło prawa osób, których dane dotyczą.

4. W przypadku, gdy administrator przyjmie dane osobowe do przetwarzania od innego podmiotu będącego administratorem, za realizację obowiązków wynikających z umowy powierzenia przetwarzania danych osobowych odpowiada, w imieniu administratora, kierownik komórki organizacyjnej GUM realizującej zadania, z którymi wiąże się przetwarzanie powierzonych danych osobowych.

5. Kierownik komórki organizacyjnej GUM jest zobowiązany do poinformowania Inspektora, co najmniej z dwutygodniowym wyprzedzeniem, o zamiarze powierzenia przetwarzania danych osobowych i przekazania mu niezbędnych informacji w tym zakresie, w szczególności opisu, na czym ma polegać przetwarzanie danych osobowych przez podmiot przetwarzający, aby umożliwić Inspektorowi zajęcie stanowiska w przedmiotowej kwestii, i dokonać z nim uzgodnienia kryteriów powierzenia.

§ 25. 1. Komórka organizacyjna GUM właściwa do spraw systemu zarządzania prowadzi ,,Rejestr umów powierzenia przetwarzania danych osobowych”.

2. Kopie zawartych umów powierzenia przetwarzania danych osobowych są przekazywane do komórki organizacyjnej GUM właściwej do spraw systemu zarządzania oraz Inspektora, niezwłocznie po ich podpisaniu.

3. Każda umowa lub postanowienia w sprawie powierzenia danych osobowych do przetwarzania w GUM przez innego administratora muszą być uzgodnione i zatwierdzone przez Inspektora.

§ 26. 1. Udostępnienie danych osobowych stanowi przekazanie ich odbiorcy spoza GUM. Odbiorca ten sam decyduje o celach i sposobach przetwarzania udostępnionych mu danych osobowych.

2. Udostępnienie danych osobowych, jeśli jest niezbędne, odbywa się na pisemny, uzasadniony wniosek, ze wskazaniem podstawy żądania udostępnienia danych osobowych.

3. Udostępnienie jest ewidencjonowane w ,,Rejestrze udostępnień danych osobowych”, prowadzonym przez komórkę organizacyjną GUM właściwą do spraw systemu zarządzania.

Rozdział 7

Realizacja szkoleń i prowadzenie działań zwiększających świadomość w zakresie ochrony danych osobowych

§ 27. 1. Inspektor przeprowadza szkolenia z zakresu ochrony danych osobowych:

1) wstępne - dla nowo zatrudnionych pracowników oraz osób wykonujących zadania na podstawie umów cywilnoprawnych;

2) przypominające - dla pracowników GUM oraz osób wykonujących zadania na podstawie umów cywilnoprawnych.

2. Szkolenia z zakresu ochrony danych osobowych mogą być przeprowadzane w trybie stacjonarnym lub online.

3. Szkolenia obejmują co najmniej następujące zagadnienia:

1) przepisy o ochronie danych osobowych;

2) zasady przetwarzania danych osobowych w GUM;

3) regulacje dotyczące bezpiecznego przetwarzania danych osobowych, w tym w systemach teleinformatycznych;

4) zagrożenia związane z przetwarzaniem danych osobowych;

5) sposób postępowania w razie zaistnienia zagrożenia dla bezpieczeństwa przetwarzanych danych osobowych lub naruszenia zasad przetwarzania danych osobowych;

6) odpowiedzialność za niezgodne z prawem przetwarzanie danych osobowych.

4. Przeprowadzenie szkoleń jest dokumentowane. W przypadku szkolenia online, Inspektor przygotowuje raport uwzględniający zakres szkolenia oraz listę uczestników, którzy wzięli w nim udział. W przypadku szkolenia stacjonarnego, szkolenie jest dokumentowane listą obecności podpisaną przez osoby uczestniczące w szkoleniu. Listy obecności oraz raporty ze szkolenia przechowywane są przez komórkę organizacyjną GUM właściwą do spraw kadrowych.

§ 28. W GUM są prowadzone działania mające na celu zwiększenie świadomości pracowników w zakresie ochrony danych osobowych, w szczególności poprzez publikowanie w programie SharePoint na platformie Microsoft 365 treści dotyczących ochrony i bezpiecznego przetwarzania danych osobowych.

Rozdział 8

Naruszenia ochrony danych osobowych

§ 29. W przypadku podejrzenia wystąpienia naruszenia ochrony danych osobowych pracownik GUM albo osoba wykonująca zadania na podstawie umowy cywilnoprawnej, niezwłocznie podejmuje czynności niezbędne dla powstrzymania niepożądanych skutków, polegające w szczególności na:

1) zaniechaniu działań, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę;

2) powstrzymaniu się od pracy w systemie teleinformatycznym, jeżeli jego dotyczy naruszenie;

3) zabezpieczeniu, w zależności od sytuacji, dostępu do pomieszczenia, nośników informacji i urządzeń służących do przetwarzania informacji, a także dowodów naruszenia przed zniszczeniem;

4) powiadomieniu Inspektora oraz kierownika komórki organizacyjnej GUM, w ramach której realizuje zadania;

5) zgłoszeniu podejrzenia wystąpienia incydentu na adres: incydenty@gum.gov.pl, zgodnie z zarządzeniem Prezesa Głównego Urzędu Miar w sprawie postępowania z incydentami bezpieczeństwa informacji w Głównym Urzędzie Miar.

§ 30. 1. Zespół, we współpracy z Inspektorem, dokonuje analizy naruszenia ochrony danych osobowych, ocenia wagę zaistniałego naruszenia i podejmuje decyzję w sprawie dalszego postępowania, w tym dotyczącą przetwarzania danych osobowych. Każdy pracownik, który ma związek z zaistniałym naruszeniem, jest zobowiązany do współpracy z Zespołem i do udzielania wyjaśnień.

2. Zespół sporządza raport z incydentu, zgodnie z zarządzeniem Prezesa Głównego Urzędu Miar w sprawie postępowania z incydentami bezpieczeństwa informacji w Głównym Urzędzie Miar, i niezwłocznie przekazuje go Inspektorowi, administratorowi oraz komórce organizacyjnej GUM właściwej do spraw systemu zarządzania.

3. Jeżeli w raporcie z incydentu stwierdzono, że naruszenie ochrony danych osobowych może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, komórka organizacyjna GUM właściwa do spraw systemu zarządzania przekazuje zgłoszenie naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych, nie później niż w terminie 72 godzin od stwierdzenia naruszenia.

4. Komórka organizacyjna GUM właściwa do spraw systemu zarządzania prowadzi ,,Rejestr naruszeń ochrony danych osobowych”.

§ 31. Wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych wymaga niezwłocznego zawiadomienia osoby lub osób, których dane dotyczą, ze wskazaniem miejsca i czasu zdarzenia, charakteru zdarzenia, możliwych skutków i podjętych czynności, w celu przeciwdziałania negatywnym skutkom zaistniałego naruszenia, chyba że administrator podjął działania prewencyjne przed zaistnieniem naruszenia albo podjął działania wskazane w art. 34 ust. 3 rozporządzenia 2016/679, po jego wystąpieniu.

Rozdział 9

Przepisy końcowe

§ 32. Traci moc zarządzenie nr 5 Prezesa Głównego Urzędu Miar z dnia 28 lipca 2023 r. w sprawie ochrony danych osobowych w Głównym Urzędzie Miar.

§ 33. Upoważnienia udzielone przed dniem wejścia w życie zarządzenia pozostają ważne do czasu wygaśnięcia stosunku faktycznego albo prawnego stanowiącego podstawę ich udzielenia.

§ 34. Zarządzenie wchodzi w życie z dniem 1 grudnia 2025 r.