w zakresie przetwarzania danych osobowych przez spółdzielnie mieszkaniowe zrzeszone w Związku Rewizyjnym Spółdzielni Mieszkaniowych RP

W miesiącach listopad, grudzień 2018r. Gnieźnieńska Spółdzielnia Mieszkaniowa przeprowadziła konsultacje mające na celu zgłaszanie uwag do projektu pn. „Kodeks dobrych praktyk w zakresie przetwarzania danych osobowych przez spółdzielnie mieszkaniowe”, który zatwierdza Prezes Urzędu Ochrony Danych Osobowych. Inicjatywę w zakresie wdrożenia zasad przetwarzania i ochrony danych osobowych określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) podjął Związek Rewizyjny Spółdzielni Mieszkaniowych RP.

Kodeks dobrych praktyk w zakresie przetwarzania danych osobowych ma na celu:

1) wsparcie spółdzielni mieszkaniowych we właściwym stosowaniu Rozporządzenia RODO z uwzględnieniem cech przetwarzania danych osobowych w sektorze spółdzielni mieszkaniowych,

2) ograniczenie ryzyka naruszenia praw i wolności osób fizycznych, jakie może nieść przetwarzanie danych osobowych, poprzez wskazanie obowiązków dla spółdzielni mieszkaniowych oraz podmiotów przetwarzających dane osobowe w tym zakresie,

3) ułatwienie osobom fizycznym dokonania oceny, czy spółdzielnia mieszkaniowa stosuje odpowiednie zasady ochrony przetwarzanych danych osobowych,

4) zwiększenie zaufania osób fizycznych do spółdzielni mieszkaniowych, że ich dane osobowe są chronione na odpowiednim poziomie.

Z przedmiotowym projektem można było zapoznać się poprzez naszą stronę lub osobiście
w siedzibie Gnieźnieńskiej Spółdzielni Mieszkaniowej.

Kodeks dobrych praktyk

w zakresie przetwarzania danych osobowych przez spółdzielnie mieszkaniowe zrzeszone w Związku Rewizyjnym Spółdzielni Mieszkaniowych RP

WPROWADZENIE

1. Kodeks dobrych praktyk w zakresie przetwarzania danych osobowych przez spółdzielnie mieszkaniowe zrzeszone lub mające zawartą umowę o współpracy ze Związkiem Rewizyjnym Spółdzielni Mieszkaniowych RP (zwany dalej „Kodeksem”) stanowi zbiór zasad postępowania w zakresie ochrony danych osobowych w spółdzielniach mieszkaniowych zrzeszonych lub mających zawartą umowę o współpracy ze Związkiem Rewizyjnym Spółdzielni Mieszkaniowych RP.

 

2. Kodeks stanowi doprecyzowanie zasad przetwarzania i ochrony danych osobowych określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - ogólne rozporządzenie o ochronie danych osobowych, (zwane dalej ,,Rozporządzeniem RODO’’) oraz uwzględnia specyfikę spółdzielni mieszkaniowych wynikającą z ustawy z dnia 15 grudnia 2000 r. o spółdzielniach mieszkaniowych oraz ustawy z dnia 16 września 1982 r. Prawo spółdzielcze.

 

3. Kodeks stanowi kodeks postępowania, o którym mowa w art. 40 Rozporządzenia RODO.

 

4. Kodeks ma zastosowanie do spółdzielni mieszkaniowych zrzeszonych lub mających zawartą umowę o współpracy ze Związkiem Rewizyjnym Spółdzielni Mieszkaniowych RP.

 

5. Związek Rewizyjny Spółdzielni Mieszkaniowych RP działa na podstawie art. 240 ustawy z dnia 16 września 1982 r. Prawo spółdzielcze i w ramach prowadzonych przez siebie działań kontrolnych weryfikuje jego przestrzeganie.

 

6. Do stosowania Kodeksu mogą przystąpić inne podmioty niż wskazane w ust. 4 niniejszego Wprowadzenia, na zasadach określonych w ust. 8 Wprowadzenia, w tym podmioty świadczące na rzecz spółdzielni mieszkaniowych usługi wymagające przetwarzania danych osobowych, jednakże wyłącznie w zakresie świadczenia takich usług na rzecz spółdzielni mieszkaniowych.

7. Kodeks ma zastosowanie do danych osobowych przetwarzanych przez spółdzielnie mieszkaniowe zrzeszone lub mające zawartą umowę o współpracy ze Związkiem Rewizyjnym Spółdzielni Mieszkaniowych RP.

 

8. Podmioty, o których mowa w ust. 6 niniejszego Wprowadzenia, przystępując do stosowania Kodeksu zobowiązują się do stosowania wszystkich zasad wyrażonych w Kodeksie. W celu przystąpienia do stosowania Kodeksu, podmiot o którym mowa w ust. 6 niniejszego Wprowadzenia zawrze ze Związkiem Rewizyjnym Spółdzielni Mieszkaniowych RP umowę o współpracy zawierające również zobowiązanie do przestrzegania jego zasad.

 

9. Kodeksu ma na celu:

(a) wsparcie spółdzielni mieszkaniowych we właściwym stosowaniu Rozporządzenia RODO z uwzględnieniem cech przetwarzania danych osobowych w sektorze spółdzielni mieszkaniowych,

(b) ograniczanie ryzyka naruszenia praw i wolności osób fizycznych, jakie może nieść przetwarzanie danych osobowych, poprzez wskazanie obowiązków dla spółdzielni mieszkaniowych oraz podmiotów przetwarzających dane osobowe w tym zakresie,

(c) ułatwienie osobom fizycznym dokonania oceny, czy spółdzielnia mieszkaniowa stosuje odpowiednie zasady ochrony przetwarzanych danych osobowych,

(d) zwiększenie zaufania osób fizycznych do spółdzielni mieszkaniowych, że ich dane osobowe są chronione na odpowiednim poziomie.

 

10.W przypadku naruszenia postanowień niniejszego kodeksu mogą znaleźć zastosowanie odpowiednie sankcje wynikające z przepisów Rozporządzenia RODO, w tym w szczególności może wystąpić:

10.1. Odpowiedzialność cywilna.

Jeżeli w spółdzielni mieszkaniowej dojdzie do naruszenia przepisów o ochronie danych osobowych, to każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy rozporządzenia RODO zostały naruszone w wyniku przetwarzania jej danych osobowych. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym rozporządzenie RODO. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które rozporządzenie RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, o której mowa powyżej jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania. Administrator lub podmiot przetwarzający, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.

Zgodnie z art. 92 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych w zakresie nieuregulowanym rozporządzeniem RODO, do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, stosuje się przepisy ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny.

10.2. Administracyjna kara pieniężna.

Prezes Urzędu Ochrony danych może nałożyć na podmiot obowiązany do przestrzegania przepisów rozporządzenia RODO, a więc również na spółdzielnię mieszkaniową w drodze decyzji, administracyjną karę pieniężną na podstawie i na warunkach określonych w art. 83 rozporządzenia RODO.

Ogólne warunki nakładania administracyjnych kar pieniężnych w świetle art. 83 rozporządzenia RODO przedstawiają się następująco: Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na: a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody; b) umyślny lub nieumyślny charakter naruszenia; c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą; d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32; e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego; f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków; g) kategorie danych osobowych, których dotyczyło naruszenie; h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie; i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków; j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie. Naruszenia przepisów dotyczących następujących kwestii podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa: a) obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43; b) obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 43; c) obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. Naruszenia przepisów dotyczących następujących kwestii podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa: a) podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9; b) praw osób, których dane dotyczą, o których mowa w art. 12-22; c) przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44–49; d) wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX; e) nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1. Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Bez uszczerbku dla uprawnień naprawczych organu nadzorczego, o których mowa w ust. 58 ust. 2, każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim.

10.3. Odpowiedzialność karna.

Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych w art. 107 i 108 wprowadza także odpowiedzialność karną wobec tego: Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

DEFINICJE

 

Pojęcia użyte w niniejszym Kodeksie mają następujące znaczenie:

administrator - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

dane dotyczące zdrowia - oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

inspektor ochrony danych – osoba wyznaczona do pełnienia tej funkcji na podstawie przepisów art. 37 – 39 Rozporządzenia RODO;

naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

obszar przetwarzania danych osobowych – oznacza pomieszczenia lub części pomieszczeń zajmowane przez spółdzielnię mieszkaniową, w których są Przetwarzane dane osobowe, zarówno w formie papierowej, jak i w systemie informatycznym. Za Obszar przetwarzania danych uważa się również pomieszczenia podmiotów, z którymi spółdzielnia mieszkaniowa zawarła umowy powierzenia Przetwarzania danych osobowych;

odbiorca – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

ograniczenie przetwarzania – oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

organ nadzoru – Prezes Urzędu Ochrony Danych Osobowych;

pracownik – oznacza osobę zatrudnioną w spółdzielni mieszkaniowej na podstawie umowy o pracę lub osobę współpracującą ze spółdzielnią mieszkaniową na podstawie umowy cywilnoprawnej, z którą spółdzielnia mieszkaniowa nie zawarła umowy powierzenia przetwarzania danych (podmiot przetwarzający);

profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

strona trzecia – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

zbiór danych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

zgoda osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

 

A. ZASADY DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH, PODSTAWY PRAWNE PRZETWARZANIA DANYCH I WARUNKI POZYSKIWANIA ZGODY

 

I. ZASADY DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

1. Zasada zgodności z prawem, rzetelności i przejrzystości

 

Spółdzielnie mieszkaniowe zapewniają realizację zasady o której mowa w art. 5 ust. 1 lit a) Rozporządzenia RODO, dotyczącej przetwarzania danych zgodnie z prawem, rzetelnie i w sposób przejrzysty, poprzez zapewnienie podstaw prawnych przetwarzania oraz realizację praw osób fizycznych obejmujących w szczególności informowanie osób fizycznych o przetwarzaniu ich danych zgodnie z wymogami Rozporządzenia RODO. W tym celu spółdzielnie mieszkaniowe w oparciu o swoje wewnętrzne procesy zapewniają realizację tych zasad.

 

2. Zasada ograniczenia celu przetwarzania

 

Spółdzielnie mieszkaniowe zapewniają realizację zasady zbierania danych wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzanie ich dalej w sposób niezgodny z tymi celami, tj. zasady, o której mowa w art. 5 ust. 1 lit b) Rozporządzenia RODO. W tym celu spółdzielnie mieszkaniowe w ramach swoich wewnętrznych procesów zapewniają realizację tych zasad, zapewniając w szczególności odpowiedni nadzór w tym zakresie, uwzględniając role i zadania inspektora ochrony danych jeżeli został wyznaczony.

 

3. Zasada minimalizacji danych

Spółdzielnie mieszkaniowe zapewniają realizację zasady minimalizacji danych, o której mowa w art. 5 ust. 1 lit c) Rozporządzenia RODO, poprzez przetwarzanie danych adekwatnych, stosownych oraz ograniczonych do celów przetwarzania. W tym celu spółdzielnie mieszkaniowe realizują wewnętrzne procesy zapewniające realizację tej zasady, w tym w szczególności zapewniają, że wymagania w zakresie minimalizacji danych uwzględniane są w procesach tworzenia nowych i modyfikacji już istniejących procesów i systemów w ramach dokonywania identyfikacji zagrożeń związanych z ryzykiem operacyjnym.

 

4. Zasada prawidłowości

Spółdzielnie mieszkaniowe zapewniają realizację zasady, o której mowa w art. 5 ust. 1 lit. d) Rozporządzenia RODO, zgodnie z którą dane powinny być prawidłowe i w razie potrzeby uaktualniane. Spółdzielnie mieszkaniowe będą podejmować wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. W tym celu spółdzielnie mieszkaniowe w ramach swoich wewnętrznych procedur zapewniają realizację tej zasady, w tym w szczególności zasady zarządzania danymi wykorzystywanymi w ramach prowadzonej działalności, obejmujące w szczególności zarządzanie architekturą oraz jakością danych, uwzględniających okresowe dokonywanie oceny jakości danych, dokonywanie czyszczenia danych, identyfikację przyczyn błędów występujących w danych i bieżące monitorowanie jakości danych.

 

5. Zasada ograniczenia przechowywania

Spółdzielnie mieszkaniowe zapewniają realizację zasady, o której mowa w art. 5 ust. 1 lit. e) Rozporządzenia RODO, zgodnie z którą dane powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. W tym celu spółdzielnie mieszkaniowe w ramach swoich wewnętrznych procesów zapewniają realizację tej zasady oraz zapewniają, aby efektywność i poprawność działania mechanizmów kontrolnych w tym zakresie w szczególności uwzględniała role i zadania inspektora ochrony danych jeżeli został wyznaczony.

 

6. Zasada integralności i poufności

 

Spółdzielnie mieszkaniowe zapewniają integralność i poufność danych określoną w art. 5 ust. 1 lit. f) Rozporządzenia RODO poprzez odpowiednie zapewnienie bezpieczeństwa danych osobowych, w tym zapewnienie ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem za pomocą odpowiednich środków technicznych i organizacyjnych.

7. Zasada rozliczalności

Spółdzielnie mieszkaniowe zapewniają realizację zasady rozliczalności, o której mowa w art. 5 ust. 2 Rozporządzenia RODO, poprzez wdrożenie odpowiednich procedur i zasad, pozwalających spółdzielniom mieszkaniowym na wykazanie przestrzegania przepisów Rozporządzenia RODO, ze szczególnym uwzględnieniem udziału w tych działaniach inspektora ochrony danych jeżeli został wyznaczony.

 

II. PODSTAWY PRAWNE PRZETWARZANIA DANYCH

 

Spółdzielnia mieszkaniowa przetwarza dane osobowe, jeśli spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na spółdzielni mieszkaniowej;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej spółdzielni mieszkaniowej;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez spółdzielnię mieszkaniową lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

 

III. WARUNKI POZYSKIWANIA ZGODY

1. Przez zgodę osoby, której dane dotyczą, należy rozumieć dobrowolne, konkretne, świadome ijednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

 

2. Jeśli zgoda osoby ma stanowić wyłączną podstawę prawną przetwarzania danych w określonym celu lub celach, wyrażenie zgody przez osobę powinno nastąpić przed faktycznym rozpoczęciem przetwarzania przez spółdzielnię mieszkaniową w tym celu/celach.

 

3. Zapytanie o zgodę musi być wyrażone w zrozumiałej, łatwo dostępnej formie, jasnym i prostym językiem, adodatkowo w przypadku zapytań elektronicznych – w zwięzłej formie i nie może niepotrzebnie zakłócać korzystania zusługi, której dotyczy.

 

4. Zgoda w formie oświadczenia woli powinna być wyrażona w zrozumiałej i łatwo dostępnej formie oraz sformułowana jasnym i prostym językiem, a także stanowić odrębną deklarację. Dopuszcza się włączenie klauzuli zgody do umowy lub wniosku o zawarcie umowy, z zastrzeżeniem umożliwienia osobie złożenia odrębnego podpisu lub zaznaczenia okienek wyboru na umowie. Oświadczenie woli może być wyrażone w dowolnej formie (ustnej, dokumentowej, pisemnej lub elektronicznej), w tym m.in. poprzez zaznaczenie okienek wyboru na formularzu lub w systemie informatycznym, przy których wskazane są klauzule zgód, złożenie przez osobę podpisu na dokumencie tradycyjnym pod oświadczeniem woli, złożeniem podpisu elektronicznego na dokumencie elektronicznym zoświadczeniem woli, oświadczenie o wyrażeniu zgody przesłane drogą elektroniczną, np. e-mailem.

 

5. Do wyraźnych działań wskazujących na wyrażenie zgody przez osobę fizyczną zaliczyć można w szczególności wybór przez osobę fizyczną ustawień technicznych systemu informatycznego, przekazanie przez osobę fizyczną ustnie, pisemnie lub za pomocą elektronicznych środków komunikacji stosowanych przez spółdzielnię mieszkaniową swoich danych osobowych.

 

6. Za wyrażenie zgody nie uznaje się m.in. milczenia osoby, braku sprzeciwu, niepodjęcia przez nią działań oraz zaznaczenia domyślnie okienek wyboru w systemie informatycznym.

 

7. Spółdzielnia mieszkaniowa powinna umożliwić osobie, która wyraziła zgodę, wycofanie tej zgody w dowolnym momencie oraz wsposób równie łatwy, jak jej wyrażenie. Nie oznacza to jednak, że wycofanie zgody musi nastąpić dokładnie w taki sam sposób jak jej wyrażenie. Odwołanie zgody może nastąpić m.in. poprzez ustne lub pisemne lub elektroniczne oświadczenie woli osoby, która zgodę wyraziła, wybór ustawień technicznych systemu informatycznego lub zaznaczenie albo odznaczenie odpowiednich okienek wyboru na formularzu lub w systemie informatycznym.

 

8. Spółdzielnia mieszkaniowa zbierając zgodę od osoby lub oświadczenie o wycofaniu zgody, powinien upewnić się, że osoba wyrażająca/wycofująca zgodę jest wrzeczywistości osobą, której dane dotyczą.

 

9. Spółdzielnia mieszkaniowa zapewnia rozliczalność w zakresie przetwarzania danych na podstawie zgody, w szczególności zebranie oświadczeń zgód, jak również zatwierdzone procedury wewnętrzne spółdzielni mieszkaniowej.

 

B. PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ

I. ZASADY OGÓLNE

 

1. Spółdzielnie mieszkaniowe realizują prawa osób, których dane dotyczą, w tym:

a) prawo do informacji (obowiązek informacyjny);

b) prawo dostępu do danych lub otrzymania kopii danych;

c) prawo do sprostowania danych;

d) prawo do usunięcia danych;

e) prawo do ograniczenia przetwarzania;

f) prawo do przenoszenia danych;

g) prawo do sprzeciwu.

 

2. Osoba fizyczna jest uprawniona do zgłoszenia żądania, o którym mowa w ust. 1 powyżej w formie pisemnej lub elektronicznej na formularzu udostępnionym przez spółdzielnię mieszkaniową. Nie wyłącza to uprawnienia osoby fizycznej do złożenia żądania w innej akceptowalnej i możliwej do udokumentowania przez spółdzielnię mieszkaniową formie. W każdym przypadku żądanie osoby fizycznej powinno wskazywać, jakich danych osobowych i czynności dotyczy. W przypadku, gdy żądanie osoby fizycznej jest nieprecyzyjne, w tym nie zawiera wskazania zakresu danych osobowych i czynności, jaka objęta jest wnioskiem, spółdzielnia mieszkaniowa powinna zwrócić się do osoby fizycznej o przekazanie takich informacji. W przypadku braku sprecyzowania przez osobę fizyczną jakich danych i jakich czynności żądanie dotyczy, spółdzielnia mieszkaniowa jest uprawniona do wstrzymania realizacji żądania do momentu uzyskania wystarczających informacji od osoby fizycznej. Spółdzielnia mieszkaniowa realizuje żądanie osoby fizycznej zgodnie ze swoimi wewnętrznymi procedurami.

 

3. Realizacja praw osoby, której dane dotyczą, przez spółdzielnię mieszkaniową następuje w rozsądnym terminie uwzględniającym koszty, stopień trudności realizacji żądania oraz w oparciu o wewnętrzne procesy spółdzielni mieszkaniowej zapewniające realizację tych zasad.

 

4. W zakresie realizacji praw osoby, której dane dotyczą, komunikacja z tą osobą powinna odbywać się w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, oraz zgodnie z poniższym:

a) bez zbędnej zwłoki, najpóźniej w terminie miesiąca od otrzymania żądania osoby, której dane dotyczą, spółdzielnia mieszkaniowa uwzględnia żądanie, odmawia uwzględnienia żądania lub udziela informacji, dlaczego rozpatrzenie żądania musi być przedłużone;

b) w przypadku konieczności wydłużenia terminu realizacji żądania osoby, której dane dotyczą, najpóźniej w terminie miesiąca od otrzymania żądania spółdzielnia mieszkaniowa udziela informacji o przedłużeniu terminu rozpatrzenia żądania oraz podaje przyczyny opóźnienia. Wydłużenie terminu może nastąpić z uwagi na skomplikowany charakter żądań lub liczbę żądań, lecz nie więcej niż odwa miesiące;

c) w przypadku nieuwzględnienia żądania osoby, której dane dotyczą, najpóźniej w ciągu miesiąca od otrzymania żądania osoby, której dane dotyczą, spółdzielnia mieszkaniowa udziela informacji oodmowie podjęcia działań w związku z żądaniem osoby, powodach niepodjęcia działań wraz ze wskazaniem podstawy prawnej nieuwzględnienia żądania, możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem oraz o ustaniu podstawy do ograniczenia przetwarzania danych osobowych.

 

5. Spółdzielnia mieszkaniowa komunikuje się z osobą fizyczną w języku polskim.

 

6. Informacje mogą zostać udzielone m.in. wsposób pisemny (w formie tradycyjnej lub elektronicznej) lub ustnie, po potwierdzeniu innymi sposobami tożsamości osoby, której dane dotyczą. Jeśli żądanie osoby nastąpiło drogą elektroniczną, w miarę możliwości odpowiedź powinna być przekazana elektronicznie chyba, że osoba zażąda innej formy odpowiedzi. Informacje przekazywane drogą elektroniczną powinny być przekazywane zzastosowaniem zasad bezpieczeństwa.

 

7. Komunikacja z osobą, której dane dotyczą, oraz podejmowanie działań na żądanie tej osoby, są wolne od opłat, z zastrzeżeniem postanowień ust. 10. W przypadku ewidentnie nieuzasadnionych lub nadmiernych żądań osoby, której dane dotyczą, wszczególności ze względu na swój ustawiczny charakter, spółdzielnia mieszkaniowa może pobrać opłatę w wysokości uwzględniającej koszty sporządzenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań albo odmówić podjęcia działań w związku zżądaniem tej osoby. O wysokości opłat spółdzielnia mieszkaniowa informuje osobę, której dane dotyczą.

 

8. Spółdzielnia mieszkaniowa będzie uprawniona do pobrania opłaty, o której mowa w ust. 9 w sytuacji, gdy żądanie:

a) zostało zgłoszone przed upływem 3 miesięcy od dnia zgłoszenia przez osobę, której dane dotyczą, żądania tego samego rodzaju, przy czym ograniczenie to nie dotyczy prawa do sprostowania danych, prawa do ograniczenia przetwarzania danych ani prawa do sprzeciwu;

b) dotyczy informacji dzielonych na kilka lub kilkanaście żądań;

c) dotyczy wniosku o szczególny nośnik lub format odpowiedzi, jeżeli nie odpowiada on standardowemu formatowi przyjętemu przez spółdzielnię mieszkaniową;

d) dotyczy wniosku o udzielenie odpowiedzi w języku innym niż język, który w komunikacji z osobą fizyczną składającą wniosek jest standardowo używany spółdzielnię mieszkaniową;

e) dotyczy wniosku, którego realizacja wymaga znacznego zaangażowania zasobów ludzkich lub środków niezbędnych do prawidłowego wykonania wniosku w stopniu zakłócającym normalną działalność spółdzielni mieszkaniowej;

f) ma zostać zrealizowane w szczególnym trybie jak np. odpowiedź przesłana kurierem;

g) składane jest ponownie przed upływem 3 miesięcy po tym, jak uprzednie takie samo żądanie zostało wycofane.

 

9. Opłata, o której mowa w ust. 9 powyżej będzie uwzględniać administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań, w tym w szczególności koszty kuriera, tłumacza, zakupu i dostosowania nośnika, wykonania nagrania dźwiękowego, przełożenia odpowiedzi na język braille’a.

 

10. W przypadku, gdy zgodnie z ust. 9 powyżej, spółdzielnia mieszkaniowa będzie uprawniona do naliczenia opłaty za realizację wniosku osoby fizycznej, spółdzielnia mieszkaniowa rozpocznie realizację wniosku po wpłynięciu na konto spółdzielni mieszkaniowej opłaty, o której mowa w ust. 9 powyżej.

 

11. Spółdzielnia mieszkaniowa będzie uprawniona do odmowy podjęcia działań w związku z żądaniem osoby fizycznej w sytuacji, gdy:

a) żądanie ma zostać zrealizowane w formacie lub na nośniku nieznanym lub niestosowanym przez spółdzielnię mieszkaniową;

b) wniosek jest niejasny i osoba fizyczna składająca wniosek, mimo prośby spółdzielni mieszkaniowej, nie wyjaśniła niejasności związanych z wnioskiem;

c) tożsamość wnioskodawcy jest nieustalona i mimo udokumentowanych prób spółdzielni mieszkaniowej, nie udało się potwierdzić tożsamości wnioskującego;

d) osoba fizyczna nie uiściła opłaty, o której mowa w ust. 9 powyżej;

e) realizacja żądania mogłaby spowodować ujawnienie tajemnicy przedsiębiorstwa spółdzielni mieszkaniowej lub innej tajemnicy prawnie chronionej;

f) po weryfikacji wewnętrznej możliwości technicznej realizacji wniosku, spółdzielnia mieszkaniowa ustali, że jego realizacja powodowałaby nałożenie na osobę fizyczną nieracjonalnie wysokich kosztów.

 

12. Jeśli spółdzielnia mieszkaniowa ma wątpliwości co do tożsamości osoby składającej żądanie, może poprosić tę osobę ododatkowe informacje niezbędne do potwierdzenia jej tożsamości. W przypadku niedostarczenia przez osobę składającą żądanie informacji pozwalających na identyfikację, spółdzielnia mieszkaniowa pozostawia wniosek bez rozpoznania, pod warunkiem poinformowania osoby składającej żądanie. Jeśli spółdzielnia mieszkaniowa przetwarza dane osobowe niepozwalające mu na identyfikację osoby, której dane dotyczą, nie ma ona obowiązku pozyskania dodatkowych informacji w tym celu z innych źródeł.

 

13. Czas na realizację żądania, o którym mowa w ust. 3 powyżej, biegnie ponownie od dnia ustalenia tożsamości osoby fizycznej, wniesienia opłaty lub złożenia przez osobę fizyczną wyjaśnień lub uzupełnienia żądania.

 

II. OBOWIĄZEK INFORMACYJNY

 

1. W przypadku zbierania danych osobowych, jak również w przypadku zmiany celów przetwarzania danych osobowych w stosunku do celu, dla których dane osobowe zostały zebrane, spółdzielnia mieszkaniowa dopełnia obowiązku informacyjnego. Zakres informacji przekazywanych przez spółdzielnię mieszkaniową osobie fizycznej zawarty został w Załączniku nr 1 do Kodeksu – check - liśce zgodności działalności spółdzielni mieszkaniowej z Rozporządzeniem RODO.

 

2. W przypadku zbierania danych osobowych bezpośrednio od osoby, której dane dotyczą, informacja jest przekazywana podczas pozyskiwania danych, natomiast w przypadku zbierania danych osobowych nie od osoby, której dane dotyczą:

a) w rozsądnym terminie, nie później jednak niż w ciągu miesiąca od pozyskania danych;

b) najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą;

c) najpóźniej przy pierwszym ujawnieniu danych, jeżeli spółdzielnia mieszkaniowa planuje ujawnić dane osobowe innemu odbiorcy danych.

 

3. Informacje, o których mowa w ust. 1, mogą być przekazywane m.in. jako klauzule informacyjne zawarte w dokumentach przeznaczonych dla osoby, której dane dotyczą, klauzule informacyjne wsystemie informatycznym, ustna informacja przekazana przez pracownika spółdzielni mieszkaniowej, po potwierdzeniu tożsamości osoby, której dane dotyczą, czy też informacja przekazana drogą elektroniczną zzastosowaniem zasad bezpieczeństwa. Informacje mogą być opatrzone standardowymi znakami graficznymi.

 

4. Odstępstwa od wypełnienia obowiązku informacyjnego w stosunku do osoby, której dane dotyczą, są możliwe, jeśli m.in.:

a) osoba fizyczna posiada stosowne informacje;

b) udzielenie informacji osobie, której dane zostały zebrane nie bezpośrednio od niej, jest niemożliwe lub wymagałoby niewspółmiernego dużego wysiłku albo wymagałoby pozyskiwania informacji dodatkowych z innych źródeł zewnętrznych. Do takich sytuacji zaliczyć należy m.in. przetwarzanie danych członków zarządu i reprezentantów zawartych w wyciągach z Krajowego Rejestru Sądowego. W sytuacji nie udzielenia osobie informacji ze względu na powyższe, spółdzielnia mieszkaniowa podejmuje odpowiednie środki organizacyjne itechniczne w celu ochrony praw iwolności oraz prawnie uzasadnionych interesów osoby, której dane dotyczą, wtym udostępnia informacje publicznie, np. poprzez opublikowanie stosownego komunikatu na stronie internetowej spółdzielni mieszkaniowej lub wywieszenie informacji w punktach obsługi mieszkańców;

c) pozyskanie lub ujawnienie danych osoby, której dane są zebrane nie bezpośrednio od niej, uregulowane jest w przepisach prawa przewidujących ochronę prawnie uzasadnionych interesów osoby, której dane dotyczą;

d) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnic ustawowo chronionych.

 

5. Spółdzielnia mieszkaniowa zapewnia rozliczalność w zakresie realizacji lub braku realizacji obowiązków informacyjnych w szczególności poprzez zbieranie dokumentów przekazywanych osobom zawierające klauzule informacyjne, kopie listów lub wiadomości wysyłanych drogą elektroniczną do osoby fizycznej zawierających klauzule informacyjne, analizy oraz procedury wewnętrzne spółdzielni mieszkaniowej.

 

III. PRAWO DOSTĘPU DO DANYCH OSOBY, KTÓREJ DANE DOTYCZĄ

1. Osoba, której dane dotyczą jest uprawniona do uzyskania od spółdzielni mieszkaniowej potwierdzenia, czy spółdzielnia mieszkaniowa przetwarza jego dane osobowe, a jeżeli ma to miejsce, osoba ta jest uprawniona do uzyskania dostępu do danych oraz następujących informacji o:

a) celu przetwarzania, który powinien być konkretny, wyraźnie określony iprawnie uzasadniony;

b) kategorii odnośnych danych osobowych;

c) odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub mogą zostać ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

d) w miarę możliwości planowany okres przetwarzania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu, przy założeniu, iż zapewnione zostanie ograniczenie okresu przechowywania danych do ścisłego minimum;

e) informacje o prawie do żądania od spółdzielni mieszkaniowej sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

f) informacje o prawie wniesienia skargi do organu nadzorczego, jeżeli osoba fizyczna uważa, żeprzetwarzanie jej danych osobowych narusza jej prawa;

g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, októrym mowa wart. 22 ust. 1 i 4 Rozporządzenia RODO, oraz – przynajmniej w tych przypadkach – istotne informacje ozasadach ich podejmowania, a także o znaczeniu iprzewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

 

2. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana przez spółdzielnię mieszkaniową oodpowiednich zabezpieczeniach, o których mowa w art. 46 Rozporządzenia RODO, związanych zprzekazaniem, w tym w szczególności o fakcie zatwierdzenia przez organ nadzorczy niniejszego kodeksu postępowania.

 

3. Spółdzielnia mieszkaniowa może udostępnić osobom fizycznym kanał, w którym osoba fizyczna będzie mogła samodzielnie pobrać dane w przypadku żądania osoby fizycznej dostępu do danych. W przypadku złożenia przez osobę fizyczną wniosku o uzyskanie dostępu do danych lub ich otrzymania, spółdzielnia mieszkaniowa jest uprawniona w pierwszej kolejności do skierowania osoby fizycznej do skorzystania z takiego kanału.

 

4. Spółdzielnia mieszkaniowa dostarcza osobie fizycznej kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba fizyczna, spółdzielnia mieszkaniowa może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów ich sporządzenia przez spółdzielnię mieszkaniową.

 

5. Jeżeli osoba, której dane dotyczą zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacja może zostać udzielona powszechnie stosowaną drogą elektroniczną.

 

6. Spełnienie obowiązku informacyjnego może nastąpić również przez wskazanie kategorii odbiorców.

IV. PRAWO DO SPROSTOWANIA DANYCH

 

1. Osoba, której dane dotyczą, ma prawo żądania od spółdzielni mieszkaniowej niezwłocznego sprostowania dotyczących go danych osobowych, które są nieprawidłowe.

 

2. Osoba fizyczna ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

V. PRAWO DO USUNIĘCIA DANYCH (PRAWO DO BYCIA ZAPOMNIANYM)

 

1. W przypadku, gdy osoba, której dane dotyczą, chce zrealizować wobec spółdzielni mieszkaniowej uprawnienie do żądania usunięcia danych osobowych jej dotyczących, żądanie takie powinno być wyrażone w formie wyraźnego oświadczenia wskazującego przedmiotowy zakres żądania.

2. Spółdzielnia mieszkaniowa ustali okresy przechowywania danych, uwzględniając okres nie dłuższy, niż jest to niezbędne dla celów, w których dane są przetwarzane oraz okres dla przechowywania danych w celach archiwalnych lub statystycznych. Ustalenie to może mieć charakter opisowy, wskazujący na kryteria ustalania tego okresu.

 

3. Spółdzielnia mieszkaniowa może przechowywać dane do celów wskazanych w Części D ust. 2 Kodeksu.

 

4. Spółdzielnia mieszkaniowa może nie uwzględnić żądania usunięcia danych wynikającego z cofnięcia zgody przez osobę, której dane dotyczą na przetwarzanie jej danych, w przypadku gdy zgoda osoby, której dane dotyczą nie była jedyną przesłanką przetwarzania jej danych przez spółdzielnię mieszkaniową, w szczególności, gdy celem przetwarzania danych osoby fizycznej jest nadal realizacja umowy wiążącej osobę, której dane dotyczą i spółdzielnię mieszkaniową albo gdy przetwarzanie danych osoby, której dane dotyczą jest niezbędne do wypełnienia obowiązku prawnego ciążącego na spółdzielni mieszkaniowej.

 

5. Spółdzielnia mieszkaniowa ma obowiązek uwzględnienia sprzeciwu osoby, której dane dotyczą, wobec przetwarzania jej danych przez spółdzielnię mieszkaniową wniesionego zgodnie z art. 21 ust. 1 Rozporządzenia RODO, gdy w ocenie spółdzielni mieszkaniowej nie występują prawnie uzasadnione podstawy przetwarzania nadrzędne wobec prawa do sprzeciwu i interesów wnioskodawcy.

 

6. Przetwarzanie przez spółdzielnię mieszkaniową danych osobowych osoby, której dane dotyczą, pomimo jej żądania usunięcia danych, jest zgodne z prawem, jeżeli jest niezbędne w szczególności do wywiązania się przez spółdzielnię mieszkaniową z obowiązku prawnego, do wykonania przez spółdzielnię mieszkaniową zadania realizowanego w interesie publicznym, do celów statystycznych lub do ustalenia, dochodzenia lub obrony roszczeń.

 

7. Po usunięciu danych zgodnie z żądaniem osoby, której dane dotyczą, spółdzielnia mieszkaniowa jest uprawniona do zachowania informacji o tym, czyj i jaki wniosek wykonała (w tym celu spółdzielnia mieszkaniowa może przetwarzać w szczególności imię i nazwisko, PESEL, adres wnioskującego, adres poczty elektronicznej, numer telefonu oraz informację o zakresie usuniętych danych i terminie ich usunięcia). Spółdzielnia mieszkaniowa do określania katalogu danych niezbędnych do zachowania po ich usunięciu, stosuje zasady minimalizmu danych i ochrony prywatności osoby fizycznej.

 

8. W związku z tym, że spółdzielnie mieszkaniowe nie upubliczniają danych osobowych osób fizycznych, nie stosuje się do nich art. 17 ust. 2 Rozporządzenia RODO.

VI. PRAWO DO OGRANICZENIA PRZETWARZANIA DANYCH OSOBOWYCH

 

1. Żądanie ograniczenia przetwarzania danych powinno być złożone w formie wyraźnego oświadczenia osoby fizycznej wskazującego przedmiotowy zakres swojego żądania.

 

2. Ograniczenie przetwarzania danych spółdzielnia mieszkaniowa może realizować w szczególności poprzez oznaczenie w systemie przechowywanych danych osobowych wcelu ograniczenia ich przyszłego przetwarzania.

 

3. Spółdzielnia mieszkaniowa może dodatkowo, w celu ograniczenia przetwarzania danych osobowych, w szczególności:

a) czasowo przenieść wybrane dane osobowe do innego systemu przetwarzania,

b) uniemożliwić użytkownikom dostęp do wybranych danych,

c) czasowo usunąć ze strony internetowej opublikowane dane,

d) ograniczyć środkami technicznymi przetwarzanie w zautomatyzowanych zbiorach danych w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane.

 

4. Spółdzielnia mieszkaniowa dokłada należytej staranności w celu wykonania ciążących na niej obowiązków związanych z ograniczeniem przetwarzania danych osobowych osoby, której dane dotyczą, a w szczególności dokonuje niezwłocznej weryfikacji prawidłowości przetwarzania danych w przypadku, złożenia żądania, o którym mowa w ust. 1.

 

5. Spółdzielnia mieszkaniowa może przechowywać dane osobowe, co do których zostało zgłoszone żądanie ograniczenia przetwarzania.

 

6. Realizacja żądania ograniczenia przetwarzania danych nie powoduje zaprzestania przez spółdzielnię mieszkaniową przetwarzania, które jest niezbędne do wykonania przez spółdzielnię mieszkaniową obowiązków wynikających z przepisów prawa, zaleceń lub rekomendacji organu nadzorczego oraz innych organów nadzorujących spółdzielnię mieszkaniową.

 

VII. OBOWIĄZEK POWIADOMIENIA O SPROSTOWANIU LUB USUNIĘCIU DANYCH OSOBOWYCH LUB O OGRANICZENIU PRZETWARZANIA

 

1. Spółdzielnia mieszkaniowa poinformuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawnił dane osobowe osoby fizycznej.

 

2. Obowiązek o którym mowa w ust. 1 jest wyłączony, gdy zawiadomienie okaże się niemożliwe lub wymagać będzie niewspółmiernie dużego wysiłku, w szczególności gdy:

a) zmiana, sprostowanie, ograniczenie lub usunięcie nie jest widoczne dla odbiorcy, w tym podmiotów przetwarzających, lecz wymaga ustanowienia odrębnego kanału komunikacji;

b) odbiorca dalej nie funkcjonuje, został zlikwidowany lub wykreślony z rejestru (zakończył działalność);

c) z okoliczności wynika, że dane nie będą dalej przetwarzane.

 

3. Spółdzielnia mieszkaniowa na żądanie osoby, której dane dotyczą, przekazuje informacje o odbiorcach, którym przekazano jego dane.

 

4. Jeśli obowiązek, o którym mowa w ust. 3, okaże się niewykonalny lub wymaga niewspółmiernie dużego wysiłku, spółdzielnia mieszkaniowa powinna udokumentować podjęcie racjonalnych działań, z uwzględnieniem dostępnych jej technologii i dostępnych jej środków, w tym technicznych, w celu wypełnienia tego obowiązku.

 

VIII. PRAWO DO PRZENOSZENIA DANYCH

VIII.a Zasady ogólne

1. polega jego szczególna sytuacja.

2. Spółdzielnie mieszkaniowe uwzględniają sprzeciw bądź odmawiają jego uwzględnienia, po dokonaniu analizy, czy szczególna sytuacja osoby, której dane dotyczą, ma charakter nadrzędny wobec prawnie uzasadnionych podstaw do przetwarzania dokonywanego przez spółdzielnię mieszkaniową. Na czas dokonania analizy, spółdzielnie mieszkaniowe, na wyraźne żądanie osoby, której dane dotyczą, stosują ograniczenie przetwarzania na podstawie art. 18 ust. 1 Rozporządzenia RODO.

3. Odmawiając uwzględnienia sprzeciwu, spółdzielnia mieszkaniowa w przystępny sposób wyjaśnia osobie, której dane dotyczą przyczyny, dla których uważa, że interesy, prawa i wolności tej osoby, nie mają charakteru nadrzędnego.

4. Po dokonaniu analizy szczególnej sytuacji tej osoby, spółdzielnie mieszkaniowe w zakresie dotyczącym osób fizycznych odmawiają uwzględnienia sprzeciwu, w przypadku gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym, w jasny i przystępny sposób wyjaśniając przyczyny odmowy.

5. W ramach realizacji prawa do sprzeciwu, spółdzielnie mieszkaniowe w zakresie dotyczącym osób fizycznych umożliwiają złożenie sprzeciwu drogą elektroniczną lub w formie papierowej, przy zachowaniu procedur bezpieczeństwa i identyfikacji osoby składającej żądanie. Za złożenie sprzeciwu spółdzielnie mieszkaniowe nie pobierają opłat.

C. PRZECHOWYWANIE I USUWANIE DANYCH OSOBOWYCH

1. Dane osobowe osób fizycznych nie mogą być przechowywane w formie umożliwiającej ich identyfikację przez okres dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

2. Po osiągnięciu zamierzonych (pierwotnych) celów przetwarzania, o których mowa w ust. 1, daOsobie fizycznej przysługuje prawo do otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych go dotyczących oraz prawo do żądania przesłania tych danych innemu Administratorowi („prawo do przenoszenia danych”) na zasadach określonych w niniejszym Kodeksie.

2. Osobie fizycznej przysługuje prawo do żądania przenoszenia danych jej dotyczących, które dostarczyła spółdzielni mieszkaniowej, jeżeli dane te są przetwarzane przez spółdzielnię mieszkaniową na podstawie zgody osoby fizycznej lub na podstawie umowy, której osoba fizyczna jest stroną.

3. Dane podlegające przenoszeniu to dane przetwarzane przez spółdzielnię mieszkaniową w sposób zautomatyzowany. Przenoszeniu nie podlegają dane znajdujące się w zbiorach papierowych.

4. Dane podlegające przenoszeniu to dane, które zostały przekazane spółdzielni mieszkaniowej przez osobę fizyczną świadomie i aktywnie oraz dane wygenerowane przez działanie osoby fizycznej.

5. Dane niepodlegające przenoszeniu to dane wywnioskowane i/lub dane wywiedzione przez spółdzielnię mieszkaniową na podstawie danych przekazanych przez osobę fizyczną.

6. W przypadku, gdy spółdzielnia mieszkaniowa nie ma możliwości oddzielenia danych, o których przeniesienie wnosi wnioskodawca, od innych danych znajdujących się w systemach informatycznych spółdzielni mieszkaniowej, spółdzielnia mieszkaniowa może się powstrzymać z wykonaniem żądania osoby do czasu uzgodnienia z nią ostatecznego zakresu jej żądania i złożenia przez nią odpowiednich oświadczeń (zgód) niezbędnych do umożliwienia spółdzielni mieszkaniowej przekazania danych w innym zakresie niż pierwotnie wnioskowany.

7. Osoba fizyczna może złożyć wniosek w celu skorzystania z przysługującego mu prawa do przenoszenia danych osobiście lub przez osobę upoważnioną przez niego na zasadach wskazanych w Rozdziale I Części C niniejszego Kodeksu. We wniosku osoba fizyczna obowiązana jest wskazać, jakie konkretnie dane osobowe objęte są żądaniem przeniesienia.

VIII.b Prawo do otrzymywania danych

1. Spółdzielnia mieszkaniowa zapewni możliwość złożenia przez osobę fizyczną wniosku w formie papierowej lub elektronicznej w celu otrzymania informacji.

2. Spółdzielnie mieszkaniowe przyjmą rozwiązania mające na celu udzielenie osobie fizycznej informacji w celu umożliwienia osobie fizycznej podjęcia kroków na rzecz ochrony informacji, które otrzymała. Spółdzielnia mieszkaniowa może również, w ramach dobrej praktyki, zalecić odpowiednie środki ochrony w osiągnięciu tego celu.

VIII. c Prawo do żądania do przesłania danych innemu administratorowi

1. Na wniosek osoby fizycznej, spółdzielnia mieszkaniowa będzie przesyłała bezpośrednio innemu podmiotowi pełniącemu rolę Administratora dane osobowe wskazane we wniosku osoby fizycznej. W przypadku wniosku o przesłanie danych do Administratora spoza sektora spółdzielni mieszkaniowych, należy korzystać z możliwości bezpośredniego przekazywania danych osobie fizycznej, o ile spółdzielni mieszkaniowej nie uda się ustalić, czy istnieje możliwość bezpośredniego przeniesienia tych danych do drugiego Administratora.

2. Składając wniosek o przeniesienie danych osoba fizyczna złoży oświadczenie o wyrażeniu zgody na przeniesienie danych do innego Administratora. W przypadku braku złożenia takiego oświadczenia, spółdzielnia mieszkaniowa przekaże dane bezpośrednio osobie fizycznej lub powstrzyma się z wykonaniem takiego żądania do czasu otrzymania odpowiedniego oświadczenia.

3. Przenoszenie danych nie nakłada na spółdzielnię mieszkaniową obowiązku zatrzymywania danych osobowych dłużej niż to konieczne, czy też dłużej niż przez określony okres przechowywania.

4. Dane mogą być przenoszone, o ile jest to technicznie możliwe.

5. W zakresie, w jakim spółdzielnia mieszkaniowa realizuje wniosek osoby, której dane dotyczą, o przeniesienie danych, spółdzielnia mieszkaniowa nie jest zobowiązana do poinformowania osób trzecich, których dane mogą być zawarte w przenoszonych danych, o wykonaniu takiego żądania i jego treści.

6. Spółdzielnia mieszkaniowa przesyłająca dane podejmie należyte starania w celu zapewnienia aby dane osobowe zostały bezpiecznie przesłane (np. z zastosowaniem szyfrowania) do właściwego miejsca przeznaczenia.

IX. PRAWO SPRZECIWU

1. W przypadku wniesienia przez osobę fizyczną sprzeciwu, osoba fizyczna powinna wskazać, wobec jakiego konkretnego celu przetwarzania wnosi sprzeciw i wykazać, na czym

ne osobowe osób, których dane dotyczą, powinny zostać usunięte, chyba, że ich dalsze przechowywanie znajduje podstawę prawną.

 

3. Dalsze przetwarzanie danych osobowych jest dopuszczalne w przypadku ich przetwarzania dla prawnie uzasadnionego interesu, o którym mowa w Części B Rozdział II lit. f).

 

4. Usunięcie danych osobowych osób, których dane dotyczą następuje np. poprzez ich zniszczenie lub anonimizację.

 

D. PROFILOWANIE ORAZ ZAUTOMATYZOWANE PRZETWARZANIE DANYCH OSOBOWYCH OSÓB FIZYCZNYCH

1. Profilowanie jest metodą (sposobem) przetwarzania danych osobowych. Może być ono oparte o różne modele i algorytmy.

 

2. Profilowanie opiera się na odpowiednich matematycznych lub statystycznych procedurach profilowania, z zachowaniem środków technicznych i organizacyjnych zapewniających zmniejszenie ryzyka błędów w procedurach profilowania.

 

4. Do profilowania spółdzielnie mieszkaniowe wykorzystują dane osobowe osoby, której dane dotyczą i dane o jego zobowiązaniach w takim zakresie, w jakim przetwarzanie tych danych jest niezbędne iadekwatne do celu przetwarzania.

 

5. W przypadku, gdy osoba fizyczna złoży sprzeciw wobec profilowania na podstawie dotyczących go danych wówczas spółdzielnia mieszkaniowa zaprzestanie udostępniania tej funkcjonalności osobie fizycznej, adekwatnie do treści złożonego sprzeciwu.

 

E. POWIERZENIE PRZETWARZANIA - UMOWY Z DOSTAWCAMI

 

1. Spółdzielnie mieszkaniowe powierzając przetwarzanie danych osobowych korzystają z usług takich dostawców, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi Rozporządzenia RODO i chroniło prawa osób, których dotyczą. Administratorzy wybierając podmiot przetwarzający dane zwracają uwagę na standardy bezpieczeństwa przez niego stosowane lub też wyznaczają wymagany przez siebie standard (np. za pomocą audytów czy innych form sprawdzenia).

 

2. Powierzenie przetwarzania odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii Europejskiej lub prawu państwa członkowskiego, a zasady, na których podstawie następuje powierzenie wyczerpują wymagania zawarte w art. 28 Rozporządzenia RODO.

 

F. POWIADOMIENIA O NARUSZENIU OCHRONY DANYCH OSOBOWYCH

 

1. Naruszenie ochrony danych osobowych w spółdzielniach mieszkaniowych rozpatrywane jest jako zdarzenie występujące w ramach ryzyka operacyjnego, które należy rozumieć jako możliwość wystąpienia straty wynikającej z niedostosowania lub zawodności procesów wewnętrznych, ludzi i systemów lub ze zdarzeń zewnętrznych.

 

2. Naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych w ramach prowadzonej przez administratora danych działalności.

 

3. Za naruszenie ochrony danych osobowych podlegające obowiązkowi zgłoszenia:

a) organowi nadzorczemu - uznać należy sytuację, w której prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych zostało oszacowane przez spółdzielnię mieszkaniową na poziomie wyższym niż niski;

b) osobie, której dane dotyczą - uznać należy sytuację, w której spółdzielnia mieszkaniowa oszacowała ryzyko naruszenia praw i wolności tej osoby jako wysokie.

 

4. W szczególności do naruszenia mogą prowadzić następujące sytuacje:

a) utraty danych osobowych uniemożliwiającej wykonanie zobowiązania;

b) naruszenia integralności danych osobowych niosącego ryzyko błędnego wykonania zobowiązania;

c) utraty poufności danych osobowych;

a będące następstwem:

a) skompromitowania lub błędnego działania systemu informatycznego;

b) zdarzeń losowych/środowiskowych;

c) niepożądanych (sabotażowych/dezorganizacyjnych) działań osób, w tym osób trzecich (kradzież, zniszczenie, uniemożliwienie dostępu, modyfikacja, ujawnienie danych);

d) błędu ludzkiego, w tym w ramach niewłaściwego postępowania personelu w zakresie zabezpieczenia danych osobowych.

 

5. Z zastrzeżeniem dokonania oceny ryzyka naruszenia, za naruszenie ochrony danych osobowych podlegające zgłoszeniu do osoby, której dane dotyczą, może być uznany w szczególności: wyciek (tj. niekontrolowane ujawnienie) informacji z bazy danych (naruszeniem podlegającym zgłoszeniu nie będzie zatem wyciek pliku zawierającego same nazwy ulic wraz z numerami, same kody pocztowe bądź nazwy miast), wysłanie pocztą elektroniczną/tradycyjną dokumentów zawierających dane stanowiące tajemnicę prawnie chronioną do osoby nieupoważnionej, przechwycenie oraz wyciek danych/narzędzi służących do logowania i identyfikacji osób fizycznych w elektronicznego portalu spółdzielni mieszkaniowej, zagubienie/kradzież dokumentów z danymi osób fizycznych, zerwanie plomb założonych na pojemnikach służących do archiwizacji dokumentów, wygenerowanie i użycie błędnej bazy danych do wysyłki osobom fizycznym informacji chronionych, wysłanie maili do odkrytych odbiorców, informacja uzyskana w trybie dostępu do danych osobowych przez osobę nieuprawnioną.

 

6. Za naruszenie ochrony danych osobowych nie podlegające zgłoszeniu do organu nadzoru może być uznane w szczególności: wyciek (tj. niekontrolowane ujawnienie) informacji z bazy danych nie pozwalających na identyfikację konkretnej osoby, zagubienie nośnika danych z plikiem zaszyfrowanym, przy czym klucz używany do odszyfrowania tych danych nie został złamany w wyniku naruszenia.

 

7. Obowiązek notyfikacji powinien zostać wykonany bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Przez stwierdzenie naruszenia uznaje się moment, w którym spółdzielnia mieszkaniowa po niezwłocznym zakończeniu postępowania wyjaśniającego w ramach swoich wewnętrznych procedur uzna, że prawdopodobieństwo wystąpienia ryzyka naruszenia prawa i wolności osoby fizycznej zostało ocenione jako wyższe niż niskie. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności konieczności ustalenia przyczyn i skutków naruszenia oraz minimalizacji tych skutków, charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. W przypadku niedotrzymania powyższego terminu do zgłoszenia należy dołączyć wyjaśnienie przyczyny opóźnienia.

 

8. W sytuacji, w której naruszenie ochrony danych osobowych powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o naruszeniu tym należy bezzwłocznie powiadomić osoby, których dane dotyczą, a jeśli powiadomienie takie wymagałoby niewspółmiernie dużego wysiłku należy wydać publiczny komunikat o naruszeniu.

9. W przypadku obowiązku zawiadomienia osoby fizycznej, takie zawiadomienie powinno uwzględniać również zalecenia dla takiej osoby co do minimalizacji potencjalnie niekorzystnych skutków naruszenia ochrony jej danych osobowych. Administrator przekazuje takie zawiadomienie uwzględniając wskazówki organu nadzorczego lub innych uprawnionych organów udzielone w tym zakresie.

10. Zawiadomienie osoby fizycznej nie jest konieczne, jeśli wdrożono adekwatne środki ochrony obejmując nimi dane osobowe, których dotyczy naruszenie oraz zastosowano środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

11. Z każdego naruszenia ochrony danych osobowych sporządza się dokumentację opisującą w szczególności:

a) okoliczności naruszenia, tj. przykładowo:

- datę i godzinę stwierdzenia naruszenia ochrony danych osobowych,

- opis charakteru naruszenia,

- przyczynę naruszenia;

b) zaistniałe oraz prawdopodobne skutki naruszenia;

c) podjęte działania zaradcze.

 

G. OCENA SKUTKÓW PRZETWARZANIA DANYCH

 

1. Spółdzielnie mieszkaniowe powinny rozważyć przeprowadzenie oceny skutków dla ochrony danych osobowych w sytuacji gdy przykładowo:

a) przed wdrożeniem lub użyciem nowych technologii, takich jak np. nowych systemów informatycznych, nowych procesów, nowych funkcjonalności istniejących systemów lub dokonywania w nich zmian, w których przeprowadzane są operacje w zakresie przetwarzania danych osobowych osób fizycznych;

b) przed rozpoczęciem profilowania danych osobowych osób fizycznych niezależnie od celu, dla którego będzie to wykonywane, które jest podstawą do decyzji wywołującej skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływające na osobę fizyczną;

c) przed nabyciem zbiorów danych od innych administratorów danych, np. połączeniem się z inną spółdzielnią mieszkaniową, etc.;

d) w przypadku naruszenia ochrony danych osobowych, o którym mowa w art. 4 pkt 12 Rozporządzenia RODO;

e) w przypadku zmiany przepisów prawa w zakresie ochrony danych osobowych;

pod warunkiem, że dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

2. Niezależnie od okoliczności wymienionych w ust. 1, spółdzielnia mieszkaniowa dokonuje oceny skutków przetwarzania w sytuacjach określonych w art. 35 ust. 3 Rozporządzenia RODO.

Załącznik nr 1 do Kodeksu

Check-lista zgodności działalności spółdzielni mieszkaniowej

z Rozporządzeniem RODO

podst. prawna (RODO)	Obowiązek	uwagi	stopień wdrożenia (%)
OGÓLNE ZASADY RODO
art. 5 ust. 1 lit. a	zasada zgodności z prawem, rzetelności i przejrzystości – przetwarzane danych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą
art. 5 ust. 1lit. b	zasada ograniczenia celu – zbierane danych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 RODO za niezgodne z pierwotnymi celami
art. 5 ust. 1 lit. c	zasada minimalizacji danych – przetwarzanie danych adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane
art. 5 ust. 1 lit. d	zasada prawidłowości – przetwarzane dane są prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane
art. 5 ust. 1 lit. e	zasada ograniczenia przechowywania – przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą
art. 5 ust. 1 lit.	zasada integralności i poufności – dane są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych
Art. 5 ust. 2	zasada rozliczalności – administrator jest odpowiedzialny za przestrzeganie przepisów dotyczących zasad przetwarzania danych musi być w stanie wykazać ich przestrzeganie
PODSTAWY PRZETWARZANIA DANYCH OSOBOWYCH
art. 6	przetwarzanie danych zwykłych na podstawie przesłanek legalizacyjnych określonych w art. 6 ust. 1 RODO
art. 9	przetwarzanie szczególnych kategorii danych osobowych (danych wrażliwych) posiada podstawę prawną określoną w art. 9 ust. 2 RODO
art. 10	nie jest łamany zakaz przetwarzania danych karnych (art. 10 RODO)
przetwarzanie danych na podstawie zgody
art. 7 ust. 1	administrator jest w stanie wykazać, że osoba której dane dotyczą wyraziła zgodę na przetwarzanie danych
art. 7 ust 2	jeżeli dane przetwarzane są na podstawie zgody wyrażanej w pisemnym oświadczeniu, jest ona przedstawiona w sposób pozwalający wyraźnie odróżnić ją od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem
art. 7 ust. 3	zgoda jest łatwa do cofnięcia
art. 7 ust. 3	osoba jest informowana o możliwości cofnięcia zgody przed jej wyrażeniem
art. 7 ust.4	od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy
art. 8 ust. 1	jeżeli dziecko nie ukończyło 16 lat, zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem
art. 8 ust. 2	administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała
OBOWIĄZEK INFORMACYJNY
art. 12 ust. 1	informacje podawane w obowiązku informacyjnym oraz komunikacja w sprawach art. 15-22 RODO udzielane są w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie
art. 12 ust. 2	administrator ułatwia osobie, której dane dotyczą, uzyskanie wszelkich informacji w przedmiocie przetwarzanych danych
art. 12 ust. 3	administrator bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania, udziela osobie, której dane dotyczą informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22 RODO; jeżeli występuje przedłużenie terminu (nie dłuższy niż o dalsze dwa miesiące), to z uwagi na skomplikowany charakter żądania lub liczbę żądań
art. 12 ust. 4	jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą w ramach art. 15-22 RODO, niezwłocznie lecz nie później niż w terminie miesiąca od otrzymania żądania, informuje tę osobę o powodach niepodjęcia działań, możliwości wniesienia skargi do organu nadzorczego i skorzystania z ochrony prawnej przed sądem
art. 12 ust. 5	obowiązek informacyjny oraz wykonywanie praw przysługujących osobie której dane dotyczą w ramach art. 15-22 RODO odbywa się co do zasady bez pobierania opłat
art. 12 ust. 5	odmówienie podjęcia działań w związku z żądaniem wyrażonym na podstawie art. 15-22 RODO lub pobieranie rozsądnej opłaty następuje, jeżeli żądania osoby są nadmierne lub ewidentnie nieuzasadnione w szczególności ze względu na swój ustawiczny charakter
art. 12 ust. 5	jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby składającej żądanie w zakresie art. 15-22 RODO, żąda on dodatkowych informacji niezbędnych do potwierdzenia tożsamości, bez naruszenia art. 11 RODO
art. 13 i 14	administrator przekazuje informacje: swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela
art. 13 i 14	administrator przekazuje informacje: gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych
art. 13 i 14	administrator przekazuje informacje: cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania
art. 13 i 14	administrator przekazuje informacje: jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią
art. 13 i 14	administrator przekazuje informacje: o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją
art. 13 i 14	administrator przekazuje informacje: gdy ma to zastosowanie – o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych
art. 13 i 14	administrator przekazuje informacje: okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu
art. 13 i 14	administrator przekazuje informacje: o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych
art. 13 i 14	administrator przekazuje informacje: jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem
art. 13 i 14	administrator przekazuje informacje: o prawie wniesienia skargi do organu nadzorczego
art. 13 i 14	administrator przekazuje informacje: czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych
art. 13 i 14	administrator przekazuje informacje: o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą
art. 14	administrator przekazuje informacje: w przypadku zbierania danych nie od osoby, której one dotyczą, informację o źródle pochodzenia danych, a jeśli ma to zastosowanie, czy pochodzą one ze źródeł publicznie dostępnych
art. 13 ust. 3 i 14 ust. 4	administrator przekazuje informacje: jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji
art. 14 ust. 3	administrator przekazuje informacje: w przypadku zbierania danych osobowych nie od osoby, której dotyczą podawane są w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych; jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu
OBOWIĄZEK REALIZOWANIA PRAW OSÓB, KTÓRYCH DANE DOTYCZY
art. 15	realizowanie prawa dostępu przysługującego osobie, której dane dotyczą, w tym wydawanie kopii danych
art. 16	realizowanie prawa do sprostowania danych
art. 17	realizowanie prawa do usunięcia danych (prawo do bycia zapomnianym)
art. 18	realizowanie prawa do ograniczenia przetwarzania
art. 20	realizowanie prawa do przenoszenia danych
art. 21 ust. 1	możliwość wniesienia sprzeciwu przez osobę, której dane dotyczą – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e lub f, w tym profilowania na podstawie tych przepisów
art. 21 ust. 4	poinformowanie osoby, której dane dotyczą, najpóźniej przy okazji pierwszego kontaktu, w sposób jasny i odrębny od wszelkich innych informacji o możliwości wniesienia sprzeciwu
art. 22 ust. 1	niepodejmowanie decyzji względem osoby, której dane dotyczą, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa
art. 22 ust. 3	jeżeli profilowanie jest dopuszczalne, administrator danych wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji
art. 22 ust. 3	niepoddawanie profilowaniu danych szczególnej kategorii, chyba że osoba, której dane dotyczą wyraziła zgodę lub przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą
art. 24 ust. 1	poddawanie przeglądom i uaktualnianie stosowanych technicznych i organizacyjnych środków ochrony danych osobowych
art. 24 ust. 2	wdrożenie przez administratora danych odpowiednich polityk ochrony, stosownie do charakteru, zakresu kontekstu i celów przetwarzania oraz ryzyka naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia
art. 24 ust. 3	stosowanie przez administratora danych zatwierdzonych kodeksów postępowania lub zatwierdzonego mechanizmu certyfikacji
art. 25 ust. 1	uwzględnianie ochrony danych w fazie projektowania
art. 25 ust. 2	domyślna ochrona danych
art. 26 ust. 1	ustalenie między współadministratorami zakresów odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do realizacji obowiązku informacyjnego (art. 13 i 14 RODO) – jeśli ma zastosowanie
art. 26 ust. 2	udostępnienie osobom, których dane dotyczą zasadniczej części uzgodnień między współadministratorami – jeśli ma zastosowanie
art. 27 ust. 1	wyznaczenie przedstawiciela na terenie UE – jeśli ma zastosowanie
art. 28 ust. 1	korzystanie przez administratora danych z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą
art. 28 ust. 2	podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora
art. 28 ust. 3 lit. a	przetwarzanie danych odbywa się wyłącznie na udokumentowane polecenie administratora
art. 28 ust. 3 lit. b	osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy
art. 28 ust. 3 lit. c	podmiot przetwarzający podejmuje środki bezpieczeństwa danych (art. 32 RODO)
art. 28 ust. 3 lit. d	zobowiązanie podmiotu przetwarzającego do przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego
art. 28 ust. 3 lit. e	zapewnienie pomocy realizowanej przez procesora administratorowi danych poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą
art. 28 ust. 3 lit. f	zapewnienie pomocy realizowanej przez procesora administratorowi w zakresie wywiązania się z obowiązku zapewnienia bezpieczeństwa danych, zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu, zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych, oceny skutków przetwarzania, uprzednich konsultacji (art. 32-36 RODO)
art. 28 ust. 3 lit. g	zobowiązanie procesora do usunięcia lub zwrotu administratorowi danych wszelkich danych osobowe oraz usunięcie wszelkich ich istniejących kopii, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych
art. 28 ust. 3 lit. h	Zobowiązanie procesora do udostępnienia administratorowi danych wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwienie administratorowi danych lub audytorowi upoważnionemu przez administratora danych przeprowadzanie audytów, w tym inspekcji, i przyczynianie się do nich
art. 29	podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego
BEZPIECZEŃSTWO PRZETWARZANIA DANYCH
art. 30 ust. 1	prowadzenie w formie pisemnej, w tym elektronicznej, rejestru czynności przetwarzania danych osobowych
art. 31	administrator lub podmiot przetwarzający (ewentualnie przedstawiciel) współpracuje z organem nadzorczym w ramach wykonywania przez niego swoich zadań
art. 32 ust. 1 i 2	administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cel przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia; należy uwzględnić w szczególności ryzyka wiążące się z przetwarzaniem, w szczególności wynikające z: a) przypadkowego lub niezgodnego z prawem zniszczenia, b) utraty, modyfikacji, nieuprawnionego ujawnienia, c) lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. (tzw. szacowanie ryzyka)
art. 32 ust. 1 a-d	Administrator lub podmiot przetwarzający wdrążyli na przykład: a) pseudonimizację i szyfrowanie danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywracania dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d)regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania
art. 32 ust. 3	administrator i podmiot przetwarzający stosują zatwierdzony kodeks postępowania lub zatwierdzony mechanizm certyfikacji, celem wykazania wdrożenia odpowiednich środków technicznych i organizacyjnych dla bezpieczeństwa danych osobowych
art. 32 ust. 4	administrator oraz podmiot przetwarzający podjęli działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego
PRZYPADEK NARUSZENIA OCHRONY DANYCH OSOBOWYCH
art. 33 ust. 1	zapewnienie zgłaszania do organu nadzorczego ewentualnych naruszeń ochrony danych osobowych powodujące ryzyko naruszenia praw i wolności osób fizycznych przez administratora w terminie 72 godzin po stwierdzeniu naruszenia
art. 33 ust. 2	podmiot przetwarzający, po stwierdzeniu naruszenia ochrony danych osobowych, bez zbędnej zwłoki zgłasza je administratorowi
art. 33 ust 1 a-d	zgłoszenie zawiera wymagane elementy, o których mowa w art. 33 ust. 1 a-d RODO
art. 33 ust. 5	administrator zapewnia dokumentowanie wszelkich ewentualnych naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze
art. 34 ust. 1	zapewnienie, że o ewentualnym naruszeniu ochrony danych osobowych powodującym wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu
art. 34 ust. 2	zawiadomienie jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b, c i d RODO
OCENA SKUTKÓW OPERACJI PRZETWARZANIA
art. 35 ust. 1 i 3	administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. wymagana w szczególności w przypadku: a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną; b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie
art. 35 ust. 2	dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony
art. 35 ust. 7	ocena skutków przetwarzania zawiera co najmniej elementy wskazane w art. 35 ust. 7 RODO
art. 35 ust. 11	gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych
art. 36 ust. 1	administrator konsultuje się z organem nadzorczym przed rozpoczęciem przetwarzania, jeżeli ocena skutków dla ochrony danych, wykazała, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka
art. 36 ust. 3	konsultując się z organem nadzorczym, administrator przedstawił mu wymagane elementy określone w art. 36 ust. 3 RODO
INSPEKTOR OCHRONY DANYCH
art. 37 ust. 1 a-c	wyznaczenie inspektora ochrony danych przez administratora lub podmiot przetwarzający w sytuacjach obligatoryjnych lub w sposób fakultatywny
art. 37 ust. 2 i 3	w przypadku wyznaczenia jednego inspektora ochrony danych, należy określić: a) czy łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej, b) przez kilka organów lub podmiotów publicznych, został on wyznaczony z uwzględnieniem ich struktury i wielkości
art. 37 ust. 5	inspektor ochrony danych został wyznaczony na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań nałożonych przez RODO
art. 37 ust. 7	administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy
art. 38 ust. 1	administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych
art. 38 ust. 2	administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej
art. 38 ust. 3	administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań; nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań; inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego
art. 38 ust. 4	osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia
art. 38 ust. 6	inspektor ochrony danych może wykonywać inne zadania i obowiązki; administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów
art. 39 ust. 1 a	inspektor informuje administratora, podmiot przetwarzający oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie
art. 39 ust. 1 b	inspektor monitoruje przestrzeganie RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty
art. 39 ust. 1 c	na żądanie inspektor udziela zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO
art. 39 ust. 1 d	inspektor współpracuje z organem nadzorczym
art. 39 ust. 1 e	inspektor pełni funkcje punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzi konsultacje we wszelkich innych sprawach
art. 39 ust. 2	inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania
PRZEKAZYWANIE DANYCH DO PAŃSTWA TRZECIEGO (jeśli występuje)
art. 45 ust. 1 w zw. z ust. 3	przekazywanie danych osobowych do państwa trzeciego znajduje podstawę w decyzji Komisji
art. 46	przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej następuje poprzez zapewnienie odpowiednich zabezpieczeń, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej
art. 46 ust. 5	przekazywanie danych znajduje podstawę w decyzji wydanej przez GIODO która dotychczas nie została zmieniona, zastąpiona, uchylona.
art. 49	jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej następuje na podstawie jednego z wyjątków określonych w RODO