Przetwarzanie danych osobowych
25 maja 2018 r. na terenie Rzeczpospolitej Polskiej oraz całej Unii Europejskiej zaczęło obowiązywać tzw. RODO czyli Rozporządzenie o Ochronie Danych Osobowych. Pełna nazwa rozporządzenia to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Dane osobowe chroni także ustawa o ochronie danych osobowych z dnia 10 maja 2018 r.
Podstawowym założeniem RODO jest ochrona praw i wolności osób fizycznych przed niedopuszczalnym i nieuprawnionym przetwarzaniem ich danych osobowych.
Dane osobowe to informacje o osobach fizycznych (czyli nie o firmach, spółdzielniach, fundacjach, stowarzyszeniach, instytucjach, partiach itp. tylko o nas samych), które identyfikują lub pozwalają na zidentyfikowanie kogoś zarówno wprost jak i pośrednio. Mogą nimi być m.in.: imię i nazwisko, numer identyfikacyjny (np. numer PESEL), adres, w niektórych przypadkach adres mailowy, wizerunek. Są to dane osobowe zwykłe. Istnieje także kategoria danych osobowych wrażliwych, do których zalicza się informacje dotyczące danych określających tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową, społeczną oraz dane dotyczące ewentualnych wyroków.
Przetwarzanie danych osobowych jest rozumiane jako czynności którym poddaje się pojedyncze dane lub zestawy danych. Mogą nimi być na przykład zbieranie, utrwalanie, przechowywanie, wykorzystywanie, przesyłanie, usuwanie, niszczenie itd.
Pod pojęciem niedopuszczalne przetwarzanie danych osobowych rozumie się sytuacje przetwarzania danych, pomimo że osoba której dane są przetwarzane nie wyraziła na to zgody.
Pod pojęciem nieuprawione przetwarzanie danych rozumie się sytuację gdy osoba, która przetwarza te dane nie jest do tego uprawniona.
W instytucjach występują dwie osoby bezpośrednio odpowiedzialne za przetwarzanie danych osobowych. Są nimi Administrator Danych Osobowych (ADO) oraz Inspektor Danych Osobowych (IOD).
Kim jest Administrator Danych Osobowych (ADO)?
Administratorem Danych Osobowych jest ktoś (niebędący osobą fizyczną organ publiczny, instytucja, firma, organizacja lub inny podmiot), kto decyduje w jakim celu i w jaki sposób przetwarza się dane osobowe w instytucji.
Kim jest Inspektor Ochrony Danych (IOD)?
Inspektorem Danych Osobowych jest osoba, która wspiera ADO w realizacji i przestrzeganiu przepisów dotyczących ochrony danych osobowych, zarówno wewnątrz instytucji, jak i jej klientów, czyli w przypadku naszej instytucji, MCK-ową publiczność: widzów, odwiedzających, uczestników wydarzeń, warsztatów oraz artystów, a także kontrahentów.
Przetwarzanie Danych Osobowych w MCK
Administratorem Państwa danych osobowych jest Miejskie Centrum Kultury w Bydgoszczy,
ul. Marcinkowskiego 12-14, 85-056 Bydgoszcz, reprezentowane przez Dyrektor Marzenę Matowską, e-mail: dyrekcja@mck-bydgoszcz.
W Miejskim Centrum Kultury został powołany Inspektor Ochrony Danych, z którym można się kontaktować pod adresem e-mail: iod@mck-bydgoszcz.pl.
Cele przetwarzania Danych Osobowych w MCK
- zawieranie i realizowanie umów (w tym m. in. sprzedaż biletów i wydawnictw),
- kontrola biletów i wejściówek na wydarzenia,
- realizacja usługi Newsletter i innych materiałów promocyjnych (jeżeli została zamówiona),
- realizowanie zadań, których celem jest interes publiczny (m. in. rozliczenie z dotacji, cele statystyczne),
- publikacja zdjęć i materiałów wideo (w ramach sprawozdawczości oraz w celach promocyjnych MCK),
- monitoring w budynkach MCK dla zapewnienia bezpieczeństwa,
- realizowanie obowiązków prawnych:
- udostępnianie dokumentacji organom uprawnionym do jej kontroli,
- wystawianie wezwań do zapłaty,
- prowadzenie i przechowywanie dokumentacji księgowej,
- zabezpieczenie danych na wypadek konieczności prowadzenia postępowań administracyjnych i sądowych,
- naruszanie regulaminu,
- reklamacje.
Wszystkie wymienione powyżej cele przetwarzania danych są zgodne z Artykułem 6 RODO, który gwarantuje stosowanie odpowiednich procedur i zachowanie bezpieczeństwa danych.
Osoba, której dane osobowe są przetwarzane przez MCK ma prawo do usunięcia swoich danych (tzw. „prawo do bycia zapomnianym”, Artykuł 17 RODO). Należy pamiętać o sytuacji kiedy przechowywanie danych wynika z wymogów odrębnych przepisów prawa (m.in. ustawy: o rachunkowości, narodowym zasobie archiwalnym i archiwach, prawo pracy). W takim przypadku dane są przechowywane na zasadach określonych w tych przepisach.
W związku z przetwarzaniem danych osobowych, osoba której dane dotyczą ma prawo do:
- dostępu do swoich danych oraz otrzymania ich kopii,
- sprostowania (poprawiania) swoich danych osobowych,
- ograniczenia przetwarzania danych osobowych,
- usunięcia danych osobowych,
- przenoszenia danych,
- wniesienia sprzeciwu wobec przetwarzania,
- wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Wnioski w sprawie realizacji Państwa praw dotyczących danych osobowych można złożyć elektronicznie na adres mailowy: iod@mck-bydgoszcz.pl
Odbiorcy Danych Osobowych w MCK
Odbiorcami Państwa danych osobowych w MCK oprócz Administratora Danych Osobowych i Inspektora Ochrony Danych mogą być także upoważnieni przez ADO pracownicy Miejskiego Centrum Kultury, dla których dostęp do danych osobowych jest niezbędny w celu wykonywania swoich obowiązków. Państwa dane osobowe, na podstawie odrębnej umowy powierzenia zgodnej z przepisami RODO, mogą zostać także przekazane do innych podmiotów takich jak operatorzy transakcji internetowych oraz firmy kurierskie.
Okres przechowywania Danych Osobowych w MCK
RODO zaleca możliwie jak najkrótsze przechowywanie danych osobowych (Artykuł 5 ust. 1 RODO).
Ze względu na możliwość przetwarzania ich w więcej niż jednym celu, może wystąpić sytuacja, że w jednym przypadku dane osobowe przestaną być przetwarzane, ale w innym będzie to jeszcze konieczne (np. uczestnictwo w darmowych warsztatach, na które obowiązują zapisy drogą mailową – po zakończeniu warsztatów lista uczestników nie jest potrzebna, ale zdjęcia z uwiecznionym wizerunkiem uczestników mogą być potrzebne instytucji np. do rozliczenia się z dotacji, do celów frekwencyjnych, promocyjnych itp.). Niezależnie od celu w jakim Państwa dane są przetwarzane, nie będą one przechowywane dłużej niż jest to konieczne i nie dłużej niż pozwalają na to przepisy prawa.
Okres przechowywania danych osobowych
- dla danych zebranych w jakichkolwiek celach, a uzyskanych na podstawie Państwa zgody np. w celu realizacji usługi Newsletter (Artykuł 6 ust. 1 lit. a) RODO) – będą one przechowywane do czasu cofnięcia tej zgody;
- dla danych zebranych w celach związanych z zawarciem i prawidłową realizacją umów (art. 6 ust. 1 lit. b RODO) – np. będą one przechowywane przez okres przed zawarciem umowy, jej realizacji, oraz okres trzech miesięcy od czasu przedawnienia się roszczeń wynikających z umowy;
- dla danych niezbędnych do realizacji zadań związanych z interesem publicznym, sprawozdawczością i celami promocyjnym (artykuł 6 ust. 1 lit. c), e)) na czas określony przez odrębne przepisy prawa i wynikające z wypełniania obowiązków ciążących na administratorze.
W jaki sposób MCK chroni przetwarzane przez siebie dane osobowe?
Baza danych jaką jest zbiór zgromadzonych i przetwarzanych danych osobowych, jest bazą o wysokim stopniu bezpieczeństwa, co oznacza, że jest ona przechowywana na serwerze, który jest zabezpieczony przed dostępem zdalnym (czyli przez internet np. poprzez atak hakerski). Serwer zabezpiecza się także w sposób fizyczny aby nikt nieuprawniony nie miał do niego dostępu. Ponadto, wszystkie osoby, które w MCK przetwarzają dane osobowe otrzymały od ADO stosowne upoważnienia do przetwarzania danych osobowych.
Monitoring w budynkach MCK
Stosowanie monitoringu wizyjnego jest formą przetwarzania danych osobowych polegającą na zapisywaniu, przeglądaniu, udostępnianiu i usuwaniu nagrań. Nagrania zawierają wizerunki osób oraz zdarzenia.
W budynkach Miejskiego Centrum Kultury jako instytucji publicznej znajduje się monitoring mający na celu wypełnienie obowiązku prawnego, dbania o interes publiczny oraz prawną ochronę interesów Administratora (Artykuł 6 RODO ust. 1 lit. c), e) i f)).
Zautomatyzowane podejmowanie decyzji i przekazywanie danych do państw trzecich
Państwa Dane Osobowe nie będą podlegać zautomatyzowanemu podejmowaniu decyzji, w tym o profilowaniu (Artykuł 22 ust. 1 i 4 RODO), a także nie będą przekazywane za granicę, w tym do państw trzecich.
Zautomatyzowane podejmowanie decyzji – proces odbywający się bez udziału człowieka, w którym urządzenia i rozwiązania techniczne pozyskują dane wszelkiego rodzaju, zarówno na podstawie obserwacji lub bezpośrednio od obserwowanej osoby (obserwacja aktywności w intrenecie), a także dane wywnioskowane.
Profilowanie – forma zautomatyzowanego podejmowania decyzji, mająca na celu wykorzystywanie danych osobowych do oceny lub prognozy czynników osobowych, m. in. zainteresowań, preferencji, zachowań, sytuacji ekonomicznej, miejsca przebywania itp.Cele statystyczne nie mają na celu profilowania ponieważ nie zakładają wyciągania wniosków ani przewidywania.
Przekazywanie danych– forma przetwarzania danych osobowych. Polega na udostępnianiu zgromadzonych danych osobowych innemu podmiotowi.
Państwa Trzecie – są to państwa nienależące do Europejskiego Obszaru Gospodarczego (wszystkie państwa poza krajami Unii Europejskiej oraz Islandii, Liechtensteinu i Norwegii).
W przypadku uznania przez Państwa, że Miejskie Centrum Kultury przetwarza Państwa dane osobowe niezgodnie z przepisami RODO, przysługuje Państwu prawo do wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych. Skargę do UODO można złożyć w formie pisemnej, elektronicznej lub ustnie w siedzibie Urzędu.