Niniejsza polityka ma na celu wspieranie wdrożenia i stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanym dalej „RODO” w Łódzkim Ośrodku Geodezji, w szczególności:

• ART. 3 dotyczy zasad, które muszą inspirować przetwarzanie danych osobowych;
• ART. 4 wprowadza kluczowe wymagania, które należy wprowadzić w przetwarzaniu danych osobowych;
• W ART. 5 i 6 określono wymagania, które należy wprowadzić w życie, gdy spółka działa jako Administrator danych lub przetwarzający dane w związku z konkretnym przetwarzaniem danych osobowych;
• ART. 7 określa wymagania, które należy spełnić przy wyznaczaniu Inspektora Ochrony Danych;
• ART. 8 określa zasady identyfikacji organu nadzorującego ochronę danych osobowych.

1. Słownik i Definicje

Skrót/Termin	Wyjaśnienie/Definicja
Dyrektor	Dyrektor Łódzkiego Ośrodka Geodezji.
Administrator	Łódzki Ośrodek Geodezji oraz każda osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Przetwarzanie danych	Operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Przetwarzający	Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora.
Ocena Skutków dla Ochrony Danych lub OSOD	Ocena skutków planowanych czynności Przetwarzania danych na ochronę danych osobowych, które mają być przeprowadzane przez Administratora, gdy rodzaj Przetwarzania, w szczególności przy użyciu nowych technologii, oraz przy uwzględnieniu charakteru, zakresu, kontekstu i celów Przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.
Osoba, której dane dotyczą	Możliwa do zidentyfikowania bezpośrednio lub pośrednio osoba fizyczna, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Odpowiedzialny	Osoba odpowiedzialna za ocenę ryzyka związanego ze skutkami naruszenia Danych Osobowych, do którego doszło na obszarze, za który ponosi odpowiedzialność na podstawie zakresu obowiązków służbowych i ustalenie odpowiednich działań naprawczych.
Dane o karalności	Dane Osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.
Dane Osobowe	Informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, tj. osobie, której dane dotyczą.
Naruszenie Danych Osobowych	Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do Danych Osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób.
Kadra Zarządzająca	Dyrektor, Zastępcy Dyrektora, Kierownicy Działów Administratora odpowiedzialni za zarządzanie daną jednostką organizacyjną Administratora.
Dane Wrażliwe	Dane Osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, jak również dane genetyczne, dane biometryczne pozwalające na jednoznaczne zidentyfikowanie osoby fizycznej lub Dane Osobowe dotyczące zdrowia, seksualności lub orientacji seksualnej.

2. Wstęp
1. Cele.

Łódzki Ośrodek Geodezji uważa dane osobowe za główny składnik aktywów, który należy chronić. Przetwarzanie Danych Osobowych zgodnie z najlepszymi praktykami jest istotną częścią strategii Łódzkiego Ośrodka Geodezji wobec mieszkańców Łodzi, klientów, pracowników i wszystkich innych interesariuszy. Celem niniejszej Polityki ochrony danych jest określenie kluczowych wymagań, jakie należy spełnić podczas przetwarzania danych osobowych przy stosowaniu postanowień RODO.

2. Autor i zatwierdzenie.

Polityka została zatwierdzona przez Dyrektora w dniu 24 maja 2018 roku. Dyrektor oraz Inspektor Ochrony Danych są uprawnieni i zobowiązani do wdrożenia szczegółowych wytycznych w celu wsparcia skutecznej realizacji niniejszej Polityki.

3. Wejście w życie.

Polityka wchodzi w życie i obowiązuje od dnia 25 maja 2018 roku. Polityka będzie poddawana przeglądowi co najmniej raz na trzy lata i za każdym razem, gdy zajdzie potrzeba uwzględnienia zmian w przepisach, sytuacji rynkowej i/lub praktykach, strategii lub organizacji Łódzkiego Ośrodka Geodezji.

4. Zasady wdrożenia. Zakres zastosowania.

Niniejsza polityka określa ogólne zasady oraz minimalne wymagania, które muszą być wdrożone przez wszystkie podmioty mające siedzibę w Unii Europejskiej (UE) w zakresie Przetwarzania Danych Osobowych. Niniejsza polityka ma również zastosowanie do podmiotów, które nie mają siedziby na terenie Unii Europejskiej, o ile:

1. oferują towary i usługi osobom przebywającym w UE, lub
2. monitorują ich zachowanie, jeśli zachowanie ma miejsce w UE.
3. Podstawowe Zasady Przetwarzania Danych Osobowych.

W trakcie przetwarzania Danych Osobowych należy przestrzegać następujących zasad. Dane Osobowe muszą być:

1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla Osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”).

Przetwarzanie Danych Osobowych jest zgodne z prawem, jeśli odbywa się w oparciu o podstawę prawną wskazaną w § 5.1 Polityki. Przetwarzanie jest rzetelne i przejrzyste dla Osoby, której dane dotyczą, jeśli osobie tej w chwili zbierania Danych Osobowych udzielono informacji, o których mowa w § 5.2 Polityki;

2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
4. prawidłowe i w razie potrzeby uaktualniane. Należy podjąć wszelkie rozsądne działania, aby Dane Osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
5. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”). Po upływie tego okresu Dane Osobowe mogą być przechowywane jedynie w sposób, który uniemożliwia identyfikację Osób, których dane dotyczą. Środkami służącymi do uniemożliwienia identyfikacji są w szczególności: usunięcie, zaczernienie, przerobienie i animizacja, o ile środki te nie są sprzeczne z przepisami i regulacjami;
6. Przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo Danych Osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Należy zastosować lub wdrożyć odpowiednie środki techniczne i organizacyjne ochrony Danych Osobowych w sposób określony w § 5.6 Polityki.

Administrator obowiązany jest wykazać, że postępuje zgodnie z powyższymi zasadami („rozliczalność”), w szczególności przez wdrożenie odpowiednich regulacji, procedur oraz innych środków, pośród których należy wymienić Rejestr czynności przetwarzania Danych Osobowych (§ 5.5 Polityki), przeprowadzenie OSOD (§ 5.8 Polityki), kontroli stanu wdrożenia zasad i wymagań w zakresie ochrony Danych Osobowych.

4. Podstawowe Wymagania

Uwzględniając wyżej przedstawione zasady należy wdrożyć różne wymagania w zależności od tego, czy Dane Osobowe są przetwarzane przez Łódzki Ośrodek Geodezji jako Administratora albo Przetwarzającego.

Zarówno Administrator, jak i Przetwarzający zapewniają, że pracownicy przetwarzający Dane Osobowe zostali właściwie poinstruowani i przeszkoleni, tak aby Dane Osobowe były przetwarzane zgodnie z niniejszą Polityką i obowiązującymi przepisami prawa.

5. Podstawowe Wymagania wobec Administratora

W każdym przypadku Przetwarzania Danych Osobowych przez Łódzki Ośrodek Geodezji jako Administrator, należy postępować w następujący sposób:

1. Przetwarzanie Danych Osobowych zgodnie z prawem.

Przetwarzanie Danych Osobowych odbywa się zgodnie z prawem jeśli:

1. Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
2. jest niezbędne do wykonania umowy, której stroną jest Osoba, której dane dotyczą, lub do podjęcia działań na żądanie Osoby, której dane dotyczą, przed zawarciem umowy;
3. jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;
4. jest niezbędne do ochrony żywotnych interesów Osoby, której dane dotyczą, lub innej osoby fizycznej;
5. jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;
6. jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności Osoby, której dane dotyczą, wymagające ochrony Danych Osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
2. Informowanie Osoby, której dane dotyczą o Przetwarzaniu Danych Osobowych.

Osoba, której dane dotyczą musi zostać poinformowana o Przetwarzaniu Danych Osobowych.

3. Umożliwienie Osobie, której dane dotyczą, wykonywania przysługujących jej praw.

Osoba, której dane dotyczą, z zastrzeżeniem wyjątków określonych przez obowiązujące przepisy, ma:

1. Prawo dostępu: prawo do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, do uzyskania dostępu do nich bez nieuzasadnionej zwłoki;
2. Prawo do sprostowania: prawo do niezwłocznego sprostowania lub uzupełnienie dotyczących jej danych osobowych, które są nieprawidłowe lub niekompletne;
3. Prawo do usunięcia danych (prawo do bycia zapomnianym): prawo do żądania od Administratora niezwłocznego usunięcia dotyczących jej Danych Osobowych bez względu na to, gdzie są przechowywane lub magazynowane;
4. Prawo do ograniczenia przetwarzania: prawo do żądania ograniczenia Przetwarzania Danych Osobowych. Jeżeli Przetwarzanie zostało ograniczone, Dane Osobowe można wyłącznie przechowywać, chyba że Osoba, której dane dotyczą, wyraziła zgodę na inne Przetwarzanie, lub jest to niezbędne w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego;
5. Prawo do przenoszenia Danych Osobowych: prawo Osoby, której dane dotyczą, do otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego Danych Osobowych jej dotyczących oraz do przesłania tych Danych Osobowych innemu Administratorowi;
6. Prawo do sprzeciwu: prawo do sprzeciwienia się z przyczyn związanych ze szczególną sytuacją Osoby, której dane dotyczą, wobec przetwarzania dotyczących jej Danych Osobowych. Po skorzystaniu z tego prawa Administratorowi nie wolno już przetwarzać tych Danych Osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do Przetwarzania, nadrzędnych wobec interesów, praw i wolności Osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. w każdym jednakże przypadku, jeśli Osoba, której dane dotyczą, wniosła sprzeciw wobec takiego sposobu Przetwarzania, zabronione jest Przetwarzanie Danych Osobowych na cele marketingu bezpośredniego.
7. Prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu: prawo Osoby, której dane dotyczą, aby nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

Mając na uwadze przysługujące uprawnienia Osobie, której dane dotyczą, koniecznym jest w szczególności:

1. zdefiniowanie procedury umożliwiającej łatwe wykonywanie praw przez Osoby, których dane dotyczą i szybkie podejmowanie wszelkich dalszych działań;
2. osoby, których dane dotyczą, muszą być poinformowane o wszelkich dotyczących ich działaniach;
3. osoby, których dane dotyczą, muszą zostać pouczone o swoich prawach i zasadach korzystania z tych uprawnień;
4. o ile nie zaszły wyjątkowe okoliczności, wszystkie działania i informacje kierowane do Osób, których dane dotyczą, są dla nich bezpłatne.
4. Ochrona Danych Osobowych z założenia (Data Protection by design and by default)

Administrator, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania, w celu skutecznej realizacji opisanych wyżej zasad oraz spełnienia wymagań, wdraża odpowiednie środki techniczne i organizacyjne zaprojektowane w celu ochrony danych.

Wszelkie nowe operacje, procesy lub transakcje, przed ich wdrożeniem muszą zostać poddane udokumentowanej ocenie z punktu widzenia ochrony Danych Osobowych, tak by zapewnić identyfikację wszystkich odpowiednich środków technicznych i organizacyjnych ochrony Danych Osobowych, a następnie konsekwentnego ich stosowania w trakcie realizacji operacji, procesu lub transakcji (Privacy by design).

Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te Dane Osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania (Privacy by default). Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, aby domyślnie Dane Osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

W szczególności powyższe działania muszą zostać podjęte w trakcie projektowania, rozwijania, wyboru lub używania oprogramowania, usług lub towarów, które mają wpływ na Przetwarzanie Danych Osobowych lub pozostają w związku z Danymi Osobowymi (zasady określone w § 3 Polityki).

5. Rejestr czynności Przetwarzania Danych Osobowych

Łódzki Ośrodek Geodezji, działając jako Administrator, prowadzi Rejestr czynności Przetwarzania Danych Osobowych, który jest dostępny dla organu nadzoru (Urząd Ochrony Danych Osobowych). Jeżeli przetwarzanie ma być dokonywane w imieniu Administratora, Przetwarzający tworzy i prowadzi Rejestr czynności przetwarzania Danych Osobowych osobno dla każdego z Administratorów.

6. Wprowadzenie technicznych i organizacyjnych środków ochrony Danych Osobowych, odpowiednich do ryzyka Przetwarzania Danych Osobowych

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Administrator i Podmiot Przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

W celu zapewnienia odpowiedniego poziomu bezpieczeństwa Danych Osobowych należy wdrożyć odpowiednie środki techniczne i organizacyjne. Podczas identyfikowania tych środków należy przestrzegać podejścia opartego na ryzyku. W podejściu opartym na ryzyku należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele Przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

7. Zgłoszenie Organowi Nadzoru oraz zawiadomienie Osoby, których dane dotyczą, o Naruszeniu Ochrony Danych

Należy wdrożyć odpowiednie procedury w celu zapewnienia właściwego zarządzania przypadkami naruszenia ochrony danych osobowych, w tym bezzwłocznego zgłaszania, to jest nie później niż w ciągu 72 godzin od uzyskania informacji o naruszeniu, do właściwego organu nadzorczego oraz, w stosownych przypadkach, w celu zawiadomienia o takim naruszeniu Osób, których dane dotyczą.

8. Ocena skutków Przetwarzania dla ochrony Danych Osobowych (Ocena Skutków Przetwarzania Danych - OSOD)

W przypadku wystąpienia określonych przesłanek należy przeprowadzić ocenę skutków przetwarzania danych dla ochrony Danych Osobowych. OSOD ma na celu:

1. opisanie czynności Przetwarzania Danych Osobowych;
2. ocenę konieczności i proporcjonalności tych czynności w świetle celów Przetwarzania;
3. pomoc w zarządzaniu ryzykiem dla podstawowych praw i wolności Osób, których dane dotyczą podmiotów danych, jakie może powstać w związku z takim Przetwarzaniem.
9. Wprowadzenie adekwatnych środków ochrony w przypadku przekazywania Danych osobowych poza Europejski Obszar Gospodarczy.

W przypadku przekazywania Danych Osobowych poza Europejski Obszar Gospodarczy (EOG) należy się upewnić, że zostały zastosowane następujące środki ochrony.

Wybierając środki ochrony należy preferować je w następującym porządku:

1. kraj spoza EOG zapewnia odpowiedni poziom ochrony Danych Osobowych, zgodnie z oceną Komisji Europejskiej; lub
2. podpisywane są standardowe klauzule ochrony danych osobowych przyjęte przez Komisję Europejską; lub
3. przekazanie jest niezbędne do wykonania umowy między Administratorem a Osobą, której dane dotyczą; lub
4. przekazanie jest niezbędne do ustanowienia, wykonania lub obrony w ramach roszczenia prawnego; lub
5. Osoba, której dane dotyczą, jednoznacznie wyraża zgodę na przekazanie określonych Danych Osobowych; lub
6. jako sprawa rezydualna, tj. gdy przeniesienie ma charakter jednorazowy i dotyczy tylko ograniczonej liczby Osób, których dane dotyczą, a jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora pod warunkiem, że wszystkie okoliczności zostały ocenione, a Administrator danych przyjął wszystkie niezbędne zabezpieczenia dla Przetwarzania, a organ nadzorczy został należycie poinformowany o przeniesieniu.

Przepisy dotyczące przekazywania danych osobowych w kontekście transgranicznym mają zastosowanie nie tylko do przekazywania danych osobowych poza jednostkami Administratora (np. do dostawców, sprzedawców), ale także pomiędzy nimi samymi.

10. Wybór Przetwarzającego

Przed wyborem Przetwarzającego należy się upewnić, że Przetwarzający wprowadził i stosuje odpowiednie środki techniczne i organizacyjne, które zapewnią zgodność z zasadami i wymogami dotyczącymi ochrony Danych Osobowych, a także wykonywanie praw Osób, których dane dotyczą. Ilekroć do wykonywania czynności obejmujących przetwarzanie Danych Osobowych wybierany jest zewnętrzny dostawca/usługodawca, niezbędne jest pisemne wyznaczenie tego zewnętrznego dostawcy jako Przetwarzającego.

Postanowienia Procedury zamówień publicznych obowiązują i powinny być stosowane.

6. Podstawowe Wymagania w stosunku do Przetwarzającego

Ilekroć w odniesieniu do konkretnego Przetwarzania Danych Osobowych Łódzki Ośrodek Geodezji działa jako Przetwarzający Dane Osobowe, zobowiązany jest:

1. przetwarzać Dane Osobowe zgodnie z zasadami określonymi w § 3 Polityki oraz obowiązującymi przepisami i regulacjami dotyczącymi ochrony danych osobowych;
2. dopilnować, aby osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania poufności lub były zobowiązane do zachowania poufności;
3. przetwarzać Dane Osobowe zgodnie z instrukcjami Administratora, chyba że obowiązujące przepisy stanowią inaczej;
4. prowadzić rejestr wszystkich czynności związanych z Przetwarzaniem danych;
5. wdrożyć odpowiednie środki techniczne i organizacyjne w celu ochrony Przetwarzania danych;
6. w razie potrzeby wyznaczyć Inspektora Ochrony Danych;
7. w przypadku przekazania danych osobowych poza EOG, zastosować zabezpieczenia opisane w § 5.9 Polityki;
8. podpisać umowę lub inny akt prawny regulujący stosunki z Administratorem;
9. powstrzymać się od wyznaczenia dalszego podmiotu przetwarzającego dane bez uprzedniej wyraźnej zgody Administratora. Jeśli Przetwarzający otrzymał ogólne pisemne upoważnienie do dalszego powierzania czynności Przetwarzania danych, zobowiązany jest w odpowiednim czasie poinformować Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających dane w celu umożliwienia Administratorowi zgłoszenia sprzeciwu wobec takich zmian;
10. Przetwarzający powierzając Przetwarzanie danych dalszym podmiotom w celu przeprowadzenia określonych czynności przetwarzania w imieniu Administratora zobowiązany jest zawrzeć umowę z tym dalszym Przetwarzającym, aby nałożyć na niego takie same obowiązki w zakresie ochrony Danych Osobowych, jak określone w umowie powierzenia przetwarzania Danych Osobowych łączącej go z Administratorem;
11. Udzielać pomocy Administratorowi w wypełnianiu jego obowiązków związanych z realizacją wniosków w zakresie praw Osób, których dane dotyczą, wymienionych w § 5.3 Polityki.
7. Inspektor Ochrony Danych
1. Wyznaczenie Inspektora Ochrony Danych

Działając jako Administrator lub Przetwarzający, Łódzki Ośrodek Geodezji wyznaczy Inspektora Ochrony Danych, zwanego dalej IOD, jeśli wykonuje:

1. czynności polegające na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
2. przetwarza na dużą skalę szczególne kategorie danych osobowych (Dane Wrażliwe) lub Dane o karalności, w ramach swojej działalności podstawowej.

Funkcję IOD można zlecić innym jednostkom Miasta Łodzi lub stronom trzecim.

Inspektor Ochrony Danych ma jasno określony zakres obowiązków, jest usytuowany w strukturze Łódzkiego Ośrodka Geodezji jako samodzielne stanowisko służbowe, sprawuje niezależną funkcję i jest niezbędną częścią systemu kontroli wewnętrznej.

Inspektor Ochrony Danych podlega bezpośrednio Dyrektorowi. Administrator zapewnia, aby zajmowane stanowisko i zakres obowiązków Inspektora Ochrony Danych nie powodowały konfliktu interesów.

2. Zadania Inspektora Ochrony Danych

Do zadań Inspektora ochrony danych należy w szczególności:

1. informowanie Administratora, Przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszej Polityki oraz obowiązujących przepisów i regulacji w zakresie ochrony danych osobowych;
2. monitorowanie przestrzegania niniejszej Polityki oraz obowiązujących przepisów i regulacji w zakresie ochrony danych osobowych oraz polityk Przetwarzającego w dziedzinie ochrony danych osobowych, w tym podziału obowiązków, działań zwiększających świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty, przyjmując również podejście oparte na ryzyku, które pozwala;
3. informowanie Dyrektora, że wymagana jest OSOD, a po osiągnięciu porozumienia w sprawie takiego wymogu, udzielanie porad w odniesieniu do OSOD (czy należy przeprowadzić OSOD, jaką metodologię zastosować, niezależnie od tego, czy należy przeprowadzić wewnętrzną ocenę skutków lub wewnętrznie ją zlecić, jakie zabezpieczenia zostaną zastosowane w celu ograniczenia wszelkiego ryzyka dla praw i wolności Osób, których dane dotyczą) oraz monitorowanie jej wyników (niezależnie od tego, czy OSOD została prawidłowo przeprowadzona, czy w międzyczasie można prowadzić działania związane z Przetwarzaniem Danych Osobowych i jakie środki bezpieczeństwa należy przyjąć oraz czy ich wnioski są zgodne z przepisami ustawowymi i wykonawczymi w zakresie ochrony danych);
4. współpraca z organem nadzorczym;
5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

IOD określi roczny plan kontroli oparty na ocenie ryzyka oraz będzie o jego wynikach informował Dyrektora. Ponadto Inspektor Ochrony Danych jest odpowiedzialny za zgodność działań Łódzkiego Ośrodka Geodezji z zasadami zawartymi w niniejszej Polityce, rozpowszechnianie najlepszych praktyk i wspieranie kultury ochrony danych we wszystkich jednostkach organizacyjnych Łódzkiego Ośrodka Geodezji.

3. Wymagania wstępne

Aby wykonać powyższe zadania, należy zapewnić, że IOD został we właściwym czasie i we właściwy sposób zaangażowany we wszystkie operacje, czynności i transakcje związane z ochroną Danych Osobowych. Zapewnienie już na wstępie, że IOD zostanie poinformowany oraz zostanie zasięgnięta jego opinia, ułatwi przestrzeganie obowiązujących przepisów i zapewni ochronę prywatności z uwzględnieniem zasady „privacy by design”, powinno to być zatem standardową procedurą we wszystkich jednostkach organizacyjnych Łódzkiego Ośrodka Geodezji.

4. Niezależność IOD

Dyrektor zapewnia, że IOD jest niezależny. W celu zachowania swojej niezależności, Inspektor Ochrony Danych:

1. powinien dysponować własnym budżetem, odpowiednimi zasobami (tj. finansowymi, infrastrukturalnymi i personelem) oraz wystarczająco długim czasem na wykonywanie swoich zadań;
2. nie może otrzymywać instrukcji dotyczących wykonywania swoich zadań;
3. nie może zostać zwolniony lub ukarany za wypełnianie swoich zadań;
4. nie można wydawać mu wiążących poleceń co do załatwienia konkretnej sprawy, jakie wyniki należy osiągnąć, jak zbadać skargę lub skonsultować się z organem nadzoru, czy też co do treści opinii związane z prawem ochrony danych osobowych lub jakąkolwiek konkretną interpretacją prawa;
5. ma prawo wyrazić zdanie odrębne w przypadku decyzji, które są niezgodne z prawem o ochronie danych osobowych lub jego radą/opinią; w przypadku, gdy Dyrektor nie zgadza się z radą/opinią Inspektora Ochrony Danych, obowiązany jest należycie udokumentować i uzasadnić przyczyny nieprzestrzegania zaleceń Inspektora Ochrony.
5. Wymagania w zakresie wiedzy i doświadczenia

Inspektor ochrony danych musi posiadać wiedzę specjalistyczną w zakresie:

1. krajowych i europejskich przepisów i praktyk w zakresie ochrony danych;
2. operacji przetwarzania danych osobowych prowadzonych przez Łódzki Ośrodek Geodezji;
3. zasad i procedur obowiązujących w Łódzkim Ośrodku Geodezji;
4. przedmiotu działalności i zadań Łódzkiego Ośrodka Geodezji.

Ponieważ działania prowadzone przez Łódzki Ośrodek Geodezji są szczególnie złożone i wiążą się z dużą ilością Danych Osobowych, wymagany jest wyższy poziom wiedzy specjalistycznej. Dyrektor zapewnia IOD możliwość ciągłego szkolenia, aby mógł on stale podnosić poziom swojej wiedzy specjalistycznej.

6. Zadania Inspektora Danych Osobowych

Inspektor Danych Osobowych:

1. tworzy wytyczne i procedury operacyjne dotyczące wdrożenia zasad dotyczących danych osobowych,
2. definiuje metodologię, którą należy zastosować (w razie potrzeby) w odniesieniu do operacji przetwarzania danych osobowych;
3. we współpracy z Dyrektorem prowadzi kontrole w zakresie oceny zagadnień związanych z ochroną danych osobowych;
4. jest systematycznie angażowany na najwcześniejszym etapie we wszystkie kwestie związane z ochroną danych osobowych;
5. jest niezwłocznie informowany o naruszeniu ochrony Danych Osobowych lub innym incydencie;
6. udziela porad w przypadku przeprowadzenia oceny skutków dla ochrony danych;
7. działa jako punkt kontaktowy dla organu nadzoru w kwestiach związanych z Przetwarzaniem, w tym w ramach wcześniejszych konsultacji (w przypadku OSOD) i konsultowania, w razie potrzeby, w odniesieniu do każdej innej kwestii;
8. pełni rolę punktu kontaktowego dla Osób, których dane dotyczą np. w przypadku wykonywania ich praw.
8. Organ Nadzorczy

Jeśli konieczne jest zidentyfikowanie wiodącego organu nadzorczego, należy tego dokonać po konsultacji z Inspektorem Ochrony Danych.