ZASADY PRZETWARZANIA I OCHRONY DANYCH

POLSKA FUNDACJA MEDYTACJI VIPASSANA

Zasady, przedmiot i cele

1.1 Zarząd-trust Polskiej Fundacji Medytacji Vipassana z siedzibą w Dziadowicach 3a, 62-709 Malanów, woj wielkopolskie zobowiązuje się do przestrzegania wszystkich odpowiednich przepisów UE w zakresie danych osobowych oraz do ochrony "praw i wolności" osób, na temat których informacje są gromadzone przez Zarząd zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO).

The management of Polish Vipassana Foundation (Polska Fundacja Medytacji Vipassana) z siedzibą w Dziadowicach 3a 62-709 Malanów, woj. wielkopolskie (add name of the trust), is committed to comply with all relevant EU laws in respect of personal data, and to protecting the “rights and freedoms” of individuals whose information the Trust collects in accordance with the General Data Protection Regulation (GDPR).

1.2 Zobowiązanie: Zarząd zobowiązuje się do przestrzegania przepisów dotyczących ochrony danych i dobrych praktyk, w tym do:
a. przetwarzania danych osobowych tylko wtedy, gdy jest to bezwzględnie konieczne do uzasadnionych celów organizacyjnych;
b. gromadzenia tylko niezbędnych danych osobowych wymaganych do tych celów i do nie przekraczania tego niezbędnego minimum;
c. udzielania osobom fizycznym jasnych informacji o tym, w jaki sposób będą wykorzystywane ich dane osobowe i przez kogo;
d. przetwarzania tylko właściwych do realizacji celów Fundacji danych osobowych;
e. przetwarzania danych osobowych uczciwie i zgodnie z prawem;
f. prowadzenia spisu kategorii danych osobowych przetwarzanych przez Zarząd (zgodnie z RODO);
g. przechowywania aktualnych danych osobowych w prawidłowy sposób i, jeśli zajdzie taka potrzeba, ich aktualizacji;
h. przechowywania danych osobowych tylko tak długo, jak jest to konieczne z powodów prawnych lub w uzasadnionych celami organizacyjnymi;
j. respektowanie praw jednostek w odniesieniu do ich danych osobowych, w tym ich prawa do dostępu do danych;
j. zabezpieczenia wszystkich danych osobowych; dane będą dostępne jak najmniejszej liczbie osób i tylko wtedy, gdy jest to absolutnie konieczne.
k. przekazania danych osobowych poza obszar UE jedynie w okolicznościach, kiedy mogą być one odpowiednio chronione, stosowania różnych odstępstw dopuszczalnych w przepisach dotyczących ochrony danych;

1.3 Cel gromadzenia i przechowywania danych
Zarząd i jego wolontariusze (zwani usługującymi, patrz definicje poniżej) przechowują i procedują informacje do następujących celów;
1.3.1. umożliwienie nauczycielowi asystentowi lub wyznaczonemu usługującemu w jego / jej imieniu ocenę, czy uczeń jest odpowiedni do przyjęcia na kurs;
1.3.2. umożliwienie kierownictwu ośrodka zaplanowania zakwaterowania, wyżywienia, a czasami transportu dla ucznia;
1.3.3. umożliwienie uczniowi przed rozpoczęciem, w trakcie i po kursie medytacyjnym Vipassana właściwego przewodnictwa i pomocy;
1.3.4. z przyczyn prawnych lub wykonania zobowiązania, co oznacza przetwarzanie informacji niezbędnych do zapewnienia uczniowi lub usługującemu zakresu świadczenia, o które ubiegał się w zgłoszeniu;
1.3.5. świadczenia dodatkowych usług związanych z kursem po wyrażeniu zgody na te usługi lub gdy jest to w uzasadnionym interesie organizacji.
1.3.6. przesyłania biuletynu-newslettera lub prowadzenia dokumentacji finansowej (w tym dokumentacji darowizn)

W zakresie, w jakim system CALM jest wykorzystywany do przetwarzania danych osobowych, obowiązują zasady przetwarzania danych Fundacji CALM i odpowiednie instrukcje

Uwaga
Europejskie ośrodki medytacji Vipassana zdecydowały się używać systemu CALM do prowadzenia rejestracji. CALM jest głównym administratorem w procesie przetwarzania zgłoszeń na kursy, włączając zgłoszenia na długie kursy, administrację listą referencyjną i specjalną oraz korzystanie z dodatkowego oprogramowania. Fundacja CALM zawiadomiła odpowiedni Urząd Ochrony Danych - De Autoriteit Persoonsgegevens, w Hadze, w Holandii, że ​​jest administratorem danych i przetwarza określone informacje na temat osób, których dane dotyczą.

CALM zdefiniował wszystkie przetwarzane dane osobowe, co zawarł w swoim rejestrze danych. Inspektor Ochrony Danych został wyznaczony dla CALMa jak i dla Zarządu Polskiej Fundacji Medytacji Vipassana.

1.4 Kopia powiadomienia organu ochrony danych jest przechowywana przez inspektora ochrony danych, a zalecenia organu ochrony danych są podstawą do tego powiadomienia.

1.5 Powiadomienie organu ochrony danych jest odnawiane co roku.

1.6 Inspektor ochrony danych (IOD) jest odpowiedzialny za coroczną weryfikację powiadomienia, w przypadku wszelkich zmian w działaniach Zarządu (określonych przez zmiany w spisie kategorii przetwarzanych) jak też wszelkich działań, które mają wpływ na zmianę przetwarzania danych osobowych. Zasady ochrony danych obwiązują wszystkich uczniów i usługujących pracujących na zasadach wolontariatu dla Zarządu jak też wszelkich osób trzecich. Osoby trzecie pracujące z Zarządem lub dla niego, które mają lub mogą mieć dostęp do danych osobowych, będą musiały przeczytać, zrozumieć i zastosować się do tych zasad. Żadna strona trzecia nie ma dostępu do danych osobowych będących w posiadaniu Zarządu bez uprzedniego zawarcia umowy o zachowaniu poufności danych, która nakłada na stronę trzecią zobowiązania nie mniejsze niż te, którym powierzono zaufanie, i która daje Zarządowi prawo do kontroli zgodności z porozumieniem.

2. Podstawa Rozporządzenia o Ochronie Danych Osobowych (RODO)
Rozporządzenie o Ochronie Danych Osobowych (RODO) angGeneral Data Protection Regulation (GDPR) w 2016 r. zastępuje dyrektywę UE o ochronie danych z 1995 r. i zastępuje akty prawne poszczególnych państw członkowskich opracowane zgodnie z dyrektywą o ochronie danych 95/46 / WE. Jego celem jest ochrona "praw i wolności" żyjących osób oraz zapewnienie, że dane osobowe nie są przetwarzane bez ich wiedzy oraz, o ile to możliwe, że są przetwarzane za ich zgodą.
 
 Definicje stosowane przez organizację (pochodzące z RODO)


Zakres terytorialny – GDPR ma zastosowanie do wszystkich administratorów mających siedzibę w UE (kraje Unii Europejskiej i Europejskiego Obszaru Gospodarczego), którzy przetwarzają dane osobowe podmiotów danych w rozumieniu definicji. GDPR ma również zastosowanie do administratorów spoza UE, którzy przetwarzają dane osobowe w celu oferowania towarów i usług lub monitorują zachowanie osób zamieszkujących kraje EU.


Lokalizacja administratora – siedzibą administratora organizacji w UE będzie miejsce, w którym administrator podejmuje główne decyzje dotyczące celu przetwarzania danych. Głównym centrum przetwarzania danych w UE będzie jego centrum administracyjne. Jeżeli administrator ma siedzibę poza UE, będzie musiał wyznaczyć przedstawiciela w jurysdykcji, w której działa, i który to przedstawiciel będzie działał w imieniu administratora i współpracował z organami nadzoru.


Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”)- podmiot danych; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.


Specjalne kategorie danych osobowych - dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne/filozoficzne, przynależność do związków zawodowych, dane genetyczne, dane biometryczne umożliwiające jednoznaczną identyfikację osoby fizycznej, dane dotyczące zdrowia, dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej.


Administrator danych - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania


Osoba, której dane dotyczą (podmiot danych) - każda żywa osoba, której dotyczą dane osobowe, będące w posiadaniu organizacji.

Przetwarzanie - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie


Profilowanie - oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Definicja ta jest związana z prawem podmiotu danych do sprzeciwiania się profilowaniu oraz prawa do informacji na temat istnienia profilowania, środków opartych na profilowaniu i przewidywanych skutkach profilowania dla danej osoby


Naruszenie ochrony danych osobowych - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Obowiązkiem administratora jest zgłaszanie organom nadzorczym naruszenia ochrony danych osobowych oraz przypadków, w których naruszenie może niekorzystnie wpłynąć na dane osobowe lub prywatność osoby, której dane dotyczą.


Zgoda podmiotu danych - osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych


Dziecko – GDPR definiuje dziecko, jako osobę w wieku poniżej 16 lat. Przetwarzanie danych osobowych dziecka w wieku poniżej 13 lat jest zgodne z prawem wyłącznie w przypadku uzyskania zgody rodzica lub opiekuna. W przypadku organizowanych przez Polską Fundację Medytacji Vipassana kursów dziecięcych przyjęto zasadę nieprzyjmowania osób poniżej 18 roku życia bez zgody rodziców. Podobną zasadę wprowadziły podobne organizacje w krajach EU.


Strona trzecia - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe


Zbiór danych - oznacza każdy uporządkowany zestaw danych osobowych, które są dostępne zgodnie z określonymi kryteriami, czy to scentralizowane, zdecentralizowane czy rozproszone

Dodatkowe definicje
Uczeń: każdy, kto zgłasza się lub bierze udział w kursie medytacji Vipassana prowadzonym przez nauczyciela asystenta S.N. Goenki.
Nauczyciel asystent: każdy, kto został wyznaczony przez S.N. Goenkę lub następców, aby prowadzić kursy medytacji Vipassana. Dotyczy to również nauczycieli.
Starszy uczeń: każdy, kto ukończył kurs medytacji Vipassana prowadzony przez S.N. Goenkę lub jednego z jego nauczycieli asystentów.
Usługujący: starszy uczeń, który pomaga na kursie lub w ośrodku.


3. Obowiązki wynikające z ogólnego rozporządzenia o ochronie danych


3.1. Fundacja CALM jest administratorem danych zgodnie z RODO (GDPR).

3.2. Zarząd Polskiej Fundacji Medytacji Vipassana jest współ-administratorem w ramach RODO. Jeśli Zarząd korzysta z systemu CALM, w sposób zgodny z instrukcjami, CALM jest głównym administratorem danych. Zarząd nie odpowiada za oprogramowanie. Odpowiedzialność leży po stronie CALMa.

3.3. Zarząd Polskiej Fundacji Medytacji Vipassana jest odpowiedzialny za przetwarzanie danych osobowych poza CALMem, korzystanie z CALMa, odpowiednie ubezpieczenia dla usługujących i współpracę z Osobą do Kontaktu do Ochrony Danych (PCP)/inspektorem ochrony danych (DPO).
3.4. Inspektor ochrony danych i jego lokalni przedstawiciele-Osoby do Kontaktu do Ochrony Danych (PCP) mają szczególne obowiązki w odniesieniu do procedur, takich jak rozpatrywanie wniosków o dostęp do danych osób, których te dane dotyczą. Jeśli uczeń żada dostępu do swojego zasobu danych, należy skontaktować się z Osobą do Kontaktu do Ochrony Danych (PCP) lub Inspektorem ochrony danych (DPO).
3.5. Odpowiedzialność za przestrzeganie przepisów dotyczących ochrony danych spoczywa na wszystkich usługujących przetwarzających dane osobowe.
3.6. Szkolenie w korzystaniu z systemu CALM obejmuje również aspekt uważnego obchodzenia się z danymi osobowymi przez usługujących mających dostęp do systemu CALM

3.7. Przeszkoleni usługujący są odpowiedzialni za wprowadzenie i aktualizowanie danych osobowych do systemu CALM.

3.8. Usługujący mający dostęp do systemu CALM mają dostęp indywidualny. Podawane przez nich ich adresy email musza być indywidualne (nie wspólne). Hasła nie mogą być udostępniane. Każdy dostęp jest generowany indywidualnie.

4. Ocena ryzyka i audyty


Założeniel: Calm dysponuje procesem oceny poziomu ryzyka związanym z przetwarzaniem danych osób, których te dane dotyczą, aby być świadomym ryzyka przetwarzania danych. Ta ocena będzie przeprowadzana również w odniesieniu do przetwarzania podejmowanego przez inne organizacje w imieniu CALMA. CALM zajmuje się wszelkimi aspektami ryzyka, zidentyfikowanego podczas oceny ryzyka, aby zmniejszyć prawdopodobieństwo wystąpienia niezgodności z zasadami ochrony danych. Zarówno Osoba do Kontaktu do Ochrony Danych (PCP), jak i Inspektor Danych Osobowych (DPO) mogą kontrolować sposób przetwarzania danych osobowych. Jest to część umowy zawartej między CALMem a Zarządem Fundacji.
Jeśli rodzaj przetwarzania , zwłaszcza z użyciem nowych technologii, oraz biorąc pod uwagę charakter, zakres, kontekst i cel przetwarzania, niesie ze sobą wysokie ryzyko dla "praw i wolności" osób fizycznych, CALM powinien przeprowadzić oceny wpływu planowanych operacji przetwarzania na ochronę danych osobowych, zanim to przetwarzanie nastąpi. Pojedyncza ocena może dotyczyć zestawu podobnych operacji przetwarzania, które wykazują podobne wysokie ryzyko.
 
Jeżeli w wyniku oceny okaże się, że CALM miałby rozpocząć przetwarzanie informacji, które mogłyby spowodować szkody i / lub cierpienie osób, których te dane dotyczą, decyzja, odnośnie dalszego procedowania należy do Inspektora Ochrony Danych (DPO). W przypadku istotnych obaw, zarówno co do potencjalnej szkody, jak i ilości danych, Inspektor Ochrony Danych skieruje sprawę do Zarządu Fundacji CALM lub Rady Nadzorczej Fundacji CALM.


Odpowiednie kontrole zostaną przeprowadzone w celu zmniejszenia poziomu ryzyka związanego z przetwarzaniem pojedynczych danych na akceptowalnym poziomie, poprzez odniesienie do udokumentowanych kryteriów akceptacji ryzyka w Fundacji CALM i wymagań wynikających z RODO.

5. Zasady ochrony danych


Wszelkie przetwarzanie danych osobowych musi odbywać się zgodnie z następującymi zasadami ochrony danych Fundacji Calm

5.1 Dane osobowe muszą być przetwarzane zgodnie z prawem, uczciwie i przejrzyście.
 

RODO wprowadza wymóg przejrzystości, co oznacza, że Zarząd Polskiej Fundacji Medytacji Vipassana ma przejrzyste i łatwo dostępne zasady dotyczące przetwarzania danych osobowych oraz korzystania z "praw i wolności" osób fizycznych. Informacja musi być przekazana uczniowi w zrozumiałej formie za pomocą jasnego i prostego języka. Konkretne informacje, które należy dostarczyć uczniowi, muszą obejmować co najmniej:
 
1. Nazwę i dane kontaktowe Fundacji Calm,lub Zarządu Polskiej Fundacji Medytacji Vipassana lub jej przedstawiciela;

2. dane kontaktowe Inspektora Ochrony Danych;

3. cele przetwarzania danych osobowych oraz podstawy prawne przetwarzania;

4. okres, na jaki dane osobowe będą przechowywane;

5. istnienie prawa do żądania dostępu, poprawienia, usunięcia lub zgłoszenia sprzeciwu wobec przetwarzania;

6. kategorie danych osobowych;

7. odbiorcy lub kategorie odbiorców danych osobowych;

8. w stosownych przypadkach, informację, że Polska Fundacja Medytacji Vipassana zamierza przekazać dane osobowe odbiorcy w państwie trzecim oraz poziom ochrony danych;

9. wszelkie dalsze informacje niezbędne do zagwarantowania rzetelnego przetwarzania.
 
 
5.2 Dane osobowe mogą być gromadzone wyłącznie do określonych, jednoznacznych i legalnych celów.
 
Dane uzyskane dla określonych celów nie mogą być wykorzystywane do celów innych niż cele formalnie zgłoszone organowi ochrony danych (Autoriteit Persoonsgegevens).

 

5.3 Dane osobowe muszą być adekwatne do sytuacji, z powodu której są gromadzone i ograniczone do tej sytuacji
Co oznacza:
5.3.1 Inspektor ochrony danych wraz z Zarządem Polskiej Fundacji Medytacji Vipassana jest odpowiedzialny za zapewnienie, że informacje, które nie są ściśle niezbędne do celu, w którym są uzyskiwane, nie są gromadzone.
5.3.2. Wszystkie formularze zbierania danych (elektroniczne lub papierowe), w tym wymogi dotyczące gromadzenia danych w nowych systemach informatycznych, muszą zostać zatwierdzone przez inspektora ochrony danych.
5.3.3. Inspektor ochrony danych zapewni coroczne przeglądanie wszystkich metod gromadzenia danych przez audyt wewnętrzny w celu zapewnienia, że ​​zebrane dane są nadal odpowiednie, stosowne i nienadmierne.
5.3.4. Jeżeli któreś z przekazanych danych są bardziej obszerne niż te wymagane przez procedury CALMa lub Zarząd Polskiej Fundacji Medytacji Vipassana, Inspektor Ochrony Danych jest odpowiedzialny za zapewnienie, będą one bezpiecznie usunięte zgodnie z zasadami usuwania danych.

5.3.5. Osoba kontaktowa do Ochrony Danych (PCP) ma kwalifikacje do działania w imieniu inspektora ochrony danych, informując go o tym.

5.4 Dane osobowe muszą być dokładne i aktualne.
 
Co oznacza:

5.4.1 Dane, które są przechowywane przez długi czas, muszą zostać przejrzane i zaktualizowane w razie potrzeby. Żadne dane nie powinny być przechowywane, chyba że uzasadnione jest założenie, że jest to niezbędne.

5.4.2 Zarząd Fundacji i Calm są odpowiedzialne za zapewnienie, że wszyscy usługujący są przeszkoleni w zakresie zbierania danych i ich przechowywania w sposób właściwy.

5.4.3 Obowiązkiem przeszkolonych usługujących jest również zapewnienie, że dane przechowywane przez Fundację Calm są dokładne i aktualne. Wypełnienie formularza zgłoszenia lub rejestracyjnego jest traktowane jako fakt, że ​​dane w nich zawarte są dokładne w dniu złożenia.

5.4.4 Usługujący i uczniowie powinni powiadomić CALMa o wszelkich sytuacjach, kiedy aktualizacja danych nie jest możliwa.

5.4.5 Inspektor ochrony danych jest odpowiedzialny za zapewnienie podjęcia odpowiednich dodatkowych kroków w celu zapewnienia dokładności i aktualności danych osobowych, biorąc pod uwagę ilość zebranych danych, szybkość, czas w jakim mogą one ulec zmianie.

5.4.6 Co najmniej raz w roku Inspektor ochrony danych dokona przeglądu wszystkich danych osobowych przechowywanych przez system CALM, odwołując się do Rejestru danych, ustali, które dane nie są niezbędne i bezpiecznie je usunie.

5.4.7 Inspektor ochrony danych jest odpowiedzialny za dokonanie odpowiednich ustaleń, w przypadku gdy organizacjom stron trzecich mogły zostać przekazane niedokładne lub nieaktualne dane osobowe, w celu poinformowania ich, że informacje są niedokładne i / lub nieaktualne oraz nie mogą być wykorzystywane do informowania o decyzjach dotyczących danych osób; oraz za przekazanie jakiejkolwiek korekty danych osobowych stronie trzeciej, jeżeli jest to wymagane.

5.5 Dane osobowe muszą być przechowywane w takiej formie, aby osoba, której dane dotyczą, mogła zostać zidentyfikowana tylko przez taki okres, jaki jest niezbędny .
 
5.5.1 Jeżeli dane osobowe są przechowywane poza wyznaczonym czasem datą przetwarzania, zostaną zminimalizowane w celu ochrony tożsamości osoby, której dane dotyczą.

5.5.2 Dane osobowe będą przechowywane zgodnie z procedurą przechowywania zapisów, a po upływie daty przechowywania będą musiały zostać bezpiecznie zniszczone zgodnie z niniejszą procedurą.

5.5.3 Inspektor ochrony danych musi wyraźnie zatwierdzić zatrzymanie danych, które przekracza okresy zatrzymania i musi zapewnić, że uzasadnienie jest jasno określone i zgodne z wymogami ustawodawstwa dotyczącego ochrony danych.

5.6 Dane osobowe muszą być przetwarzane w sposób zapewniający ich bezpieczeństwo
 
5.6.1. Rodzaj kontroli został ustalony, na podstawie zidentyfikowanego ryzyka związanego z danymi osobowymi oraz potencjalnej szkody dla osób, których dane są przetwarzane.
5.6.2. Zgodność CALMa z tą zasadą zawarta jest w Systemie Zarządzania Bezpieczeństwem Informacji (ISMS), który został opracowany zgodnie z normą ISO / IEC 27001: 2013. Kontrola bezpieczeństwa będzie podlegać audytowi i przeglądowi.
5.6.3. Inne środki przetwarzania, (poza systemem CALM) zastosowane przez Zarząd Polskiej Fundacji Medytacji Vipassana muszą posiadać odpowiednie zabezpieczenia i podlegają zatwierdzeniu przez PCP i DPO. Obejmuje to narzędzia do zbierania dotacji, wysyłania biuletynu itp.

5.7 Przesyłanie danych osobowych poza Unię Europejską
 5.7.1. Przekazywanie danych osobowych poza UE jest zabronione, chyba że zastosowanie ma jedno lub więcej określonych zabezpieczeń lub wyjątków.
5.7.2. Zarząd Polskiej Fundacji Medytacji Vipassana dokonuje oceny, czy takie przekazanie danych byłoby właściwe, biorąc pod uwagę następujące czynniki: charakter przekazywanych informacji; kraj lub terytorium pochodzenia i ostateczne miejsce przeznaczenia informacji; w jaki sposób informacje będą wykorzystywane i przez jak długo; przepisy i praktyki kraju przejmującego, w tym odpowiednie kodeksy postępowania i zobowiązania międzynarodowe.
5.7.3. Wiążące reguły korporacyjne: Calm przyjmie zatwierdzone wiążące reguły korporacyjne dotyczące przekazywania danych poza UE i, takie jak Pricacy Shield w przypadku przeniesienia danych do Stanów Zjednoczonych. Zarząd Polskiej Fundacji Medytacji Vipassana zastosuje wiążące reguły korporacyjne w przypadku przeniesienia danych, jeśli będzie to niezbędne.
5.7.4. Wzorcowe klauzule umowy; CALM może przyjąć zatwierdzone wzorcowe klauzule umowy dotyczące przesyłania danych poza UE. Jeśli Fundacja Calm przyjmie wzorcowe klauzule umowy zatwierdzone przez organ ochrony danych, automatycznie będzie w stanie dokonać oceny właściwości przekazania. Zarząd Polskiej Fundacji Medytacji Vipassana włączy wzorcowe klauzule w przypadku przenoszenia danych poza EU.
5.7 5. Wyjątki; W przypadku braku decyzji w sprawie odpowiedniego poziomu ochrony, w tym wiążących reguł korporacyjnych, przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej odbywa się wyłącznie na jednym z następujących warunków:
● osoba, której dane dotyczą, wyraźnie zgodziła się na proponowane przeniesienie, po tym jak została poinformowana o możliwym ryzyku takiego przekazania dla osoby, której dotyczą dane, wywołanym brakiem decyzji w sprawie odpowiedniej ochrony danych i braku odpowiednich zabezpieczeń;
● przekazanie danych jest konieczne do wykonania umowy między osobą, której dane dotyczą, a administratorem danych lub do wdrożenia środków przedumownych podejmowanych na wniosek osoby, której dane dotyczą;
● przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a inną osobą fizyczną lub prawną;
● przekazanie jest konieczne z ważnych powodów związanych z interesem publicznym;
● przekazanie jest niezbędne do ustalenia, wykonania lub obrony roszczeń prawnych;
● przekazanie jest konieczne w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, w przypadku gdy podmiot danych jest fizycznie lub prawnie niezdolny do wyrażenia zgody;
● przeniesienie jest dokonywane z rejestru, który zgodnie z prawem Unii lub państwa członkowskiego ma na celu dostarczenie informacji społeczeństwu i który jest otwarty do konsultacji przez ogół społeczeństwa lub przez każdą osobę, która może wykazać uzasadniony interes.

5.8 Odpowiedzialność
RODO wprowadza zasadę odpowiedzialności, która stanowi, że administrator jest odpowiedzialny, aby każda operacja przetwarzania była zgodna z wymogami GDPR.
W szczególności administratorzy tacy jak Calm, czy Zarząd Polskiej Fundacji Medytacji Vipassana są zobowiązani do przechowywania niezbędnej dokumentacji wszystkich operacji przetwarzania, wdrażania odpowiednich środków bezpieczeństwa, przeprowadzania oceny czynników wpływających na przetwarzanie danych, przestrzegania wymagań dotyczących wcześniejszych powiadomień, do ubiegania się o zatwierdzenie przez organ nadzoru. To oznacza, że każdy Zarząd organizacji zajmującej się organizacją kursów Medytacji Vipassana musi wyznaczyć Inspektora Ochrony Danych Osobowych (DPO) lub skorzystać z pomocy Inspektora Ochrony Danych Osobowych Fundacji CALM i wyznaczyć Osobę do Kontaktu ds. Ochrony Danych (PCP), która jest reprezentantem DPO. Zarządy w krajach poza EU mogą wyznaczyć Osobę do Kontaktu ds. Ochrony Danych.


 6. Prawa uczniów

Uczniowie mają następujące prawa dotyczące przetwarzania danych i zgromadzonych danych, ich dotyczących:
 
6.1. Prawo do dostępu do informacji na temat rodzaju gromadzonych danych i ich ujawnienia.
6.2. Prawo do zapobieżenia przetwarzaniu, które może spowodować szkodę osoby, której dane dotyczą.
6.3. Prawo do zapobieżenia przetwarzaniu w celach marketingowych.
6. 4. Prawo do informacji o mechanizmie zautomatyzowanego procesu podejmowania decyzji.
6. 5. Żadna istotna decyzja, która może mieć wpływ na ucznia nie będzie podejmowana w procesie zautomatyzowanym.
6.6. Prawo do ubiegania się w sądzie o odszkodowanie, jeżeli poniosą szkodę w wyniku jakiegokolwiek naruszenia RODO.
6.7. Prawo do podjęcia działania w celu poprawienia, zablokowania, usunięcia danych, w tym prawo do bycia zapomnianym lub zniszczenia niedokładnych danych.
6. 8. Prawo do zwrócenia się do wrócić się do organu ochrony danych (Autoriteit Persoonsgegevens) o ocenę, czy jakiekolwiek zapisy RODO zostały naruszone.
6.9. Prawo do otrzymania zapisu przekazanych danych osobowych w postaci uporządkowanej, powszechnie używanej, możliwej do odczytu maszynowego oraz prawo do przekazania tych danych innemu administratorowi.
6.10. Prawo do sprzeciwu wobec automatycznego profilowania bez wyrażonej zgody.


Uczniowie mogą domagać się dostępu do swoich danych. Procedura opisuje, w jaki sposób Fundacja Calm i Zarząd Polskiej Fundacji Medytacji Vipassana zapewnią odpowiedź na wniosek o dostęp do danych, w sposób zgodny z wymogami rozporządzenia.

Uczniowie mają również prawo do wniesienia sprzeciwu wobec przetwarzania. W odniesieniu do Listy Referencyjnej, Komitet Specjalnych Spraw rozpatrzy zażalenie zgodnie z procedurami CALM. W razie potrzeby, Zarząd Polskiej Fundacji Vipassana skieruje ucznia do Inspektora Danych Osobowych (DPO), który może skontaktować się z Komisją Specjalnych Spraw w celu rozpatrzenia wpisu.


Składanie zażaleń
Osoby, które chcą złożyć zażalenie do Fundacji Calm lub Zarządu Polskiej Fundacji Medytacji Vipassana odnośnie sposobu przetwarzania ich danych osobowych, mogą złożyć skargę bezpośrednio do inspektora ochrony danych. Osoby, których dane dotyczą - Podmioty danych mogą również składać zażalenia bezpośrednio do organu ochrony danych (de Autoriteit Persoonsgegevens). Jeżeli osoby, których dane dotyczą chcą złożyć skargę na temat sposobu rozpatrzenia ich skargi lub odwołać się od decyzji podjętej w następstwie zażalenia, mogą złożyć kolejne zażalenie do inspektora ochrony danych. Prawo do złożenia zażalenia powinno być włączone do procedury składania zażaleń i zarówno uczniowie jak i usługujący powinni być o nim powiadomieni.

7. Zgoda
Zarząd Polskiej Fundacji Medytacji Vipassana rozumie "zgodę" jako jednoznaczne , dobrowolne, świadome, dotyczący konkretnej sprawy życzenie osoby, której dane dotyczą wyrażone przez oświadczenie lub inne wyraźne działanie afirmatywne dotyczące przetwarzania jej danych osobowych. Zgoda osoby, której dane dotyczą, może zostać wycofana w dowolnym momencie.


Zarząd Polskiej Fundacji Medytacji Vipassany rozumie, że osoba, której dane dotyczą udzielając "zgody", została poinformowana o zamierzonym przetwarzaniu i wyraziła zgodę na nią, będąc w pełni władz umysłowych, nie będąc pod wpływem nacisku. Zgoda uzyskana pod przymusem lub na podstawie wprowadzających w błąd informacji nie będzie stanowić ważnej podstawy przetwarzania. Wyrażenie zgody musi być aktem, czyli musi istnieć aktywna komunikacja między stronami. Zgody nie można wywnioskować z braku odpowiedzi . W przypadku danych szczególnie chronionych należy uzyskać wyraźną pisemną zgodę osób, których dane dotyczą, chyba że istnieje alternatywna zatwierdzona metoda przetwarzania.


W większości przypadków zgoda na przetwarzanie danych osobowych i danych wrażliwych jest uzyskiwana rutynowo przez Fundację Calm oraz Zarząd Polskiej Fundacji Medytacji Vipassana za pomocą standardowych dokumentów zgody, np. kiedy uczeń składa wniosek o uczestnictwo w kursie, lub zgłasza się jako usługujący do pomocy na kursie. W przypadku, gdy Fundacja Calm świadczy usługi on-line dla dzieci, należy uzyskać zgodę rodzica lub opiekuna. Wymóg ten dotyczy dzieci w wieku poniżej 16 lat (chyba że państwo członkowskie przewidziało niższy limit wiekowy - który nie może być niższy niż 13 lat). Te same zasady odnoszą się do wykorzystywania informacji od dzieci spoza systemu Calm przez Zarząd Polskiej Fundacji Medytacji Vipassana.

 

8. Bezpieczeństwo danych
 Wszyscy usługujący są odpowiedzialni za zapewnienie, że wszelkie dane osobowe, zarówno te, a które odpowiada CALM jak i inne, są przechowywane w bezpieczny sposób i nie są pod żadnym warunkiem ujawniane osobom trzecim, chyba że ta trzecia strona została specjalnie upoważniona przez Fundację Calm do otrzymywania informacji i zawarła umowę o zachowaniu poufności.

Dane osobowe muszą być przechowywane:
● w zamykanym pomieszczeniu z kontrolowanym dostępem; i / lub
● w zamkniętej szufladzie lub szafce na dokumenty; i / lub
● w komputerze, chronionym hasłem; i / lub
● na (wymiennych) nośnikach komputerowych, które są zaszyfrowane i powinny być anonimizowane lub pseudominizowane, gdy tylko jest to możliwe.


Należy zadbać o to, aby ekrany i terminale komputera były niewidoczne z wyjątkiem autoryzowanych usługujących. Zapisy nie mogą być pozostawione tam, gdzie mogą być dostępne dla nieupoważnionych osób i nie mogą być usunięte z miejsca pracy bez wyraźnej zgody. Kiedy fizyczne zapisy nie będą już potrzebne, muszą zostać usunięte z bezpiecznej archiwizacji.
Dane osobowe można usuwać wyłącznie zgodnie z procedurą przechowywania danych. Dokumentacja fizyczna, po terminie przechowywania, musi zostać rozdrobniona i usunięta jako "poufne odpady". Dyski twarde z likwidowanych komputerów osobistych należy usunąć i natychmiast zniszczyć w razie potrzeby przed oddaniem do utylizacji.


Przetwarzanie danych osobowych poza ośrodkiem medytacyjnym-siedzibą Fundacji stanowi potencjalnie większe ryzyko utraty, kradzieży lub uszkodzenia danych osobowych. Usługujący muszą być specjalnie upoważnieni do przetwarzania danych poza ośrodkiem, należy zapoznać się z procedurą dotyczącą naruszenia danych i zastosować ją w razie potrzeby.

9. Prawo dostępu do danych
 Podmioty danych mają prawo dostępu do wszelkich danych osobowych (tj. danych na ich temat), które są przechowywane w systemie CALM w formie elektronicznej i zapisów ręcznych, które stanowią część odpowiedniego zbioru danych. Obejmuje to prawo do wglądu w poufne osobiste zalecenia otrzymane od Fundacji Calm oraz informacje uzyskane od organizacji zewnętrznych na temat tej osoby.
Uczniowie mają również prawo dostępu do informacji, które na ich temat gromadzi Zarząd Polskiej Fundacji Medytacji Vipassana. Obejmuje to informacje przechowywane w segregatorach, dotyczące służenia w ramach wolontariatu, dotacji, biuletynów, rzeczy pozostawionych/zagubionych, dzielonych dojazdów na kurs, kursów dziecięcych, zażaleń i innych nie przechowywanych w CALMie danych, a będących w posiadaniu Zarządu. Aby uzyskać informację przechowywaną w CALMie, należy skontaktować się z Inspektorem Danych Osobowych (DPO) lub Osobą do Kontaktu ds. danych osobowych (PCP).

10. Ujawnianie danych
Zarząd Polskiej Fundacji Medytacji Vipassana zapewnia, że dane osobowe nie będą ujawnione nieupoważnionym osobom trzecim, w tym członkom rodziny, przyjaciołom, organom rządowym, a także w pewnych okolicznościach policji. Wszyscy usługujący powinni zachować ostrożność, będąc proszeni o ujawnienie przechowywanych danych osobowych osobie trzeciej. Wskazane jest uczestniczenie w szkoleniach, które pomogą im radzić sobie skutecznie z takim ryzykiem. Ważne jest, aby mieć zawsze na uwadze, czy ujawnienie informacji jest istotne i konieczne do prowadzenia kursów.
RODO zezwala na niektóre ujawnienia danych bez zgody, o ile informacje są wymagane dla jednego lub więcej z następujących celów:
● chronienie bezpieczeństwa narodowego;
● zapobieganie przestępstwu lub pomoc w wykryciu, pomoc w ściganiu przestępców;
● pobór podatku;
● przeprowadzanie funkcji regulacyjnych (obejmuje zdrowie, bezpieczeństwo i dobrostan osób w miejscu pracy);
● zapobieżenie poważnej szkodzie osoby trzeciej;
● ochrona żywotnych interesów jednostki, odnosi się to do sytuacji życiowych i śmierci.
 
Wszystkie wnioski o dostarczenie danych z jednego z tych powodów muszą być poparte odpowiednią dokumentacją, a wszystkie takie ujawnienia muszą być wyraźnie autoryzowane przez inspektora ochrony danych.


11. Zatrzymywanie i usuwanie danych
Dane osobowe nie mogą być przechowywane dłużej niż jest to wymagane. Gdy usługujący zakończy swoje służenie lub uczeń przestanie zgłaszać się na kursy, może nie być konieczne przechowywanie wszystkich informacji na jego temat. Niektóre dane będą przechowywane przez dłuższy czas niż inne. Procedury przechowywania i usuwania danych CALMa będą miały zastosowanie we wszystkich przypadkach objętych korzystaniem z systemu CALM. Okres przechowywania papierowych zgłoszeń wynosi maksymalnie 10 lat, chyba że istnieją przesłanki do dotyczące ewentualnego postępowania sądowego.

Usuwanie zapisów

Dane osobowe muszą być usuwane w sposób chroniący "prawa i wolności" osób, których dane dotyczą (np. rozdrabnianie, usuwanie w formie poufnych odpadów, bezpieczne usuwanie elektroniczne) oraz zgodnie z procedurą bezpiecznego usuwania.


12. Procedura naruszenia danych
Zarząd Polskiej Fundacji Medytacji Vipassana wprowadził procedurę naruszenia danych. Każde naruszenie musi być zgłoszone do PCP / DPO zgodnie z zatwierdzonymi zasadami.


 13. Data wejścia w życie
Niniejsze zasady przetwarzania danych osobowych obowiązują od 26 maja 2018 r. Zarząd Polskiej Fundacji Medytacji Vipassana zastrzega sobie prawo do zmiany i / lub ponownego opracowania zasad. Wszyscy usługujący w Zarządzie są zobowiązani do przestrzegania zasad przetwarzania danych. Dotyczy to członków Zarządu, usługujących na kursach, usługujących, służących przez dłuższy czas w ośrodku, nauczycieli asystentów i nauczycieli asystentów zza granicy.


14. Komunikacja
Zasady przetwarzania danych zostaną również przekazane uczniom i usługującym, ubiegającym się o uczestnictwo w kursach w sposób zrozumiały i kompleksowy. Kopia tych zasad jest dostępna dla wszystkich uczniów i usługujących na żądanie, a także można ją znaleźć na stronie internetowej Polskiej Fundacji Medytacji Vipassana www.pallava.dhamma.org


15 Ubezpieczenia
Zarząd Polskiej Fundacji Medytacji Vipassana sprawdzi czy polisa ubezpieczeniowa usługujących obejmuje niewłaściwe wykorzystanie danych osobowych. W razie potrzeby zasady zostaną dostosowane.


16. Manuale
Zarząd Polskiej Fundacji Medytacji Vipassana przejrzy wszystkie obowiązujące w ośrodku manuale i poinformuje odpowiednie komitety i nauczycieli o zmianach.