POLITYKA BEZPIECZEŃSTWA - RODO

 

POLITYKA BEZPIECZEŃSTWA PROCESÓW PRZETWARZANIA DANYCH OSOBOWYCH

W Ośrodku Szkolenia Kierowców "ALFA" Tomasz Wysocki

 

Niniejszy dokument, zwany dalej „Polityką bezpieczeństwa”, został opracowany na podstawie  postanowień Rozporządzenia.

Realizując  postanowienia  Rozporządzenia,  Polityka  bezpieczeństwa  procesów  przetwarzania

danych osobowych opisuje sposób przetwarzania danych oraz środki techniczne i organizacyjne

zastosowane          w         celu          ochrony         danych          osobowych         przetwarzanych

w   Ośrodku   Szkolenia   Kierowców   "ALFA"   Tomasz   Wysocki.      („OSK”),      wprowadza

zestaw     praw,     reguł     i  praktycznych    doświadczeń    regulujących    sposób    zarządzania

ochroną,    pozwalający    na zapewnienie ochrony danych osobowych przetwarzanych w OSK.

 

 

OGÓLNE ZASADY BEZPIECZEŃSTWA DANYCH OSOBOWYCH

 

§ 1.

DEFINICJE

1)         Administrator danych osobowych – OSK reprezentowana przez osobę upoważnioną

do reprezentacji podmiotu zgodnie z obowiązującymi w tym zakresie wymogami prawa.

2)         Dane    osobowe    –    informacja    dotycząca    zidentyfikowanej    lub    możliwej    do

zidentyfikowania osoby fizycznej.

3)         Osoba   upoważniona   -   osoba   posiadająca   pisemne   upoważnienie   wydane   przez

administratora danych osobowych (lub osobę upoważnioną przez niego) i dopuszczona,

jako użytkownik, do przetwarzania danych osobowych w systemie papierowym, bądź w

systemie informatycznym, w zakresie wskazanym w upoważnieniu,

4)         Przetwarzanie  danych  osobowych  -  wykonywanie  jakichkolwiek  operacji  na  danych

osobowych,    takich    jak    zbieranie,    utrwalanie,    przechowywanie,    opracowywanie,

zmienianie, udostępnianie i ich usuwanie.

5)         System informatyczny - zespół współpracujących ze sobą urządzeń, oprogramowania, i

danych    służący    do    przetwarzania    danych    osobowych    przy    pomocy    technik

komputerowych,

6)         System  tradycyjny  -  kartoteki,  skorowidze,  księgi,  wykazy  i  inne  papierowe  zbiory

ewidencyjne,

7)         Użytkownik   systemu   -   osoba   posiadająca   uprawnienia   do   przetwarzania   danych

osobowych w systemie informatycznym,

8)         Zbiór  danych  osobowych  -  każdy  posiadający  strukturę  zestaw  danych  o  charakterze

osobowym,  dostępnych  według  określonych  kryteriów,  niezależnie  od  tego,  czy  zestaw

ten jest rozproszony lub podzielony funkcjonalnie.

 

§ 2.

ZAKRES STOSOWANIA POLITYKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH

1.         Polityka bezpieczeństwa procesów przetwarzania danych osobowych ma zastosowanie w

stosunku do wszystkich postaci informacji zawierających dane osobowe, w szczególności

dokumentów  papierowych  oraz  zapisów  elektronicznych  i  innych,  będących  własnością

OSK, jak również przetwarzanych w systemach informatycznych, służących komunikacji

wewnętrznej.

2.         Polityka bezpieczeństwa procesów przetwarzania danych osobowych ma zastosowanie w

stosunku do wszystkich pracowników, jak również osób, z którymi OSK zawarła umowy

o  charakterze  cywilno-prawnym  tj.  umowy  zlecenia,  umowy  o  dzieło  itp.,    którzy  mają

dostęp do danych osobowych.

3.          Ochrona    danych    osobowych    wynikająca    z    Polityki    bezpieczeństwa    procesów

przetwarzania  danych  osobowych  jest  realizowana  na  każdym  etapie  przetwarzania

informacji.

 

§ 3.

UWZGLĘDNIENIE OCHRONY DANYCH W FAZIE PROJEKTOWANIA

1.       Uwzględniając stan wiedzy technicznej, koszt wdrażania charakter, zakres, kontekst i cele

przetwarzania  oraz  ryzyko  naruszenia  praw  lub wolności  osób  fizycznych  o różnym

prawdopodobieństwie  i wadze  zagrożenia,  administrator  wdraża  odpowiednie  środki

techniczne   i organizacyjne   w   celu   zapewnienia   bezpieczeństwa   danych   osobowych

odpowiadający    ryzyku.    Środki    te    są    w razie    potrzeby    poddawane    przeglądom

i uaktualniane.

2.       Przy  określaniu  sposobów  przetwarzania  już  na  etapie  projektowania,  jak  i w czasie

samego przetwarzania, administrator danych dokonuje szczegółowej analizy planowanego

procesu przetwarzania danych osobowych i podejmuje działania polegające na ochronie danych osobowych zgodnie z przepisami.  

 

§ 4.

ZASADY I ZAKRES PRZETWARZANIA DANYCH OSOBOWYCH

1.         W zakresie przetwarzania danych osobowych OSK zobowiązana jest dołożyć szczególnej

staranności  w  celu  ochrony  interesu  osób,  których  te  dane  dotyczą,  a  w  szczególności

przestrzegać następujących zasad:

1)    Zasady legalności – przetwarzać dane zgodnie z prawem;

2)    Zasady celowości – dane zbierać tylko do oznaczonych, zgodnych z prawem celów i

nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami;

3)    Zasady  merytorycznej  poprawności  –  dane  muszą  być  zgodne  z  prawdą,  pełne

(kompletne) i aktualne;

4)    Zasady  adekwatności  danych  –  przetwarzać  tylko  te  dane,  które  są  niezbędne  ze

względu na cel ich zbierania;

5)    Zasada   ograniczenia   czasowego   –   przechowywać   dane   nie   dłużej   niż   jest   to

niezbędne do osiągnięcia celu przetwarzania, tj. realizacji usługi lub/i wywiązywania

się z zapisów umowy.

2.         Przetwarzanie zwykłych danych osobowych jest dopuszczalne tylko wtedy, gdy:

1)    osoba,  której  dane  dotyczą,  wyrazi  na  to  zgodę,  chyba  że  chodzi  o  usunięcie

dotyczących  jej  danych;  zgoda  może  obejmować  również  przetwarzanie  danych  w

przyszłości, jeżeli nie zmienia się cel przetwarzania.

2)    jest   to   niezbędne   dla   zrealizowania   uprawnienia   lub   spełnienia   obowiązku

wynikającego z przepisu prawa,

3)    jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną

lub gdy  jest to niezbędne  do podjęcia  działań  przed zawarciem umowy  na żądanie

osoby, której dane dotyczą,

4)    jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra

publicznego,

5)    jest  to  niezbędne  dla  wypełnienia  prawnie  usprawiedliwionych  celów  (marketing

bezpośredni własnych produktów lub usług administratora danych lub dochodzenie

roszczeń   z   tytułu   prowadzonej   działalności   gospodarczej)   realizowanych  przez

administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i

wolności osoby, której dane dotyczą.

3.         Konieczne  jest  stosowanie  środków  technicznych  i  organizacyjnych  zapewniających

ochronę  przetwarzanych  danych  osobowych,  odpowiednich  do  zagrożeń  oraz  kategorii

danych   objętych   ochroną,   a   w   szczególności   zabezpieczenie   danych   przed   ich

udostępnieniem   osobom  nieupoważnionym,  zabraniem   przez   osobę   nieuprawnioną,

przetwarzaniem   z   naruszeniem   ustawy   oraz   zmianą,   utratą,   uszkodzeniem   lub

zniszczeniem.

4.         Osobą  odpowiedzialną  za  nadzór  nad  procesem  przetwarzania  danych  osobowych  w

OSK jest kierownik Ośrodka Szkolenia Kierowców "ALFA" - Tomasz Wysocki.

5.         OSK przetwarza dane osobowe tylko i wyłącznie w zakresie niezbędnym do prowadzenia

działalności gospodarczej.

 

§ 5.

ZARZĄDZANIE BEZPIECZEŃSTWEM DANYCH OSOBOWYCH

1.         Administratorem danych osobowych przetwarzanych w OSK jest osoba upoważniona do

reprezentacji OSK.

2.         Zarządzanie bezpieczeństwem danych osobowych jest procesem ciągłym, realizowanym

przy   współdziałaniu   wszystkich   osób   upoważnionych   do   przetwarzania   danych

osobowych.

3.         W   celu   zapewniania   przestrzegania   przepisów   o   ochronie   danych   osobowych,

Administrator danych podejmuje działanie zgodne z przepisami.

4.   Do   przetwarzania   danych   mogą   być   dopuszczone   wyłącznie   osoby   posiadające

upoważnienie nadane przez administratora danych. 

5.          Administrator   danych   osobowych   prowadzi   ewidencję   wydanych   upoważnień   do

przetwarzania danych osobowych.

6.         Administrator posiada ewidencję wydanych upoważnień do przetwarzania danych osobowych.

7.         Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w

tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

 

 § 6.

OBOWIĄZKI ADMINISTRATORA DANYCH

1.         Administrator danych osobowych, dopełniając obowiązku informacyjnego zawiadamia

osobę, której dane dotyczą o:

a)        adresie swojej siedziby i pełnej nazwie,

b)       celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji

lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

c)        zakresie przetwarzanych danych osobowych,

d)       prawie dostępu do treści swoich danych oraz ich poprawiania;

e)        dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o

jego podstawie prawnej,

f)        okresie, przez który dane będą przechowywane,

g)        pouczyć osobę, której dane dotyczą o przysługujących jej prawach.

 

§ 7.

UPRAWNIENIA OSOBY, KTÓREJ DANE DOTYCZĄ

1.   OSK  podejmuje  odpowiednie  środki,  aby  w  zwięzłej,  przejrzystej,  zrozumiałej  i  łatwo

dostępnej  formie,  jasnym  i  prostym  językiem,  udzielić  osobie  której  dane  dotyczą

stosowne informacje o fakcie przetwarzania. 

2.   Informacji udziela się na piśmie lub w formie elektronicznej.

3.   Informacji   udziela   się   najpóźniej   w   ciągu   miesiąca   od   daty   zaistnienia   zdarzenia

uzasadniającego udzielenie informacji.

4.   Jeżeli  dane  osobowe  sa  nieprawidłowe,  osoba,  której  dane  dotyczą  ma  prawo  żądania

niezwłocznego sprostowania danych oraz uzupełnienia niekompletnych danych.

5.   Osoba, której dane dotyczą ma prawo żądania usunięcia jej danych osobowych. 

6.   Osoba,  której  dane  dotyczą,  może  wnieść  sprzeciw  co  do  przetwarzania  jej  danych  dla

celów marketingowych. O prawie do sprzeciwu co do przetwarzania danych na potrzeby

marketingu informuje się odrębnie od wszelkich innych informacji.

7.   Jeżeli  osoba,  której  dane  dotyczą  wniosła  sprzeciw  wobec  przetwarzania  jej  danych  na

potrzeby marketingu, administrator danych usuwa jej dane osobowe

 

II.                  OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH

 

§ 8.

ZAKRES TERYTORIALNY PRZETWARZANIA DANYCH OSOBOWYCH

1.         Dane  osobowe  są  przechowywane  w  pomieszczeniach  biurowych  w  siedzibie  OSK  w

Białymstoku  przy  ul.  Składowej 7 lok 103 i ul. Skłodowskiej 3 lok 81  (obszar przetwarzania danych osobowych).

2.         Obszar przetwarzania danych osobowych, zabezpiecza się przed dostępem osób

nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania

danych osobowych.

3.         Przebywanie osób nieuprawnionych w obszarze przetwarzania danych jest dopuszczalne

za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania

danych osobowych.

 

 

III.      ZBIORY    DANYCH    OSOBOWYCH    PRZETWARZANE    PRZEZ    OSK    ORAZ    PRZEPŁYW

DANYCH POMIĘDZY SYSTEMAMI

 

§ 9.

1.         Dane osobowe przetwarzane są w funkcjonalnie podzielonych bazach danych osobowych

(„Baza danych”, „Zbiór danych”).

2.         Dane osobowe pozyskiwane są od osób, których dane dotyczą. 

3.         OSK wyklucza możliwość zakupu bazy danych od podmiotów zewnętrznych.

 

§ 10.

OSK przetwarza się dane osobowe zlokalizowane w zbiorach danych osobowych.

 

§ 11.

1.         Dane osobowe, w zależności od charakteru zbioru, przetwarzane są, bądź w systemach

papierowych, bądź w systemach informatycznych.

2.         Dane osobowe przetwarzane są  centralnie/w systemie rozproszonym.

3.         W  przypadku  powierzenia  przetwarzania  danych  osobie  trzeciej  (firmie  zewnętrznej)

sposób przetwarzania danych reguluje odrębna umowa zawarta na piśmie.

4.         Do  przetwarzania  danych  w  systemie  informatycznym  stosuje  się  zabezpieczenia,  o

których   jest   mowa   w   Ustawie   o   ochronie   danych   osobowych   oraz   przepisach

wykonawczych.

 

III.                ZABEZPIECZENIE DANYCH

 

§ 12.

UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH

1.         Dane osobowe mogą być przetwarzane wyłącznie przez osobę upoważnioną, czyli osobę

posiadającą pisemne upoważnienie do przetwarzania danych dla osób, w którym ustala się

zakres czynności, do wykonywania których jest uprawniona oraz w którym zobowiązuje

się  ją  do  zachowania  poufności  informacji  pozyskanych  w  związku  z  przetwarzaniem

danych (informacji dotyczących danych osobowych oraz zastosowanych zabezpieczeń).

2.         Upoważnienia do przetwarzania danych osobowych wydaje Administrator Danych.

3.         Administrator  danych  prowadzi   ewidencję  wydanych   upoważnień   do  przetwarzania

danych osobowych. Ewidencje wydanych upoważnień przechowuje OSK.

4.         Do  przetwarzania  danych  osobowych  może  być  dopuszczona  wyłącznie  osoba,  która

została  przeszkolona  w  zakresie  bezpieczeństwa  danych,  w  szczególności  zapoznana  z

Instrukcją  określającą  sposób  zarządzania  systemami  informatycznymi  służącymi  do

przetwarzania danych osobowych.

5.         W  OSK obowiązuje program szkolenia  pracowników upoważnionych  do przetwarzania

danych w zakresie ochrony danych.

6.         Dostęp do danych, przyznawanie, modyfikacja, wycofanie uprawnień odbywa się zgodnie

z   procedurą   określoną   w   Instrukcji   określającej   sposób   zarządzania   systemami

informatycznymi służącymi do przetwarzania danych osobowych  obowiązującej w OSK.

7.         Z   chwilą   ustania   stosunku   pracy   wygasają   uprawnienia   do   przetwarzania   danych

osobowych. Nie jest wymagane wystawienie dokumentu odwołującego upoważnienie do

przetwarzania danych osobowych, z wyjątkiem sytuacji, gdy zmienia się zakres wcześniej

przyznanego upoważnienia.

 

§ 13.

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

1.         Dopuszczalne  jest  powierzenie  przetwarzania  danych  osobowych  innemu  podmiotowi,

pod warunkiem zawarcia odpowiedniej umowy na piśmie. 

2.         Podmiot  przetwarzający  dane  na  podstawie  umowy  o  powierzeniu  przetwarzania,  jest

uprawniony do przetwarzania danych w zakresie i celu określonym w treści umowy. 

3.         Podmiot   przetwarzający   na   lecenie   nie   może   przetwarzać   danych   osobowych   do

jakichkolwiek innych celów.

 

§  14.

SZKOLENIA

1.         OSK realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia

zaznajomienie osób upoważnionych do dostępu lub przetwarzania danych osobowych z

powszechnie obowiązującymi przepisami prawa, procedurami wewnętrznymi, jak również

technikami i środkami ochrony tych danych stosowanymi w OSK a także odpowiednio, z

ich zmianami.

 

IV.                ZAWIADAMIANIE O INCYDENTACH NARUSZENIA OCHRONY

 

§  15.

1.         W  przypadku  stwierdzenia  naruszenia  lub  zaistnienia  okoliczności  wskazujących  na

naruszenie  ochrony  danych  osobowych,  pracownik  OSK  ma  obowiązek  bezzwłocznie

powiadomić o tym fakcie administratora danych oraz bezpośredniego przełożonego.

2.         W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki

– w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia –

zgłasza  je  organowi właściwemu  ds.  ochrony  danych  osobowych  (Generalny  Inspektor

Ochrony Danych Osobowych/Prezes Urzędu Ochrony Danych Osobowych), chyba że

jest  mało  prawdopodobne,  by  naruszenie  to  skutkowało  ryzykiem  naruszenia  praw

lub wolności  osób  fizycznych.  Do  zgłoszenia  przekazanego  organowi  nadzorczemu  po

upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. 

3.         Administrator  danych  ma  obowiązek  zgromadzenia  wszelkiej  dokumentacji  związanej  z

incydentem  naruszenia  ochrony  danych.  W  szczególności  administrator  danych  ma

obowiązek udokumentować i opisać:

a)    okoliczności naruszenia ochrony danych osobowych,

b)   skutki

c)   podjęte działania zaradcze.

4.         Jeżeli   naruszenie   ochrony   danych   osobowych   może   powodować   wysokie   ryzyko

naruszenia praw lub wolności osób fizycznych, administrator danych bez zbędnej zwłoki

zawiadamia osobę, której dane dotyczą, o takim naruszeniu, opisując charakter naruszenia

ochrony danych osobowych oraz poinformować osobę, której dane zostały naruszone o:

a)    w jaki sposób można skontaktować się z administratorem danych w celu uzyskania

dodatkowych informacji;

b)     opisać możliwe konsekwencje naruszenia ochrony danych;

c)    opisać  zastosowane  przez  administratora  danych  środki  w  celu  zminimalizowania

skutków  naruszenia  ochrony  oraz  podjętych  działaniach  zmniejszających  ryzyko

naruszenia ochrony w przyszłości.

3.         Zawiadomienie nie jest wymagane, w następujących przypadkach: 

a)    administrator   wdrożył   odpowiednie   techniczne   i organizacyjne   środki   ochrony

i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie,

w szczególności środki     takie  jak  szyfrowanie,  uniemożliwiające  odczyt  osobom

nieuprawnionym do dostępu do tych danych osobowych;

b)    administrator    zastosował    następnie    środki    eliminujące    prawdopodobieństwo

wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym

mowa w ust. 1; 

c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku administrator

danych  wydaje  publiczny  komunikat,  za  pomocą  którego  osoby,  których  dane

dotyczą, zostają poinformowane w równie skuteczny sposób. 

 

V.                  KONSEKWENCJE NARUSZENIA POLITYKI BEZPIECZEŃSTWA

 

§  16.

1.         Każdy  pracownik/współpracownik  OSK  mający  dostęp  do  danych  osobowych  jest

zobowiązany   do   przestrzegania   zasad   ochrony   danych   osobowych   wynikających   z

niniejszej   Polityki   bezpieczeństwa   procesów   przetwarzania   danych   osobowych   oraz

innych obowiązujących w OSK wewnętrznych procedur związanych z bezpieczeństwem

informacji.

2.         Za  nieprzestrzeganie  zasad  bezpieczeństwa  danych  osobowych  pracownik  może  być

ukarany  karą  upomnienia,  nagany,  bądź  karą  pieniężną,  na  zasadach  określonych  w

przepisach prawa pracy.

3.         Jeżeli  naruszenie  zasad  bezpieczeństwa  danych  osobowych  wiąże  się  z  naruszeniem

przepisów prawa, pracownik ponosi odpowiedzialność w trybie i na zasadach określonych

w tych przepisach.

 

VI.                POSTANOWIENIA KOŃCOWE

 

§  17.

Polityka bezpieczeństwa procesów przetwarzania danych osobowych  w OSK wchodzi w życie z

dniem  25,05,2018 roku.