POLITYKA BEZPIECZEŃSTWA - RODO

POLITYKA BEZPIECZEŃSTWA PROCESÓW PRZETWARZANIA DANYCH OSOBOWYCH
W Ośrodku Szkolenia Kierowców "ALFA" Tomasz Wysocki
Niniejszy dokument, zwany dalej „Polityką bezpieczeństwa”, został opracowany na podstawie postanowień Rozporządzenia.
Realizując postanowienia Rozporządzenia, Polityka bezpieczeństwa procesów przetwarzania
danych osobowych opisuje sposób przetwarzania danych oraz środki techniczne i organizacyjne
zastosowane w celu ochrony danych osobowych przetwarzanych
w Ośrodku Szkolenia Kierowców "ALFA" Tomasz Wysocki. („OSK”), wprowadza
zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania
ochroną, pozwalający na zapewnienie ochrony danych osobowych przetwarzanych w OSK.
OGÓLNE ZASADY BEZPIECZEŃSTWA DANYCH OSOBOWYCH
§ 1.
DEFINICJE
1) Administrator danych osobowych – OSK reprezentowana przez osobę upoważnioną
do reprezentacji podmiotu zgodnie z obowiązującymi w tym zakresie wymogami prawa.
2) Dane osobowe – informacja dotycząca zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.
3) Osoba upoważniona - osoba posiadająca pisemne upoważnienie wydane przez
administratora danych osobowych (lub osobę upoważnioną przez niego) i dopuszczona,
jako użytkownik, do przetwarzania danych osobowych w systemie papierowym, bądź w
systemie informatycznym, w zakresie wskazanym w upoważnieniu,
4) Przetwarzanie danych osobowych - wykonywanie jakichkolwiek operacji na danych
osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i ich usuwanie.
5) System informatyczny - zespół współpracujących ze sobą urządzeń, oprogramowania, i
danych służący do przetwarzania danych osobowych przy pomocy technik
komputerowych,
6) System tradycyjny - kartoteki, skorowidze, księgi, wykazy i inne papierowe zbiory
ewidencyjne,
7) Użytkownik systemu - osoba posiadająca uprawnienia do przetwarzania danych
osobowych w systemie informatycznym,
8) Zbiór danych osobowych - każdy posiadający strukturę zestaw danych o charakterze
osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw
ten jest rozproszony lub podzielony funkcjonalnie.
§ 2.
ZAKRES STOSOWANIA POLITYKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH
1. Polityka bezpieczeństwa procesów przetwarzania danych osobowych ma zastosowanie w
stosunku do wszystkich postaci informacji zawierających dane osobowe, w szczególności
dokumentów papierowych oraz zapisów elektronicznych i innych, będących własnością
OSK, jak również przetwarzanych w systemach informatycznych, służących komunikacji
wewnętrznej.
2. Polityka bezpieczeństwa procesów przetwarzania danych osobowych ma zastosowanie w
stosunku do wszystkich pracowników, jak również osób, z którymi OSK zawarła umowy
o charakterze cywilno-prawnym tj. umowy zlecenia, umowy o dzieło itp., którzy mają
dostęp do danych osobowych.
3. Ochrona danych osobowych wynikająca z Polityki bezpieczeństwa procesów
przetwarzania danych osobowych jest realizowana na każdym etapie przetwarzania
informacji.
§ 3.
UWZGLĘDNIENIE OCHRONY DANYCH W FAZIE PROJEKTOWANIA
1. Uwzględniając stan wiedzy technicznej, koszt wdrażania charakter, zakres, kontekst i cele
przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym
prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki
techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych
odpowiadający ryzyku. Środki te są w razie potrzeby poddawane przeglądom
i uaktualniane.
2. Przy określaniu sposobów przetwarzania już na etapie projektowania, jak i w czasie
samego przetwarzania, administrator danych dokonuje szczegółowej analizy planowanego
procesu przetwarzania danych osobowych i podejmuje działania polegające na ochronie danych osobowych zgodnie z przepisami.
§ 4.
ZASADY I ZAKRES PRZETWARZANIA DANYCH OSOBOWYCH
1. W zakresie przetwarzania danych osobowych OSK zobowiązana jest dołożyć szczególnej
staranności w celu ochrony interesu osób, których te dane dotyczą, a w szczególności
przestrzegać następujących zasad:
1) Zasady legalności – przetwarzać dane zgodnie z prawem;
2) Zasady celowości – dane zbierać tylko do oznaczonych, zgodnych z prawem celów i
nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami;
3) Zasady merytorycznej poprawności – dane muszą być zgodne z prawdą, pełne
(kompletne) i aktualne;
4) Zasady adekwatności danych – przetwarzać tylko te dane, które są niezbędne ze
względu na cel ich zbierania;
5) Zasada ograniczenia czasowego – przechowywać dane nie dłużej niż jest to
niezbędne do osiągnięcia celu przetwarzania, tj. realizacji usługi lub/i wywiązywania
się z zapisów umowy.
2. Przetwarzanie zwykłych danych osobowych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie
dotyczących jej danych; zgoda może obejmować również przetwarzanie danych w
przyszłości, jeżeli nie zmienia się cel przetwarzania.
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną
lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie
osoby, której dane dotyczą,
4) jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra
publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów (marketing
bezpośredni własnych produktów lub usług administratora danych lub dochodzenie
roszczeń z tytułu prowadzonej działalności gospodarczej) realizowanych przez
administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i
wolności osoby, której dane dotyczą.
3. Konieczne jest stosowanie środków technicznych i organizacyjnych zapewniających
ochronę przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii
danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub
zniszczeniem.
4. Osobą odpowiedzialną za nadzór nad procesem przetwarzania danych osobowych w
OSK jest kierownik Ośrodka Szkolenia Kierowców "ALFA" - Tomasz Wysocki.
5. OSK przetwarza dane osobowe tylko i wyłącznie w zakresie niezbędnym do prowadzenia
działalności gospodarczej.
§ 5.
ZARZĄDZANIE BEZPIECZEŃSTWEM DANYCH OSOBOWYCH
1. Administratorem danych osobowych przetwarzanych w OSK jest osoba upoważniona do
reprezentacji OSK.
2. Zarządzanie bezpieczeństwem danych osobowych jest procesem ciągłym, realizowanym
przy współdziałaniu wszystkich osób upoważnionych do przetwarzania danych
osobowych.
3. W celu zapewniania przestrzegania przepisów o ochronie danych osobowych,
Administrator danych podejmuje działanie zgodne z przepisami.
4. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające
upoważnienie nadane przez administratora danych.
5. Administrator danych osobowych prowadzi ewidencję wydanych upoważnień do
przetwarzania danych osobowych.
6. Administrator posiada ewidencję wydanych upoważnień do przetwarzania danych osobowych.
7. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w
tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
§ 6.
OBOWIĄZKI ADMINISTRATORA DANYCH
1. Administrator danych osobowych, dopełniając obowiązku informacyjnego zawiadamia
osobę, której dane dotyczą o:
a) adresie swojej siedziby i pełnej nazwie,
b) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji
lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
c) zakresie przetwarzanych danych osobowych,
d) prawie dostępu do treści swoich danych oraz ich poprawiania;
e) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o
jego podstawie prawnej,
f) okresie, przez który dane będą przechowywane,
g) pouczyć osobę, której dane dotyczą o przysługujących jej prawach.
§ 7.
UPRAWNIENIA OSOBY, KTÓREJ DANE DOTYCZĄ
1. OSK podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo
dostępnej formie, jasnym i prostym językiem, udzielić osobie której dane dotyczą
stosowne informacje o fakcie przetwarzania.
2. Informacji udziela się na piśmie lub w formie elektronicznej.
3. Informacji udziela się najpóźniej w ciągu miesiąca od daty zaistnienia zdarzenia
uzasadniającego udzielenie informacji.
4. Jeżeli dane osobowe sa nieprawidłowe, osoba, której dane dotyczą ma prawo żądania
niezwłocznego sprostowania danych oraz uzupełnienia niekompletnych danych.
5. Osoba, której dane dotyczą ma prawo żądania usunięcia jej danych osobowych.
6. Osoba, której dane dotyczą, może wnieść sprzeciw co do przetwarzania jej danych dla
celów marketingowych. O prawie do sprzeciwu co do przetwarzania danych na potrzeby
marketingu informuje się odrębnie od wszelkich innych informacji.
7. Jeżeli osoba, której dane dotyczą wniosła sprzeciw wobec przetwarzania jej danych na
potrzeby marketingu, administrator danych usuwa jej dane osobowe
II. OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH
§ 8.
ZAKRES TERYTORIALNY PRZETWARZANIA DANYCH OSOBOWYCH
1. Dane osobowe są przechowywane w pomieszczeniach biurowych w siedzibie OSK w
Białymstoku przy ul. Składowej 7 lok 103 i ul. Skłodowskiej 3 lok 81 (obszar przetwarzania danych osobowych).
2. Obszar przetwarzania danych osobowych, zabezpiecza się przed dostępem osób
nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania
danych osobowych.
3. Przebywanie osób nieuprawnionych w obszarze przetwarzania danych jest dopuszczalne
za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania
danych osobowych.
III. ZBIORY DANYCH OSOBOWYCH PRZETWARZANE PRZEZ OSK ORAZ PRZEPŁYW
DANYCH POMIĘDZY SYSTEMAMI
§ 9.
1. Dane osobowe przetwarzane są w funkcjonalnie podzielonych bazach danych osobowych
(„Baza danych”, „Zbiór danych”).
2. Dane osobowe pozyskiwane są od osób, których dane dotyczą.
3. OSK wyklucza możliwość zakupu bazy danych od podmiotów zewnętrznych.
§ 10.
OSK przetwarza się dane osobowe zlokalizowane w zbiorach danych osobowych.
§ 11.
1. Dane osobowe, w zależności od charakteru zbioru, przetwarzane są, bądź w systemach
papierowych, bądź w systemach informatycznych.
2. Dane osobowe przetwarzane są centralnie/w systemie rozproszonym.
3. W przypadku powierzenia przetwarzania danych osobie trzeciej (firmie zewnętrznej)
sposób przetwarzania danych reguluje odrębna umowa zawarta na piśmie.
4. Do przetwarzania danych w systemie informatycznym stosuje się zabezpieczenia, o
których jest mowa w Ustawie o ochronie danych osobowych oraz przepisach
wykonawczych.
III. ZABEZPIECZENIE DANYCH
§ 12.
UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH
1. Dane osobowe mogą być przetwarzane wyłącznie przez osobę upoważnioną, czyli osobę
posiadającą pisemne upoważnienie do przetwarzania danych dla osób, w którym ustala się
zakres czynności, do wykonywania których jest uprawniona oraz w którym zobowiązuje
się ją do zachowania poufności informacji pozyskanych w związku z przetwarzaniem
danych (informacji dotyczących danych osobowych oraz zastosowanych zabezpieczeń).
2. Upoważnienia do przetwarzania danych osobowych wydaje Administrator Danych.
3. Administrator danych prowadzi ewidencję wydanych upoważnień do przetwarzania
danych osobowych. Ewidencje wydanych upoważnień przechowuje OSK.
4. Do przetwarzania danych osobowych może być dopuszczona wyłącznie osoba, która
została przeszkolona w zakresie bezpieczeństwa danych, w szczególności zapoznana z
Instrukcją określającą sposób zarządzania systemami informatycznymi służącymi do
przetwarzania danych osobowych.
5. W OSK obowiązuje program szkolenia pracowników upoważnionych do przetwarzania
danych w zakresie ochrony danych.
6. Dostęp do danych, przyznawanie, modyfikacja, wycofanie uprawnień odbywa się zgodnie
z procedurą określoną w Instrukcji określającej sposób zarządzania systemami
informatycznymi służącymi do przetwarzania danych osobowych obowiązującej w OSK.
7. Z chwilą ustania stosunku pracy wygasają uprawnienia do przetwarzania danych
osobowych. Nie jest wymagane wystawienie dokumentu odwołującego upoważnienie do
przetwarzania danych osobowych, z wyjątkiem sytuacji, gdy zmienia się zakres wcześniej
przyznanego upoważnienia.
§ 13.
POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
1. Dopuszczalne jest powierzenie przetwarzania danych osobowych innemu podmiotowi,
pod warunkiem zawarcia odpowiedniej umowy na piśmie.
2. Podmiot przetwarzający dane na podstawie umowy o powierzeniu przetwarzania, jest
uprawniony do przetwarzania danych w zakresie i celu określonym w treści umowy.
3. Podmiot przetwarzający na lecenie nie może przetwarzać danych osobowych do
jakichkolwiek innych celów.
§ 14.
SZKOLENIA
1. OSK realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia
zaznajomienie osób upoważnionych do dostępu lub przetwarzania danych osobowych z
powszechnie obowiązującymi przepisami prawa, procedurami wewnętrznymi, jak również
technikami i środkami ochrony tych danych stosowanymi w OSK a także odpowiednio, z
ich zmianami.
IV. ZAWIADAMIANIE O INCYDENTACH NARUSZENIA OCHRONY
§ 15.
1. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na
naruszenie ochrony danych osobowych, pracownik OSK ma obowiązek bezzwłocznie
powiadomić o tym fakcie administratora danych oraz bezpośredniego przełożonego.
2. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki
– w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia –
zgłasza je organowi właściwemu ds. ochrony danych osobowych (Generalny Inspektor
Ochrony Danych Osobowych/Prezes Urzędu Ochrony Danych Osobowych), chyba że
jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw
lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po
upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
3. Administrator danych ma obowiązek zgromadzenia wszelkiej dokumentacji związanej z
incydentem naruszenia ochrony danych. W szczególności administrator danych ma
obowiązek udokumentować i opisać:
a) okoliczności naruszenia ochrony danych osobowych,
b) skutki
c) podjęte działania zaradcze.
4. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko
naruszenia praw lub wolności osób fizycznych, administrator danych bez zbędnej zwłoki
zawiadamia osobę, której dane dotyczą, o takim naruszeniu, opisując charakter naruszenia
ochrony danych osobowych oraz poinformować osobę, której dane zostały naruszone o:
a) w jaki sposób można skontaktować się z administratorem danych w celu uzyskania
dodatkowych informacji;
b) opisać możliwe konsekwencje naruszenia ochrony danych;
c) opisać zastosowane przez administratora danych środki w celu zminimalizowania
skutków naruszenia ochrony oraz podjętych działaniach zmniejszających ryzyko
naruszenia ochrony w przyszłości.
3. Zawiadomienie nie jest wymagane, w następujących przypadkach:
a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony
i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie,
w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom
nieuprawnionym do dostępu do tych danych osobowych;
b) administrator zastosował następnie środki eliminujące prawdopodobieństwo
wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym
mowa w ust. 1;
c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku administrator
danych wydaje publiczny komunikat, za pomocą którego osoby, których dane
dotyczą, zostają poinformowane w równie skuteczny sposób.
V. KONSEKWENCJE NARUSZENIA POLITYKI BEZPIECZEŃSTWA
§ 16.
1. Każdy pracownik/współpracownik OSK mający dostęp do danych osobowych jest
zobowiązany do przestrzegania zasad ochrony danych osobowych wynikających z
niniejszej Polityki bezpieczeństwa procesów przetwarzania danych osobowych oraz
innych obowiązujących w OSK wewnętrznych procedur związanych z bezpieczeństwem
informacji.
2. Za nieprzestrzeganie zasad bezpieczeństwa danych osobowych pracownik może być
ukarany karą upomnienia, nagany, bądź karą pieniężną, na zasadach określonych w
przepisach prawa pracy.
3. Jeżeli naruszenie zasad bezpieczeństwa danych osobowych wiąże się z naruszeniem
przepisów prawa, pracownik ponosi odpowiedzialność w trybie i na zasadach określonych
w tych przepisach.
VI. POSTANOWIENIA KOŃCOWE
§ 17.
Polityka bezpieczeństwa procesów przetwarzania danych osobowych w OSK wchodzi w życie z
dniem 25,05,2018 roku.