Kategorie

PAKIETY !!!

kwalifikacja wstępna

szkolenie dla kierowców zawodowych

kurs instruktor nauki jazdy

warsztaty dla instruktorów

ADR

Eco Jazda

POLITYKA BEZPIECZEŃSTWA - RODO

POLITYKA BEZPIECZEŃSTWA PROCESÓW PRZETWARZANIA DANYCH OSOBOWYCH

W Ośrodku Szkolenia Kierowców "ALFA" Tomasz Wysocki

Niniejszy dokument, zwany dalej „Polityką bezpieczeństwa”, został opracowany na podstawie postanowień Rozporządzenia.

Realizując postanowienia Rozporządzenia, Polityka bezpieczeństwa procesów przetwarzania

danych osobowych opisuje sposób przetwarzania danych oraz środki techniczne i organizacyjne

zastosowane w celu ochrony danych osobowych przetwarzanych

w Ośrodku Szkolenia Kierowców "ALFA" Tomasz Wysocki. („OSK”), wprowadza

zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania

ochroną, pozwalający na zapewnienie ochrony danych osobowych przetwarzanych w OSK.

OGÓLNE ZASADY BEZPIECZEŃSTWA DANYCH OSOBOWYCH

§ 1.

DEFINICJE

1) Administrator danych osobowych – OSK reprezentowana przez osobę upoważnioną

do reprezentacji podmiotu zgodnie z obowiązującymi w tym zakresie wymogami prawa.

2) Dane osobowe – informacja dotycząca zidentyfikowanej lub możliwej do

zidentyfikowania osoby fizycznej.

3) Osoba upoważniona - osoba posiadająca pisemne upoważnienie wydane przez

administratora danych osobowych (lub osobę upoważnioną przez niego) i dopuszczona,

jako użytkownik, do przetwarzania danych osobowych w systemie papierowym, bądź w

systemie informatycznym, w zakresie wskazanym w upoważnieniu,

4) Przetwarzanie danych osobowych - wykonywanie jakichkolwiek operacji na danych

osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie,

zmienianie, udostępnianie i ich usuwanie.

5) System informatyczny - zespół współpracujących ze sobą urządzeń, oprogramowania, i

danych służący do przetwarzania danych osobowych przy pomocy technik

komputerowych,

6) System tradycyjny - kartoteki, skorowidze, księgi, wykazy i inne papierowe zbiory

ewidencyjne,

7) Użytkownik systemu - osoba posiadająca uprawnienia do przetwarzania danych

osobowych w systemie informatycznym,

8) Zbiór danych osobowych - każdy posiadający strukturę zestaw danych o charakterze

osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw

ten jest rozproszony lub podzielony funkcjonalnie.

§ 2.

ZAKRES STOSOWANIA POLITYKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH

1. Polityka bezpieczeństwa procesów przetwarzania danych osobowych ma zastosowanie w

stosunku do wszystkich postaci informacji zawierających dane osobowe, w szczególności

dokumentów papierowych oraz zapisów elektronicznych i innych, będących własnością

OSK, jak również przetwarzanych w systemach informatycznych, służących komunikacji

wewnętrznej.

2. Polityka bezpieczeństwa procesów przetwarzania danych osobowych ma zastosowanie w

stosunku do wszystkich pracowników, jak również osób, z którymi OSK zawarła umowy

o charakterze cywilno-prawnym tj. umowy zlecenia, umowy o dzieło itp., którzy mają

dostęp do danych osobowych.

3. Ochrona danych osobowych wynikająca z Polityki bezpieczeństwa procesów

przetwarzania danych osobowych jest realizowana na każdym etapie przetwarzania

informacji.

§ 3.

UWZGLĘDNIENIE OCHRONY DANYCH W FAZIE PROJEKTOWANIA

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania charakter, zakres, kontekst i cele

przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym

prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki

techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych

odpowiadający ryzyku. Środki te są w razie potrzeby poddawane przeglądom

i uaktualniane.

2. Przy określaniu sposobów przetwarzania już na etapie projektowania, jak i w czasie

samego przetwarzania, administrator danych dokonuje szczegółowej analizy planowanego

procesu przetwarzania danych osobowych i podejmuje działania polegające na ochronie danych osobowych zgodnie z przepisami.

§ 4.

ZASADY I ZAKRES PRZETWARZANIA DANYCH OSOBOWYCH

1. W zakresie przetwarzania danych osobowych OSK zobowiązana jest dołożyć szczególnej

staranności w celu ochrony interesu osób, których te dane dotyczą, a w szczególności

przestrzegać następujących zasad:

1) Zasady legalności – przetwarzać dane zgodnie z prawem;

2) Zasady celowości – dane zbierać tylko do oznaczonych, zgodnych z prawem celów i

nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami;

3) Zasady merytorycznej poprawności – dane muszą być zgodne z prawdą, pełne

(kompletne) i aktualne;

4) Zasady adekwatności danych – przetwarzać tylko te dane, które są niezbędne ze

względu na cel ich zbierania;

5) Zasada ograniczenia czasowego – przechowywać dane nie dłużej niż jest to

niezbędne do osiągnięcia celu przetwarzania, tj. realizacji usługi lub/i wywiązywania

się z zapisów umowy.

2. Przetwarzanie zwykłych danych osobowych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie

dotyczących jej danych; zgoda może obejmować również przetwarzanie danych w

przyszłości, jeżeli nie zmienia się cel przetwarzania.

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku

wynikającego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną

lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie

osoby, której dane dotyczą,

4) jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra

publicznego,

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów (marketing

bezpośredni własnych produktów lub usług administratora danych lub dochodzenie

roszczeń z tytułu prowadzonej działalności gospodarczej) realizowanych przez

administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i

wolności osoby, której dane dotyczą.

3. Konieczne jest stosowanie środków technicznych i organizacyjnych zapewniających

ochronę przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii

danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich

udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,

przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub

zniszczeniem.

4. Osobą odpowiedzialną za nadzór nad procesem przetwarzania danych osobowych w

OSK jest kierownik Ośrodka Szkolenia Kierowców "ALFA" - Tomasz Wysocki.

5. OSK przetwarza dane osobowe tylko i wyłącznie w zakresie niezbędnym do prowadzenia

działalności gospodarczej.

§ 5.

ZARZĄDZANIE BEZPIECZEŃSTWEM DANYCH OSOBOWYCH

1. Administratorem danych osobowych przetwarzanych w OSK jest osoba upoważniona do

reprezentacji OSK.

2. Zarządzanie bezpieczeństwem danych osobowych jest procesem ciągłym, realizowanym

przy współdziałaniu wszystkich osób upoważnionych do przetwarzania danych

osobowych.

3. W celu zapewniania przestrzegania przepisów o ochronie danych osobowych,

Administrator danych podejmuje działanie zgodne z przepisami.

4. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające

upoważnienie nadane przez administratora danych.

5. Administrator danych osobowych prowadzi ewidencję wydanych upoważnień do

przetwarzania danych osobowych.

6. Administrator posiada ewidencję wydanych upoważnień do przetwarzania danych osobowych.

7. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w

tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

§ 6.

OBOWIĄZKI ADMINISTRATORA DANYCH

1. Administrator danych osobowych, dopełniając obowiązku informacyjnego zawiadamia

osobę, której dane dotyczą o:

a) adresie swojej siedziby i pełnej nazwie,

b) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji

lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

c) zakresie przetwarzanych danych osobowych,

d) prawie dostępu do treści swoich danych oraz ich poprawiania;

e) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o

jego podstawie prawnej,

f) okresie, przez który dane będą przechowywane,

g) pouczyć osobę, której dane dotyczą o przysługujących jej prawach.

§ 7.

UPRAWNIENIA OSOBY, KTÓREJ DANE DOTYCZĄ

1. OSK podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo

dostępnej formie, jasnym i prostym językiem, udzielić osobie której dane dotyczą

stosowne informacje o fakcie przetwarzania.

2. Informacji udziela się na piśmie lub w formie elektronicznej.

3. Informacji udziela się najpóźniej w ciągu miesiąca od daty zaistnienia zdarzenia

uzasadniającego udzielenie informacji.

4. Jeżeli dane osobowe sa nieprawidłowe, osoba, której dane dotyczą ma prawo żądania

niezwłocznego sprostowania danych oraz uzupełnienia niekompletnych danych.

5. Osoba, której dane dotyczą ma prawo żądania usunięcia jej danych osobowych.

6. Osoba, której dane dotyczą, może wnieść sprzeciw co do przetwarzania jej danych dla

celów marketingowych. O prawie do sprzeciwu co do przetwarzania danych na potrzeby

marketingu informuje się odrębnie od wszelkich innych informacji.

7. Jeżeli osoba, której dane dotyczą wniosła sprzeciw wobec przetwarzania jej danych na

potrzeby marketingu, administrator danych usuwa jej dane osobowe

II. OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH

§ 8.

ZAKRES TERYTORIALNY PRZETWARZANIA DANYCH OSOBOWYCH

1. Dane osobowe są przechowywane w pomieszczeniach biurowych w siedzibie OSK w

Białymstoku przy ul. Składowej 7 lok 103 i ul. Skłodowskiej 3 lok 81 (obszar przetwarzania danych osobowych).

2. Obszar przetwarzania danych osobowych, zabezpiecza się przed dostępem osób

nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania

danych osobowych.

3. Przebywanie osób nieuprawnionych w obszarze przetwarzania danych jest dopuszczalne

za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania

danych osobowych.

III. ZBIORY DANYCH OSOBOWYCH PRZETWARZANE PRZEZ OSK ORAZ PRZEPŁYW

DANYCH POMIĘDZY SYSTEMAMI

§ 9.

1. Dane osobowe przetwarzane są w funkcjonalnie podzielonych bazach danych osobowych

(„Baza danych”, „Zbiór danych”).

2. Dane osobowe pozyskiwane są od osób, których dane dotyczą.

3. OSK wyklucza możliwość zakupu bazy danych od podmiotów zewnętrznych.

§ 10.

OSK przetwarza się dane osobowe zlokalizowane w zbiorach danych osobowych.

§ 11.

1. Dane osobowe, w zależności od charakteru zbioru, przetwarzane są, bądź w systemach

papierowych, bądź w systemach informatycznych.

2. Dane osobowe przetwarzane są centralnie/w systemie rozproszonym.

3. W przypadku powierzenia przetwarzania danych osobie trzeciej (firmie zewnętrznej)

sposób przetwarzania danych reguluje odrębna umowa zawarta na piśmie.

4. Do przetwarzania danych w systemie informatycznym stosuje się zabezpieczenia, o

których jest mowa w Ustawie o ochronie danych osobowych oraz przepisach

wykonawczych.

III. ZABEZPIECZENIE DANYCH

§ 12.

UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH

1. Dane osobowe mogą być przetwarzane wyłącznie przez osobę upoważnioną, czyli osobę

posiadającą pisemne upoważnienie do przetwarzania danych dla osób, w którym ustala się

zakres czynności, do wykonywania których jest uprawniona oraz w którym zobowiązuje

się ją do zachowania poufności informacji pozyskanych w związku z przetwarzaniem

danych (informacji dotyczących danych osobowych oraz zastosowanych zabezpieczeń).

2. Upoważnienia do przetwarzania danych osobowych wydaje Administrator Danych.

3. Administrator danych prowadzi ewidencję wydanych upoważnień do przetwarzania

danych osobowych. Ewidencje wydanych upoważnień przechowuje OSK.

4. Do przetwarzania danych osobowych może być dopuszczona wyłącznie osoba, która

została przeszkolona w zakresie bezpieczeństwa danych, w szczególności zapoznana z

Instrukcją określającą sposób zarządzania systemami informatycznymi służącymi do

przetwarzania danych osobowych.

5. W OSK obowiązuje program szkolenia pracowników upoważnionych do przetwarzania

danych w zakresie ochrony danych.

6. Dostęp do danych, przyznawanie, modyfikacja, wycofanie uprawnień odbywa się zgodnie

z procedurą określoną w Instrukcji określającej sposób zarządzania systemami

informatycznymi służącymi do przetwarzania danych osobowych obowiązującej w OSK.

7. Z chwilą ustania stosunku pracy wygasają uprawnienia do przetwarzania danych

osobowych. Nie jest wymagane wystawienie dokumentu odwołującego upoważnienie do

przetwarzania danych osobowych, z wyjątkiem sytuacji, gdy zmienia się zakres wcześniej

przyznanego upoważnienia.

§ 13.

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

1. Dopuszczalne jest powierzenie przetwarzania danych osobowych innemu podmiotowi,

pod warunkiem zawarcia odpowiedniej umowy na piśmie.

2. Podmiot przetwarzający dane na podstawie umowy o powierzeniu przetwarzania, jest

uprawniony do przetwarzania danych w zakresie i celu określonym w treści umowy.

3. Podmiot przetwarzający na lecenie nie może przetwarzać danych osobowych do

jakichkolwiek innych celów.

§ 14.

SZKOLENIA

1. OSK realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia

zaznajomienie osób upoważnionych do dostępu lub przetwarzania danych osobowych z

powszechnie obowiązującymi przepisami prawa, procedurami wewnętrznymi, jak również

technikami i środkami ochrony tych danych stosowanymi w OSK a także odpowiednio, z

ich zmianami.

IV. ZAWIADAMIANIE O INCYDENTACH NARUSZENIA OCHRONY

§ 15.

1. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na

naruszenie ochrony danych osobowych, pracownik OSK ma obowiązek bezzwłocznie

powiadomić o tym fakcie administratora danych oraz bezpośredniego przełożonego.

2. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki

– w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia –

zgłasza je organowi właściwemu ds. ochrony danych osobowych (Generalny Inspektor

Ochrony Danych Osobowych/Prezes Urzędu Ochrony Danych Osobowych), chyba że

jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw

lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po

upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

3. Administrator danych ma obowiązek zgromadzenia wszelkiej dokumentacji związanej z

incydentem naruszenia ochrony danych. W szczególności administrator danych ma

obowiązek udokumentować i opisać:

a) okoliczności naruszenia ochrony danych osobowych,

b) skutki

c) podjęte działania zaradcze.

4. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko

naruszenia praw lub wolności osób fizycznych, administrator danych bez zbędnej zwłoki

zawiadamia osobę, której dane dotyczą, o takim naruszeniu, opisując charakter naruszenia

ochrony danych osobowych oraz poinformować osobę, której dane zostały naruszone o:

a) w jaki sposób można skontaktować się z administratorem danych w celu uzyskania

dodatkowych informacji;

b) opisać możliwe konsekwencje naruszenia ochrony danych;

c) opisać zastosowane przez administratora danych środki w celu zminimalizowania

skutków naruszenia ochrony oraz podjętych działaniach zmniejszających ryzyko

naruszenia ochrony w przyszłości.

3. Zawiadomienie nie jest wymagane, w następujących przypadkach:

a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony

i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie,

w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom

nieuprawnionym do dostępu do tych danych osobowych;

b) administrator zastosował następnie środki eliminujące prawdopodobieństwo

wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym

mowa w ust. 1;

c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku administrator

danych wydaje publiczny komunikat, za pomocą którego osoby, których dane

dotyczą, zostają poinformowane w równie skuteczny sposób.

V. KONSEKWENCJE NARUSZENIA POLITYKI BEZPIECZEŃSTWA

§ 16.

1. Każdy pracownik/współpracownik OSK mający dostęp do danych osobowych jest

zobowiązany do przestrzegania zasad ochrony danych osobowych wynikających z

niniejszej Polityki bezpieczeństwa procesów przetwarzania danych osobowych oraz

innych obowiązujących w OSK wewnętrznych procedur związanych z bezpieczeństwem

informacji.

2. Za nieprzestrzeganie zasad bezpieczeństwa danych osobowych pracownik może być

ukarany karą upomnienia, nagany, bądź karą pieniężną, na zasadach określonych w

przepisach prawa pracy.

3. Jeżeli naruszenie zasad bezpieczeństwa danych osobowych wiąże się z naruszeniem

przepisów prawa, pracownik ponosi odpowiedzialność w trybie i na zasadach określonych

w tych przepisach.

VI. POSTANOWIENIA KOŃCOWE

§ 17.

Polityka bezpieczeństwa procesów przetwarzania danych osobowych w OSK wchodzi w życie z

dniem 25,05,2018 roku.

Biuro przy ul. Skłodowskiej
ul. Marii Curie-Skłodowskiej 3 lok. 81
tel: 85-67-47-211
e-mail: alfa.poczta@wp.pl

godziny otwarcia:
pn. - pt: 9⁰⁰-17⁰⁰

Biuro Składowa
Składowa 7 lok. 103
tel: 85-67-45-132, 85-68-83-160

e-mail: alfa.poczta@wp.pl

godziny otwarcia:
pn. - pt: 7⁰⁰-17⁰⁰