POLITYKA BEZPIECZEŃSTWA PROCESÓW PRZETWARZANIA DANYCH OSOBOWYCH
W Ośrodku Szkolenia Kierowców „ALFA” Tomasz Wysocki
Niniejszy dokument, zwany dalej „Polityką bezpieczeństwa”, został opracowany na podstawie postanowień Rozporządzenia.
Realizując postanowienia Rozporządzenia, Polityka bezpieczeństwa procesów przetwarzania danych osobowych opisuje sposób przetwarzania danych oraz środki techniczne i organizacyjne
zastosowane w celu ochrony danych osobowych przetwarzanych w Ośrodku Szkolenia Kierowców „ALFA” Tomasz Wysocki. („OSK”), wprowadza zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania ochroną, pozwalający na zapewnienie ochrony danych osobowych przetwarzanych w OSK.
OGÓLNE ZASADY BEZPIECZEŃSTWA DANYCH OSOBOWYCH
§ 1.
DEFINICJE
1) Administrator danych osobowych – OSK reprezentowana przez osobę upoważnioną do reprezentacji podmiotu zgodnie z obowiązującymi w tym zakresie wymogami prawa.
2) Dane osobowe – informacja dotycząca zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
3) Osoba upoważniona – osoba posiadająca pisemne upoważnienie wydane przez administratora danych osobowych (lub osobę upoważnioną przez niego) i dopuszczona, jako użytkownik, do przetwarzania danych osobowych w systemie papierowym, bądź w systemie informatycznym, w zakresie wskazanym w upoważnieniu,
4) Przetwarzanie danych osobowych – wykonywanie jakichkolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i ich usuwanie.
5) System informatyczny – zespół współpracujących ze sobą urządzeń, oprogramowania, i danych służący do przetwarzania danych osobowych przy pomocy technik komputerowych,
6) System tradycyjny – kartoteki, skorowidze, księgi, wykazy i inne papierowe zbiory ewidencyjne,
7) Użytkownik systemu – osoba posiadająca uprawnienia do przetwarzania danych osobowych w systemie informatycznym,
8) Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
§ 2.
ZAKRES STOSOWANIA POLITYKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH
- Polityka bezpieczeństwa procesów przetwarzania danych osobowych ma zastosowanie w stosunku do wszystkich postaci informacji zawierających dane osobowe, w szczególności dokumentów papierowych oraz zapisów elektronicznych i innych, będących własnością OSK, jak również przetwarzanych w systemach informatycznych, służących komunikacji wewnętrznej.
- Polityka bezpieczeństwa procesów przetwarzania danych osobowych ma zastosowanie w stosunku do wszystkich pracowników, jak również osób, z którymi OSK zawarła umowy o charakterze cywilno-prawnym tj. umowy zlecenia, umowy o dzieło itp., którzy mają dostęp do danych osobowych.
- Ochrona danych osobowych wynikająca z Polityki bezpieczeństwa procesów przetwarzania danych osobowych jest realizowana na każdym etapie przetwarzania informacji.
§ 3.
UWZGLĘDNIENIE OCHRONY DANYCH W FAZIE PROJEKTOWANIA
- Uwzględniając stan wiedzy technicznej, koszt wdrażania charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych odpowiadający ryzyku. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
- Przy określaniu sposobów przetwarzania już na etapie projektowania, jak i w czasie samego przetwarzania, administrator danych dokonuje szczegółowej analizy planowanego procesu przetwarzania danych osobowych i podejmuje działania polegające na ochronie danych osobowych zgodnie z przepisami.
§ 4.
ZASADY I ZAKRES PRZETWARZANIA DANYCH OSOBOWYCH
- W zakresie przetwarzania danych osobowych OSK zobowiązana jest dołożyć szczególnej staranności w celu ochrony interesu osób, których te dane dotyczą, a w szczególności przestrzegać następujących zasad:
1) Zasady legalności – przetwarzać dane zgodnie z prawem;
2) Zasady celowości – dane zbierać tylko do oznaczonych, zgodnych z prawem celów i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami;
3) Zasady merytorycznej poprawności – dane muszą być zgodne z prawdą, pełne (kompletne) i aktualne;
4) Zasady adekwatności danych – przetwarzać tylko te dane, które są niezbędne ze względu na cel ich zbierania;
5) Zasada ograniczenia czasowego – przechowywać dane nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania, tj. realizacji usługi lub/i wywiązywania się z zapisów umowy.
- Przetwarzanie zwykłych danych osobowych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych; zgoda może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4) jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów (marketing bezpośredni własnych produktów lub usług administratora danych lub dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej) realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
- Konieczne jest stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
- Osobą odpowiedzialną za nadzór nad procesem przetwarzania danych osobowych w OSK jest kierownik Ośrodka Szkolenia Kierowców „ALFA” – Tomasz Wysocki.
- OSK przetwarza dane osobowe tylko i wyłącznie w zakresie niezbędnym do prowadzenia działalności gospodarczej.
§ 5.
ZARZĄDZANIE BEZPIECZEŃSTWEM DANYCH OSOBOWYCH
- Administratorem danych osobowych przetwarzanych w OSK jest osoba upoważniona do reprezentacji OSK.
- Zarządzanie bezpieczeństwem danych osobowych jest procesem ciągłym, realizowanym przy współdziałaniu wszystkich osób upoważnionych do przetwarzania danych osobowych.
- W celu zapewniania przestrzegania przepisów o ochronie danych osobowych, Administrator danych podejmuje działanie zgodne z przepisami.
- Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
- Administrator danych osobowych prowadzi ewidencję wydanych upoważnień do przetwarzania danych osobowych.
- Administrator posiada ewidencję wydanych upoważnień do przetwarzania danych osobowych.
- Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
§ 6.
OBOWIĄZKI ADMINISTRATORA DANYCH
- Administrator danych osobowych, dopełniając obowiązku informacyjnego zawiadamia osobę, której dane dotyczą o:
a) adresie swojej siedziby i pełnej nazwie,
b) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
c) zakresie przetwarzanych danych osobowych,
d) prawie dostępu do treści swoich danych oraz ich poprawiania;
e) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej,
f) okresie, przez który dane będą przechowywane,
g) pouczyć osobę, której dane dotyczą o przysługujących jej prawach.
§ 7.
UPRAWNIENIA OSOBY, KTÓREJ DANE DOTYCZĄ
- OSK podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, udzielić osobie której dane dotyczą stosowne informacje o fakcie przetwarzania.
- Informacji udziela się na piśmie lub w formie elektronicznej.
- Informacji udziela się najpóźniej w ciągu miesiąca od daty zaistnienia zdarzenia uzasadniającego udzielenie informacji.
- Jeżeli dane osobowe sa nieprawidłowe, osoba, której dane dotyczą ma prawo żądania niezwłocznego sprostowania danych oraz uzupełnienia niekompletnych danych.
- Osoba, której dane dotyczą ma prawo żądania usunięcia jej danych osobowych.
- Osoba, której dane dotyczą, może wnieść sprzeciw co do przetwarzania jej danych dla celów marketingowych. O prawie do sprzeciwu co do przetwarzania danych na potrzeby marketingu informuje się odrębnie od wszelkich innych informacji.
- Jeżeli osoba, której dane dotyczą wniosła sprzeciw wobec przetwarzania jej danych na potrzeby marketingu, administrator danych usuwa jej dane osobowe
II. OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH
§ 8.
ZAKRES TERYTORIALNY PRZETWARZANIA DANYCH OSOBOWYCH
- Dane osobowe są przechowywane w pomieszczeniach biurowych w siedzibie OSK w Białymstoku przy ul. Składowej 7 lok 103 i ul. Skłodowskiej 3 lok 81 (obszar przetwarzania danych osobowych).
- Obszar przetwarzania danych osobowych, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.
- Przebywanie osób nieuprawnionych w obszarze przetwarzania danych jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.
III. ZBIORY DANYCH OSOBOWYCH PRZETWARZANE PRZEZ OSK ORAZ PRZEPŁYW
DANYCH POMIĘDZY SYSTEMAMI
§ 9.
- Dane osobowe przetwarzane są w funkcjonalnie podzielonych bazach danych osobowych („Baza danych”, „Zbiór danych”).
- Dane osobowe pozyskiwane są od osób, których dane dotyczą.
- OSK wyklucza możliwość zakupu bazy danych od podmiotów zewnętrznych.
§ 10.
OSK przetwarza się dane osobowe zlokalizowane w zbiorach danych osobowych.
§ 11.
- Dane osobowe, w zależności od charakteru zbioru, przetwarzane są, bądź w systemach papierowych, bądź w systemach informatycznych.
- Dane osobowe przetwarzane są centralnie/w systemie rozproszonym.
- W przypadku powierzenia przetwarzania danych osobie trzeciej (firmie zewnętrznej) sposób przetwarzania danych reguluje odrębna umowa zawarta na piśmie.
- Do przetwarzania danych w systemie informatycznym stosuje się zabezpieczenia, o których jest mowa w Ustawie o ochronie danych osobowych oraz przepisach wykonawczych.
III. ZABEZPIECZENIE DANYCH
§ 12.
UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH
- Dane osobowe mogą być przetwarzane wyłącznie przez osobę upoważnioną, czyli osobę posiadającą pisemne upoważnienie do przetwarzania danych dla osób, w którym ustala się zakres czynności, do wykonywania których jest uprawniona oraz w którym zobowiązuje się ją do zachowania poufności informacji pozyskanych w związku z przetwarzaniem danych (informacji dotyczących danych osobowych oraz zastosowanych zabezpieczeń).
- Upoważnienia do przetwarzania danych osobowych wydaje Administrator Danych.
- Administrator danych prowadzi ewidencję wydanych upoważnień do przetwarzania danych osobowych. Ewidencje wydanych upoważnień przechowuje OSK.
- Do przetwarzania danych osobowych może być dopuszczona wyłącznie osoba, która została przeszkolona w zakresie bezpieczeństwa danych, w szczególności zapoznana z Instrukcją określającą sposób zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.
- W OSK obowiązuje program szkolenia pracowników upoważnionych do przetwarzania danych w zakresie ochrony danych.
- Dostęp do danych, przyznawanie, modyfikacja, wycofanie uprawnień odbywa się zgodnie z procedurą określoną w Instrukcji określającej sposób zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych obowiązującej w OSK.
- Z chwilą ustania stosunku pracy wygasają uprawnienia do przetwarzania danych osobowych. Nie jest wymagane wystawienie dokumentu odwołującego upoważnienie do przetwarzania danych osobowych, z wyjątkiem sytuacji, gdy zmienia się zakres wcześniej przyznanego upoważnienia.
§ 13.
POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
- Dopuszczalne jest powierzenie przetwarzania danych osobowych innemu podmiotowi, pod warunkiem zawarcia odpowiedniej umowy na piśmie.
- Podmiot przetwarzający dane na podstawie umowy o powierzeniu przetwarzania, jest uprawniony do przetwarzania danych w zakresie i celu określonym w treści umowy.
- Podmiot przetwarzający na lecenie nie może przetwarzać danych osobowych do jakichkolwiek innych celów.
§ 14.
SZKOLENIA
- OSK realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia zaznajomienie osób upoważnionych do dostępu lub przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, procedurami wewnętrznymi, jak również technikami i środkami ochrony tych danych stosowanymi w OSK a także odpowiednio, z ich zmianami.
IV. ZAWIADAMIANIE O INCYDENTACH NARUSZENIA OCHRONY
§ 15.
- W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenie ochrony danych osobowych, pracownik OSK ma obowiązek bezzwłocznie powiadomić o tym fakcie administratora danych oraz bezpośredniego przełożonego.
- W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi właściwemu ds. ochrony danych osobowych (Generalny Inspektor Ochrony Danych Osobowych/Prezes Urzędu Ochrony Danych Osobowych), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
- Administrator danych ma obowiązek zgromadzenia wszelkiej dokumentacji związanej z incydentem naruszenia ochrony danych. W szczególności administrator danych ma obowiązek udokumentować i opisać:
a) okoliczności naruszenia ochrony danych osobowych,
b) skutki
c) podjęte działania zaradcze. - Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu, opisując charakter naruszenia ochrony danych osobowych oraz poinformować osobę, której dane zostały naruszone o:
a) w jaki sposób można skontaktować się z administratorem danych w celu uzyskania dodatkowych informacji;
b) opisać możliwe konsekwencje naruszenia ochrony danych;
c) opisać zastosowane przez administratora danych środki w celu zminimalizowania skutków naruszenia ochrony oraz podjętych działaniach zmniejszających ryzyko naruszenia ochrony w przyszłości.
- Zawiadomienie nie jest wymagane, w następujących przypadkach:
a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku administrator danych wydaje publiczny komunikat, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
V. KONSEKWENCJE NARUSZENIA POLITYKI BEZPIECZEŃSTWA
§ 16.
- Każdy pracownik/współpracownik OSK mający dostęp do danych osobowych jest zobowiązany do przestrzegania zasad ochrony danych osobowych wynikających z niniejszej Polityki bezpieczeństwa procesów przetwarzania danych osobowych oraz innych obowiązujących w OSK wewnętrznych procedur związanych z bezpieczeństwem informacji.
- Za nieprzestrzeganie zasad bezpieczeństwa danych osobowych pracownik może być ukarany karą upomnienia, nagany, bądź karą pieniężną, na zasadach określonych w przepisach prawa pracy.
- Jeżeli naruszenie zasad bezpieczeństwa danych osobowych wiąże się z naruszeniem przepisów prawa, pracownik ponosi odpowiedzialność w trybie i na zasadach określonych w tych przepisach.
VI. POSTANOWIENIA KOŃCOWE
§ 17.
Polityka bezpieczeństwa procesów przetwarzania danych osobowych w OSK wchodzi w życie z dniem 25.05.2018 roku.