POLITYKA BEZPIECZEŃSTWA PROCESÓW
PRZETWARZANIA DANYCH OSOBOWYCH
w Ośrodku Szkolenia Kierowców Ludwik Jaczyński,
ul. Ks. J. Popiełuszki 13, 19-200 Grajewo
Niniejszy dokument, zwany dalej „Polityką bezpieczeństwa”, został
opracowany na podstawie postanowień Rozporządzenia Parlamentu
Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/we (ogólne rozporządzenie o ochronie danych)
Realizując postanowienia Rozporządzenia, Polityka bezpieczeństwa
procesów przetwarzania danych osobowych opisuje sposób przetwarzania
danych oraz środki techniczne i organizacyjne zastosowane w celu
ochrony danych osobowych przetwarzanych w Ośrodku Szkolenia
Kierowców Ludwik Jaczyński, ul. Ks. J. Popiełuszki 13, 19- 200
Grajewo („OSK”), wprowadza zestaw praw, reguł i praktycznych
doświadczeń regulujących sposób zarządzania ochroną, pozwalający na
zapewnienie ochrony danych osobowych przetwarzanych w OSK Ludwik
Jaczyński, Ks. J. Popiełuszki 13, 19-200 Grajewo
OGÓLNE ZASADY BEZPIECZEŃSTWA DANYCH OSOBOWYCH
§ 1.
DEFINICJE
1)Administrator danych osobowych
(ADO) – OSK reprezentowana przez osobę upoważnioną do reprezentacji
podmiotu zgodnie z obowiązującymi w tym zakresie wymogami prawa.
2)Dane osobowe
– informacja dotycząca zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.
3)Osoba upoważniona
- osoba posiadająca pisemne upoważnienie wydane przez administratora
danych osobowych (lub osobę upoważnioną przez niego) i dopuszczona,
jako użytkownik, do przetwarzania danych osobowych w systemie
papierowym, bądź w systemie informatycznym, w zakresie wskazanym w
upoważnieniu,
4)Przetwarzanie danych osobowych
- wykonywanie jakichkolwiek operacji na danych osobowych, takich jak
zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie i ich usuwanie.
5)System informatyczny-
zespół współpracujących ze sobą urządzeń, oprogramowania, i danych
służący do przetwarzania danych osobowych przy pomocy technik
komputerowych,
6)System tradycyjny
– kartoteki, skorowidze, księgi, wykazy i inne papierowe zbiory
ewidencyjne,
7)Użytkownik systemu
- osoba posiadająca uprawnienia do przetwarzania danych osobowych w
systemie informatycznym,
8)Zbiór danych osobowych
- każdy posiadający strukturę zestaw danych o charakterze osobowym,
dostępnych według określonych kryteriów, niezależnie od tego, czy
zestaw ten jest rozproszony lub podzielony funkcjonalnie.
§ 2.
ZAKRES STOSOWANIA POLITYKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH
1.Polityka bezpieczeństwa procesów przetwarzania danych osobowych ma
zastosowanie w stosunku do wszystkich postaci informacji
zawierających dane osobowe, w szczególności dokumentów papierowych
oraz zapisów elektronicznych i innych, będących własnością OSK, jak
również przetwarzanych w systemach informatycznych, służących
komunikacji wewnętrznej.
2. Polityka bezpieczeństwa procesów przetwarzania danych osobowych
ma zastosowanie w stosunku do wszystkich pracowników, jak również
osób, z którymi OSK zawarła umowy o charakterze cywilno-prawnym tj.
umowy zlecenia, umowy o dzieło itp., którzy mają dostęp do danych
osobowych.
3. Ochrona danych osobowych wynikająca z Polityki bezpieczeństwa
procesów przetwarzania danych osobowych jest realizowana na każdym
etapie przetwarzania informacji.
§ 3.
UWZGLĘDNIENIE OCHRONY DANYCH W FAZIE PROJEKTOWANIA
1. Uwzględniając stan wiedzy technicznej, koszt wdrażania charakter,
zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw
lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze
zagrożenia, administrator wdraża odpowiednie środki techniczne i
organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych
odpowiadający ryzyku. Środki te są w razie potrzeby poddawane
przeglądom i uaktualniane.
2.Przy określaniu sposobów przetwarzania już na etapie
projektowania, jak i w czasie samego przetwarzania, administrator
danych dokonuje szczegółowej analizy planowanego procesu
przetwarzania danych osobowych i podejmuje działania polegające na
ochronie danych osobowych zgodnie z obowiązującymi przepisami m.in.
a) zabezpieczenie danych poprzez przechowywanie w zamkniętych
szafach
b) zabezpieczenie systemów informatycznych przed dostępem osób
nieporządanych poprzez hasła, antywirusy
§ 4.
ZASADY I ZAKRES PRZETWARZANIA DANYCH OSOBOWYCH
1. W zakresie przetwarzania danych osobowych OSK zobowiązana jest
dołożyć szczególnej staranności w celu ochrony interesu osób,
których te dane dotyczą, a w szczególności przestrzegać
następujących zasad:
1) Zasady legalności – przetwarzać dane zgodnie z prawem;
2) Zasady celowości – dane zbierać tylko do oznaczonych, zgodnych z
prawem celów i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z
tymi celami;
3) Zasady merytorycznej poprawności – dane muszą być zgodne z
prawdą, pełne (kompletne) i aktualne;
4) Zasad adekwatność danych – przetwarzać tylko te dane, które są
niezbędne ze względu na cel ich zbierania;
5) Zasada ograniczenia czasowego – przechowywać dane nie dłużej niż
jest to niezbędne do osiągnięcia celu przetwarzania, tj. realizacji
usługi lub/i wywiązywania się z zapisów umowy.
2. Przetwarzanie zwykłych danych osobowych jest dopuszczalne
tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o
usunięcie dotyczących jej danych; zgoda może obejmować również
przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel
przetwarzania.
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia
obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane
dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia
działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4) jest to niezbędne do wykonania określonych prawem zadań
realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych
celów (marketing bezpośredni własnych produktów lub usług
administratora danych lub dochodzenie roszczeń z tytułu prowadzonej
działalności gospodarczej) realizowanych przez administratorów
danych albo odbiorców danych, a przetwarzanie nie narusza praw i
wolności osoby, której dane dotyczą.
3. Konieczne jest stosowanie środków technicznych i
organizacyjnych zapewniających ochronę przetwarzanych danych
osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych
ochroną, a w szczególności zabezpieczenie danych przed ich
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę
nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą,
utratą, uszkodzeniem lub zniszczeniem.
4. Osobą odpowiedzialną za nadzór nad procesem przetwarzania danych
osobowych w OSK jest kierownik Ośrodka Szkolenia Kierowców Ludwik
Jaczyński – Ludwik Jaczyński.
5. OSK przetwarza dane osobowe tylko i wyłącznie w zakresie
niezbędnym do prowadzenia działalności gospodarczej.
6. Przetwarzanie danych wrażliwych:
Zabrania się przetwarzania „ danych wrażliwych” ujawniających
pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania
religijne lub filozoficzne, przynależność wyznaniową, partyjną lub
związkową, jak również o stanie zdrowia, kodzie genetycznym,
nałogach lub życiu seksualnym, oraz danych dotyczących skazań,
orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń
wydanych w postępowaniu sądowym lub administracyjnym.
Przetwarzanie „danych wrażliwych” jest jednak dopuszczalne, pod
następującymi warunkami: polityka danych osobowych do użytku
wewnętrznego:
osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba, że
chodzi o usunięcie dotyczących jej danych,
przetwarzanie dotyczy danych, które zostały podane do wiadomości
publicznej przez osobę której dane dotyczą przetwarzanie danych jest
prowadzone przez stronę w celu realizacji praw i obowiązków
wynikających z orzeczenia wydanego w postępowaniu sądowym lub
administracyjnym
przepis szczególny innej ustawy zezwala na przetwarzanie takich
danych bez zgody osoby, której dane dotyczą i stwarza pełne
gwarancje ochrony
przetwaraznie takich danych jest niezbędne do ochrony żywotnych
interesów osoby, której dane dotyczą lub innej osoby, gdy osoba,
której dane dotyczą, nie jest fizycznie lub prawnie zdolna do
wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub
kuratora,
przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw
przed sądem,
przetwarzanie jest niezbędne do wykonania zadań administratora
danych odnoszacych się do zatrudnienia pracowników i innych osób
stanowiących personel, a zakres przetwarzanych danych jest określony
w ustawie
§ 5.
ZARZĄDZANIE BEZPIECZEŃSTWEM DANYCH OSOBOWYCH
1. Administratorem danych osobowych przetwarzanych w OSK jest
osoba upoważniona do reprezentacji OSK.
Zarządzanie bezpieczeństwem danych osobowych jest procesem ciągłym,
realizowanym przy współdziałaniu wszystkich osób upoważnionych do
przetwarzania danych osobowych.
W celu zapewniania przestrzegania przepisów o ochronie danych
osobowych, Administrator danych podejmuje działanie zgodne z
przepisami m.in. spełnia obowiązek informacyjny dotyczący RODO,
przestrzega polityki bezpieczeństwa,
posiada i stosuje się do instrukcji zarządzania systemem
informatycznym,
chroni dane przed utratą, uszkodzeniem lub zniszczeniem, zabraniem
przez osobę nieuprawnioną,
chroni przed udostępnieniem osobom nieupoważnionym.
4. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby
posiadające upoważnienie nadane przez administratora danych.
Administrator danych osobowych prowadzi ewidencję wydanych
upoważnień do przetwarzania danych osobowych.
Ewidencja wydanych upoważnień do przetwarzania danych osobowych
zawiera dane zgodne z przepisami o ochronie danych osobowych.
7. Osoby, które zostały upoważnione do przetwarzania danych, są
obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich
zabezpieczenia.
§ 6.
OBOWIĄZKI ADMINISTRATORA DANYCH
1. Administrator danych osobowych, dopełniając obowiązku
informacyjnego zawiadamia osobę, której dane dotyczą o:
a) adresie swojej siedziby i pełnej nazwie,
b) celu zbierania danych, a w szczególności o znanych mu w czasie
udzielania informacji lub przewidywanych odbiorcach lub kategoriach
odbiorców danych,
c) zakresie przetwarzanych danych osobowych,
d) prawie dostępu do treści swoich danych oraz ich poprawiania;
e) dobrowolności albo obowiązku podania danych, a jeżeli taki
obowiązek istnieje, o jego podstawie prawnej,
f) okresie, przez który dane będą przechowywane,
g) pouczyć osobę, której dane dotyczą o przysługujących jej prawach.
§ 7.
UPRAWNIENIA OSOBY, KTÓREJ DANE DOTYCZĄ
1. OSK podejmuje odpowiednie środki, aby w zwięzłej,
przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym
językiem, udzielić osobie której dane dotyczą stosowne informacje o
fakcie przetwarzania.
2. Informacji udziela się na piśmie lub w formie elektronicznej.
3. Informacji udziela się najpóźniej w ciągu miesiąca od daty
zaistnienia zdarzenia uzasadniającego udzielenie informacji.
4. Jeżeli dane osobowe sa nieprawidłowe, osoba, której dane dotyczą
ma prawo żądania niezwłocznego sprostowania danych oraz uzupełnienia
niekompletnych danych.
5. Osoba, której dane dotyczą ma prawo żądania usunięcia jej danych
osobowych.
6. Osoba, której dane dotyczą, może wnieść sprzeciw co do
przetwarzania jej danych dla celów marketingowych. O prawie do
sprzeciwu co do przetwarzania danych na potrzeby marketingu
informuje się odrębnie od wszelkich innych informacji.
7. Jeżeli osoba, której dane dotyczą wniosła sprzeciw wobec
przetwarzania jej danych na potrzeby marketingu, administrator
danych usuwa jej dane osobowe
II. OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH
§ 8.
ZAKRES TERYTORIALNY PRZETWARZANIA DANYCH OSOBOWYCH
1. Dane osobowe są przechowywane w pomieszczeniach biurowych w
siedzibie Ośrodka Szkolenia Kierowców Ludwik Jaczyński, Ks. J.
Popiełuszki 13, 19-200 Grajewo. (obszar przetwarzania danych
osobowych).
W pomieszczeniach, których przetwarzane są zbiory danych osobowych
znajdują się gaśnice,
dokumenty zawierające dane osobowe po ustaniu przydatności są
niszczone w sposób mechaniczny za pomocą niszczarek dokumentów
Zbiór danych osobowych przechowywany jest w pomieszczeniu
zabezpieczonym standardowymi drzwiami biurowymi zamkniętymi na klucz
pod nieobecność pracownika
zbiór danych osobowych w formie papierowej przechowywany jest w
zamkniętej niemetalowej szafie
dostęp do zbioru danych osobowych w wersji komputerowej wymaga
uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz
hasła
zastosowano środki ochrony przed szkodliwym oprogramowaniem jak np.
robaki, wirusy, konie trojańskie
Obszar przetwarzania danych osobowych, zabezpiecza się przed
dostępem osób nieuprawnionych na czas nieobecności w nim osób
upoważnionych do przetwarzania danych osobowych.
3. Przebywanie osób nieuprawnionych w obszarze przetwarzania danych
jest dopuszczalne za zgodą administratora danych lub w obecności
osoby upoważnionej do przetwarzania danych osobowych.
III. ZBIORY DANYCH OSOBOWYCH PRZETWARZANE PRZEZ OSK ORAZ PRZEPŁYW
DANYCH POMIĘDZY SYSTEMAMI
§ 9.
1. Dane osobowe przetwarzane są w funkcjonalnie podzielonych bazach
danych osobowych („Baza danych”, „Zbiór danych”).
2. Dane osobowe pozyskiwane są od osób, których dane dotyczą.
3. OSK wyklucza możliwość zakupu bazy danych od podmiotów
zewnętrznych.
§ 10.
OSK przetwarza się dane osobowe zlokalizowane w zbiorach danych
osobowych.:
Umowy cywilnoprawne
Kursanci
kontakty służbowe
marketing
§ 11.
1. Dane osobowe, w zależności od charakteru zbioru, przetwarzane są,
bądź w systemach
papierowych, bądź w systemach informatycznych.
2. Dane osobowe przetwarzane są centralnie/w systemie rozproszonym.
3. W przypadku powierzenia przetwarzania danych osobie trzeciej
(firmie zewnętrznej) sposób przetwarzania danych reguluje odrębna
umowa zawarta na piśmie.
4. Do przetwarzania danych w systemie informatycznym stosuje się
zabezpieczenia, o których jest mowa w Ustawie o ochronie danych
osobowych oraz przepisach wykonawczych.
III. ZABEZPIECZENIE DANYCH
§ 12.
UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH
1. Dane osobowe mogą być przetwarzane wyłącznie przez osobę
upoważnioną, czyli osobę posiadającą pisemne upoważnienie do
przetwarzania danych dla osób, w którym ustala się zakres czynności,
do wykonywania których jest uprawniona oraz w którym zobowiązuje się
ją do zachowania poufności informacji pozyskanych w związku z
przetwarzaniem danych (informacji dotyczących danych osobowych oraz
zastosowanych zabezpieczeń).
2. Upoważnienia do przetwarzania danych osobowych wydaje
Administrator Danych.
3. Administrator danych prowadzi ewidencję wydanych upoważnień do
przetwarzania danych osobowych. Ewidencje wydanych upoważnień
przechowuje OSK.
4. Do przetwarzania danych osobowych może być dopuszczona wyłącznie
osoba, która została przeszkolona w zakresie bezpieczeństwa danych,
w szczególności zapoznana z Instrukcją określającą sposób
zarządzania systemami informatycznymi służącymi do przetwarzania
danych osobowych.
5. W OSK obowiązuje program szkolenia pracowników upoważnionych do
przetwarzania danych w zakresie ochrony danych.
6. Dostęp do danych, przyznawanie, modyfikacja, wycofanie uprawnień
odbywa się zgodnie z procedurą określoną w Instrukcji określającej
sposób zarządzania systemami informatycznymi służącymi do
przetwarzania danych osobowych obowiązującej w OSK.
7. Z chwilą ustania stosunku pracy wygasają uprawnienia do
przetwarzania danych osobowych. Nie jest wymagane wystawienie
dokumentu odwołującego upoważnienie do przetwarzania danych
osobowych, z wyjątkiem sytuacji, gdy zmienia się zakres wcześniej
przyznanego upoważnienia.
§ 13.
POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
1. Dopuszczalne jest powierzenie przetwarzania danych osobowych
innemu podmiotowi, pod warunkiem zawarcia odpowiedniej umowy na
piśmie.
2. Podmiot przetwarzający dane na podstawie umowy o powierzeniu
przetwarzania, jest uprawniony do przetwarzania danych w zakresie i
celu określonym w treści umowy.
3. Podmiot przetwarzający na zlecenie nie może przetwarzać danych
osobowych do jakichkolwiek innych celów.
§ 14.
SZKOLENIA
OSK realizując politykę bezpieczeństwa w zakresie ochrony danych
osobowych zapewnia zaznajomienie osób upoważnionych do dostępu lub
przetwarzania danych osobowych z powszechnie obowiązującymi
przepisami prawa, procedurami wewnętrznymi, jak również technikami i
środkami ochrony tych danych stosowanymi w OSK a także odpowiednio,
z ich zmianami.
§ 15.
IV. ZAWIADAMIANIE O INCYDENTACH NARUSZENIA OCHRONY
1. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności
wskazujących na naruszenie ochrony danych osobowych, pracownik OSK
ma obowiązek bezzwłocznie powiadomić o tym fakcie administratora
danych oraz bezpośredniego przełożonego.
2. W przypadku naruszenia ochrony danych osobowych, administrator
bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie
72 godzin po stwierdzeniu naruszenia – zgłasza je organowi
właściwemu ds. ochrony danych osobowych (Generalny Inspektor Ochrony
Danych Osobowych/Prezes Urzędu Ochrony Danych Osobowych), chyba że
jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem
naruszenia praw lub wolności osób fizycznych. Do zgłoszenia
przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się
wyjaśnienie przyczyn opóźnienia.
3. Administrator danych ma obowiązek zgromadzenia wszelkiej
dokumentacji związanej z incydentem naruszenia ochrony danych. W
szczególności administrator danych ma obowiązek udokumentować i
opisać:
a) okoliczności naruszenia ochrony danych osobowych,
b) skutki
c) podjęte działania zaradcze.
4. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie
ryzyko naruszenia praw lub wolności osób fizycznych, administrator
danych bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o
takim naruszeniu, opisując charakter naruszenia ochrony danych
osobowych oraz poinformować osobę, której dane zostały naruszone o:
a) w jaki sposób można skontaktować się z administratorem danych w
celu uzyskania dodatkowych informacji;
b) opisać możliwe konsekwencje naruszenia ochrony danych;
c) opisać zastosowane przez administratora danych środki w celu
zminimalizowania skutków naruszenia ochrony oraz podjętych
działaniach zmniejszających ryzyko naruszenia ochrony w przyszłości.
3. Zawiadomienie nie jest wymagane, w następujących przypadkach:
a) administrator wdrożył odpowiednie techniczne i organizacyjne
środki ochrony i środki te zostały zastosowane do danych osobowych,
których dotyczy naruszenie, w szczególności środki takie jak
szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do
dostępu do tych danych osobowych;
b) administrator zastosował następnie środki eliminujące
prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności
osoby, której dane dotyczą, o którym mowa w ust. 1;
c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku
administrator danych wydaje publiczny komunikat, za pomocą którego
osoby, których dane dotyczą, zostają poinformowane w równie
skuteczny sposób.
§ 16.
V. KONSEKWENCJE NARUSZENIA POLITYKI BEZPIECZEŃSTWA
1. Każdy pracownik/współpracownik OSK mający dostęp do danych
osobowych jest zobowiązany do przestrzegania zasad ochrony danych
osobowych wynikających z niniejszej Polityki bezpieczeństwa procesów
przetwarzania danych osobowych oraz innych obowiązujących w OSK
wewnętrznych procedur związanych z bezpieczeństwem informacji.
2. Za nieprzestrzeganie zasad bezpieczeństwa danych osobowych
pracownik może być ukarany karą upomnienia, nagany, bądź karą
pieniężną, na zasadach określonych w przepisach prawa pracy.
Jeżeli naruszenie zasad bezpieczeństwa danych osobowych wiąże się z
naruszeniem przepisów prawa, pracownik ponosi odpowiedzialność w
trybie i na zasadach określonych w tych przepisach.
VI. POSTANOWIENIA KOŃCOWE
§ 18.
Polityka bezpieczeństwa procesów przetwarzania danych osobowych w
OSK wchodzi w życie z dniem 25.05.2018 roku.