Polityka Ochrony Danych Osobowych

Polityka Ochrony Danych Osobowych jest dokumentem opisuj─ůcym zasady ochrony danych osobowych stosowane przez Administratora danych w Stowarzyszeniu Oriin Pomorze w celu spe┼énienia wymaga┼ä Rozporz─ůdzenia PE i RE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os├│b fizycznych w zwi─ůzku z przetwarzaniem danych osobowych (RODO). Polityka stanowi jeden ze ┼Ťrodk├│w organizacyjnych, maj─ůcych na celu wykazanie, ┼╝e przetwarzanie danych osobowych odbywa si─Ö zgodnie z powy┼╝szym Rozporz─ůdzeniem.

II. Inwentaryzacja danych

1. Dane osobowe wymagaj─ůce ochrony administrator danych opracowan─ů w postaci papierowej, i zakresie sprzeda┼╝y obejmuj─ů:
- Dane wymagane ustaw─ů o systemie o┼Ťwiaty
- Dane wymagane ustaw─ů o rachunkowo┼Ťci
- Dane wymagaj─ůce kontaktu - adres email
- Wszelkie inne dane ABI uznaje za nadmiarowe i po ewentualnym wykorzystaniu dane s─ů likwidowane w terminach i sposobami okre┼Ťlonymi w polityce Bezpiecze┼ästwa Informacji Teleinformacyjnej
2. W Stowarzyszeniu zosta┼éy opracowane Polityka Zarz─ůdzaniem Ryzykiem w przetwarzaniu danych osobowych, okre┼Ťla zasady szacowania skali ryzyka i prawdopodobie┼ästwa jego wyst─ůpienia.
3. Administrator, w uzgodnieniu z Inspektorem Ochrony Danych, opracowa┼é karty zawieraj─ůce analiz─Ö ryzyka dla poszczeg├│lnych operacji przetwarzania danych w zakresie aktyw├│w bior─ůcych udzia┼é w przetwarzaniu danych.

III. Zapewnienie o przetwarzania danych osobowych zgodnie z prawem.

1. Administrator zapewnia, ┼╝e:
1) dane osobowe s─ů przetwarzane legalnie na podstawie art. 6 i 9 RODO;
2) zakres danych osobowych jest adekwatny do cel├│w przetwarzania, z zachowaniem zasady minimalizacji danych;
3) Administrator przechowuje dane osobowe przez konkretnie okre┼Ťlony czas, okre┼Ťlony ustawami o systemie o┼Ťwiaty oraz ustaw─ů o rachunkowo┼Ťci
4) wobec os├│b, kt├│rych dane s─ů przetwarzane wykonano obowi─ůzek informacyjny (art. 12, 13, 14 RODO) wraz ze wskazaniem im: prawa dost─Öpu do danych osobowych, sprostowania, usuni─Öcia, ograniczenia przetwarzania, sprzeciwu, bycia zapomnianym
5) osoby, kt├│rych dane osobowe s─ů przetwarzane zosta┼éy poinformowane o funkcji IOD i przekazano dane kontaktowe;
6) zapewniono ochron─Ö danych osobowych w przypadku powierzenia danych w postaci um├│w powierzenia z podmiotami przetwarzaj─ůcymi (art. 28 RODO).

IV. Upowa┼╝nienia

1. Administrator odpowiada za nadawanie/anulowanie upoważnień do przetwarzania danych w zbiorach papierowych i systemach informatycznych.
2. Ka┼╝da osoba upowa┼╝niona mo┼╝e przetwarza─ç dane wy┼é─ůcznie na polecenie administratora lub na podstawie przepisu prawa.
3. Upowa┼╝nienia nadawane s─ů do zbior├│w na wniosek prze┼éo┼╝onych os├│b. Upowa┼╝nienia okre┼Ťlaj─ů zakres operacji na danych.
4. Upowa┼╝nienia mog─ů by─ç nadawane w formie polece┼ä, np. upowa┼╝nienia do przeprowadzenia kontroli, audyt├│w, wykonania czynno┼Ťci s┼éu┼╝bowych, udokumentowanego polecenia administratora w postaci umowy powierzenia.

V. Post─Öpowanie z incydentami

Katalog podatno┼Ťci i incydent├│w zagra┼╝aj─ůcych bezpiecze┼ästwu danych osobowych oraz sposob├│w reagowania na ewentualne incydenty, sporz─ůdzono w celu minimalizacja skutk├│w wyst─ůpienia incydent├│w bezpiecze┼ästwa oraz ograniczenie ryzyka powstania zagro┼╝e┼ä w przysz┼éo┼Ťci.
1. Ka┼╝da osoba upowa┼╝niona do przetwarzania danych osobowych zobowi─ůzana jest do powiadamiania o stwierdzeniu podatno┼Ťci lub wyst─ůpieniu incydentu bezpo┼Ťredniego prze┼éo┼╝onego lub Inspektora Ochrony Danych.
2. Do typowych podatno┼Ťci bezpiecze┼ästwa danych osobowych nale┼╝─ů:
1) niew┼éa┼Ťciwe zabezpieczenie fizyczne pomieszcze┼ä, urz─ůdze┼ä i dokument├│w;
2) niew┼éa┼Ťciwe zabezpieczenie sprz─Ötu IT, oprogramowania przed wyciekiem, kradzie┼╝─ů i utrat─ů danych osobowych;
3) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).
3. Do typowych incydent├│w bezpiecze┼ästwa danych osobowych nale┼╝─ů:
1) zdarzenia losowe zewn─Ötrzne (po┼╝ar obiektu/pomieszczenia, zalanie wod─ů, utrata zasilania, utrata ┼é─ůczno┼Ťci, napad obcej cywilizacji, wybuch pandemii);
2) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych);
3) umy┼Ťlne incydenty (w┼éamanie do systemu informatycznego lub pomieszcze┼ä kradzie┼╝ danych/sprz─Ötu, wyciek informacji, ujawnienie danych osobom nieupowa┼╝nionym, ┼Ťwiadome zniszczenie dokument├│w/danych, dzia┼éanie wirus├│w i innego szkodliwego oprogramowania).
4. W przypadku stwierdzenia wyst─ůpienia incydentu, Administrator lub IOD) prowadzi post─Öpowanie wyja┼Ťniaj─ůce w toku, kt├│rego:
1) ustala zakres i przyczyny incydentu oraz jego ewentualne skutki;
2) proponuje ewentualne działania dyscyplinarne;
3) proponuje dzia┼éa na rzecz przywr├│cenia dzia┼éa┼ä organizacji po wyst─ůpieniu incydentu;
4) rekomenduje dzia┼éania prewencyjne (zapobiegawcze) zmierzaj─ůce do eliminacji podobnych incydent├│w w przysz┼éo┼Ťci lub zmniejszenia strat w momencie ich zaistnienia.
5. Administrator dokumentuje powy┼╝sze wszelkie naruszenia ochrony danych osobowych, w tym okoliczno┼Ťci naruszenia ochrony danych osobowych, jego skutki oraz podj─Öte dzia┼éania zaradcze.
6. Zabrania si─Ö ┼Ťwiadomego lub nieumy┼Ťlnego wywo┼éywania incydent├│w przez osoby upowa┼╝nione do przetwarzania danych.
7. W przypadku naruszenia ochrony danych osobowych skutkuj─ůcego ryzykiem naruszenia praw lub wolno┼Ťci os├│b fizycznych, administrator bez zb─Ödnej zw┼éoki w miar─Ö mo┼╝liwo┼Ťci, nie p├│┼║niej ni┼╝ w terminie 72 godzin po stwierdzeniu naruszenia zg┼éasza je organowi nadzorczemu.

VI. Wykaz zabezpieczeń

1. Administrator prowadzi wykaz zabezpieczeń, które stosuje w celu ochrony danych osobowych.
2. W wykazie wskazano stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako ┼Ťrodki techniczne, informatyczne i organizacyjne
3. Wykaz jest aktualizowany po ka┼╝dej analizie ryzyka

VII. Szkolenia

1. Ka┼╝da osoba przed dopuszczeniem do pracy z danymi osobowymi winna by─ç poddana przeszkoleniu i zapoznana z przepisami RODO.
2. Za przeprowadzenie szkolenia odpowiada Administrator danych.
3. Administrator dokonał szkolenia wszystkich pracowników szkoły w formie e-szkolenia.
4. Po przeszkoleniu z zasad ochrony danych osobowych, uczestnicy zobowi─ůzani s─ů do potwierdzenia znajomo┼Ťci tych zasad i deklaracji ich stosowania.
5. Zgodnie z art. 32 RODO, Administrator powinien regularnie testowa─ç mierzy─ç i oceni─ç skuteczno┼Ť─ç ┼Ťrodk├│w technicznych i organizacyjnych maj─ůcych zapewni─ç bezpiecze┼ästwo przetwarzania.

 

Copyright Wszelkie prawa zastre┼╝one