Rodo

 

 

 

Polityka

Ochrony Danych Osobowych

 

 

Szkoła Podstawowa w Wierzonce


Data wydania:        30.10.2018 r.

Wydanie:    1

Symbol dokumentu:     PODO

OPRACOWANO W OPARCIU O WYMAGANIA

Obszar

Wymaganie

Ochrona Danych Osobowych

 

1)    Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2),

2)    Ustawa z dnia 10.05.2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000)

Krajowe Ramy Interoperacyjności

§ 20 ust. 1

Standardy Kontroli Zarządczej

C. 13

Norma PN ISO/IEC 27001:2014-12

A.8.2.1, A.8.2.2

Norma PN-ISO/IEC 20000-1

Nie dotyczy

ZATWIERDZENIE DOKUMENTU

Sporządził

Sprawdził

Zatwierdził

Monika Bojanowska

Wojciech Wośkowiak

Monika Bojanowska

Wojciech Wośkowiak

 

 

 

 

…………………………………………..

Imię i nazwisko osoby reprezentującej ADO

Status: obowiązuje od

Właściciel dokumentu

Data zatwierdzenia

05.11.2018 r.

 

 

 

 

 

……………………………………………………

nazwa podmiotu

30.10.2018 r.

       

 

  1. Cel polityki 3
  2. Słownik pojęć i skrótów.. 3

III.              Postanowienia ogólne. 5

  1. Zasady przetwarzania danych. 5
  2. Role w systemie ochrony danych. 6
  3. Zasady rozliczalności i ustalania uprawnień. 7

VII.           Czynności przetwarzania danych osobowych.. 9

VIII.         Zasady rozliczalności dla systemów informatycznych.. 10

  1. Zasady ochrony technicznej i organizacyjnej 10
  2. Udostępnianie danych.. 11
  3. Zasady dotyczące przypadków naruszenia ochrony danych osobowych.. 12

XII.           Ocena skutków dla ochrony danych.. 13

XIII.         Kontrole i audyty dotyczące bezpieczeństwa danych osobowych.. 14

XIV.        Szkolenia. 14

  1. Historia przeglądu i zmian dokumentu. 15

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

I.     Cel polityki

  1. Celem niniejszej Polityki ochrony danych osobowych (PODO) jest wypełnienie założeń Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r.
    w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), a w szczególności uzyskanie optymalnego i zgodnego
    z wymogami obowiązujących przepisów prawa standardu przetwarzania informacji zawierających dane osobowe oraz zapewnienie ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych.
  2. Niniejsza Polityka Ochrony Danych Osobowych stanowi zbiór wymogów, zasad i regulacji ochrony danych osobowych u Administratora danych osobowych, którym jest Szkoła Podstawowa w Wierzonce, reprezentowanego przez Dyrektora Szkoły.
  3. Zasady, działania, kompetencje i zakresy odpowiedzialności opisane w niniejszej Polityce Ochrony Danych Osobowych, obowiązują wszystkich pracowników i współpracowników ADO.
  4. Słownik pojęć i skrótów

1.    Pojęcia.

1)   Administrator (danych osobowych) - oznacza Szkołę Podstawową w Wierzonce, który samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych;

2)   dane osobowe - to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

3)   Inspektor ochrony danych - to osoba wyznaczona przez Administratora w celu informowania i doradzania Administratorowi/podmiotowi przetwarzającemu/osobom wykonującym pracę w zakresie obowiązującego prawa o ochronie danych i niniejszej Polityki oraz w celu monitorowania ich przestrzegania oraz działania jako punkt kontaktowy dla osób, których dane osobowe przetwarzane, a także organu nadzorczego.

4)   naruszenie ochrony danych osobowych - oznacza umyślne lub nieumyślne działanie bądź zaniechanie prowadzące do niezgodnego z prawem przetwarzania danych osobowych, w tym w szczególności do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych;

5)   ocena skutków w ochronie danych - to proces przeprowadzony przez Administratora, jeśli jest wymagany przez obowiązujące prawo i jeśli to konieczne z uczestnictwem inspektora ochrony danych, dokonywany przed przystąpieniem do przetwarzania danych osobowych, w przypadku, gdy istnieje prawdopodobieństwo wysokiego ryzyka dla praw i wolności osób fizycznych ze względu na rodzaj przetwarzania danych osobowych, w szczególności, gdy do przetwarzanie dochodzi z wykorzystaniem nowych technologii, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania. Proces ten musi ocenić wpływ planowanych operacji przetwarzania na ochronę danych osobowych;

6)   osoby wykonujące pracę - to osoby, których stosunek prawny z placówką został ukształtowany w oparciu o umowę o pracę lub inny formalny i udokumentowany instrument prawny (np. odbywanie stażu, praktyki, wolontariatu, wykonywanie zadań w związku ze świadczeniem usług);

7)   podmiot danych - to osoba fizyczna, której dane osobowe przetwarzane;

8)   podmiot przetwarzający (procesor) - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora;

9)   przetwarzanie - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

10)    pseudonimizacja - oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje przechowywane osobno i objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

11)    szczególne kategorie danych osobowych - to dane, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; ponadto obejmują dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia, dane dotyczące seksualności lub orientacji seksualnej osoby fizycznej.

2.    Skróty.

1)   ADO Administrator Danych Osobowych;

  • ASI – Administrator Systemów Informatycznych;

3)   IOD Inspektor Ochrony Danych;

  • Kodeks Pracy – ustawa z dnia ustawa z dnia 26.06.1974 r. Kodeks pracy (t.j.: Dz. U. z 2018 r., poz. 917 z późn. zm.);
  • ODO – ochrona danych osobowych;
  • Placówka - Szkoła Podstawowa w Wierzonce, ul. Karłowicka 3, 62-006 Kobylnica;

7)   PODO lub Polityka Polityka Ochrony Danych Osobowych;

8)   PUODO Prezes Urzędu Ochrony Danych Osobowych;

9)   RODO Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2);

10)    UODO ustawa z dnia 10.05.2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000).

III.        Postanowienia ogólne

1.    Administratorem danych osobowych jest Szkoła Podstawowa w Wierzonce,  reprezentowana przez Dyrektora Szkoły.

2.    Administrator danych osobowych powołuje Inspektora ochrony danych.

3.    Członkowie kadry kierowniczej placówki wyznaczają osobę lub osoby, którym przypisują funkcję Koordynatorów ochrony danych osobowych, w liczbie odpowiedniej do skali i złożoności czynności przetwarzania danych osobowych w danej placówce.

4.    Wszystkie osoby wykonujące pracę na rzecz placówki zobowiązane do stałej współpracy z IOD w zakresie ochrony danych osobowych.

5.    Zobowiązuje się wszystkie osoby wykonujące pracę na rzecz placówki do stosowania i przestrzegania niniejszej Polityki.

6.    Przetwarzanie danych osobowych z pominięciem uregulowań niniejszego dokumentu jest niedozwolone.

  1. Zasady przetwarzania danych

Dane osobowe muszą być przetwarzane w zgodzie z następującymi zasadami:

1)   zgodności z prawem - co oznacza obowiązek przetwarzania danych osobowych na podstawie przesłanek legalności z art. 6 lub art. 9 RODO;

2)   rzetelności i przejrzystości - co oznacza, że dane osobowe muszą być przetwarzane rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą, w szczególności poprzez prawidłową realizację obowiązków informacyjnych;

3)   ograniczenia celu przetwarzania danych - co oznacza, że dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, przy czym  dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami;

4)   minimalizacji danych - co oznacza, że dane osobowe muszą być przetwarzane w sposób adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których przetwarzane;

5)   prawidłowości - co oznacza, że dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane. Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;

6)   ograniczenia przechowywania - co oznacza, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te przetwarzane. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych;

7)   integralności i poufności - co oznacza, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem,

8)   dostępności - co oznacza, że dane osobowe muszą być zabezpieczone przed ich zniszczeniem, a działanie systemów informatycznych ma zapewnić, aby dane osobowe były dostępne dla osób upoważnionych wtedy gdy je potrzebują lub będą potrzebować.

 

  1. Role w systemie ochrony danych

1.    Członkowie Kierownictwa.

Członkowie Kierownictwa placówki (tj. Dyrektor, Zastępca Dyrektora) odpowiadają za nadzór nad podległymi im komórkami organizacyjnymi placówki, w zakresie stosowania i przestrzegania niniejszej Polityki oraz wydanych na jej podstawie innych dokumentów określających zasady i odpowiedzialności w obszarze ochrony danych osobowych.

2.    Inspektor ochrony danych.

Inspektor ochrony danych odpowiedzialny jest w szczególności za:

1)   informowanie ADO, podmiotów przetwarzających oraz osób wykonujących pracę o obowiązkach spoczywających na nich na mocy przepisów Rozporządzenia RODO oraz innych przepisów prawa Unii Europejskiej lub państwa polskiego o ochronie danych oraz doradzanie im w tej sprawie;

2)   monitorowanie przestrzegania przepisów Rozporządzenia RODO, innych przepisów prawa Unii Europejskiej oraz państwa polskiego dotyczących ochrony danych osobowych oraz polityk ADO w dziedzinie ochrony danych osobowych, w tym podziału obowiązków, a nadto podejmowanie działań zwiększających świadomość personelu ADO w przedmiotowym obszarze;

3)   szkolenia personelu uczestniczącego w operacjach przetwarzania danych osobowych;

4)   przeprowadzanie audytów ochrony danych osobowych;

5)   udzielanie na żądanie ADO zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie ich wykonania zgodnie z art. 35 RODO;

6)   monitorowanie prowadzenia rejestru czynności przetwarzania danych osobowych oraz rejestru kategorii czynności przetwarzania;

7)   współpracę z PUODO oraz pełnienie funkcji punktu kontaktowego dla tego organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

3.    Koordynatorzy ochrony danych osobowych.

1)   Do zadań Koordynatorów ODO należy w szczególności:

a)    wspieranie kadry kierowniczej placówki oraz współpracowników w spełnianiu wymagań przepisów o ochronie danych osobowych,

b)   prowadzenie rejestru czynności przetwarzania danych osobowych i rejestru kategorii czynności przetwarzania danych osobowych oraz bieżące uzgadnianie innymi komórkami organizacyjnymi, koniecznych zgłoszeń, bądź aktualizacji zapisów w tych rejestrach,

c)    uczestniczenie w przeprowadzaniu analiz ryzyka w obszarze przetwarzania danych osobowych przy wsparciu i konsultacji z IOD,

d)   uczestniczenie w przygotowaniu umów powierzenia przetwarzania danych osobowych przy wsparciu i konsultacji z IOD,

e)    prowadzenie rejestru udostępnień, o którym mowa w ust. X niniejszej Polityki,

f)    prowadzenie rejestru osób upoważnionych do przetwarzania danych osobowych w ramach danej komórki organizacyjnej.

2)   ADO może udzielić Koordynatorowi ODO upoważnienia do nadawania w jego imieniu upoważnień do przetwarzania danych osobowych.

 

4.    Kadra kierownicza placówki.

Kadra kierownicza placówki (tj. Główny Księgowy, Kierownik ds. Administracyjnych, Kierownik ds. Płac), będąca bezpośrednimi przełożonymi osób wykonujących pracę, odpowiedzialna jest w szczególności za:

1)   stosowanie zasad opisanych w niniejszej Polityce, a także w innych dokumentach określających środki techniczne i organizacyjne oraz zasady wpływające na bezpieczeństwo przetwarzania informacji, w tym w szczególności danych osobowych,

2)   nadzorowanie osób wykonujących pracę w ramach danej komórki organizacyjnej w zakresie opisanym w pkt 1;

3)   monitorowanie przepisów merytorycznych wpływających na realizację zadań przypisanych danej komórce organizacyjnej, odnoszących się albo mających wpływ na procesy przetwarzania danych osobowych w poszczególnych komórkach organizacyjnych.

5.    Osoby wykonujące pracę.

Osoby wykonujące pracę odpowiedzialne w szczególności:

1)   za stosowanie zasad opisanych w niniejszej Polityce, a także innych dokumentach określających środki techniczne i organizacyjne wpływające na bezpieczeństwo przetwarzania informacji;

2)   za ochronę informacji i danych, w tym danych osobowych:

a)    przed dostępem do nich osób nieuprawnionych,

b)   przed przypadkowym lub umyślnym zniszczeniem, utratą lub modyfikacją.

 

VI.        Zasady rozliczalności i ustalania uprawnień.

1.    Ogólne zasady.

1)   Uprawnionymi do przetwarzania danych osobowych jedynie osoby wykonujące pracę na rzecz placówki w oparciu o umowę o pracę lub inny formalny i udokumentowany instrument prawny (np. odbywanie stażu, praktyki, wolontariatu, wykonywanie zadań w związku ze świadczeniem usług).

  • Wszystkie osoby mające dostęp do danych osobowych zobowiązane są przetwarzać te dane zgodnie z przepisami o ochronie danych osobowych oraz według zasad zawartych
    w niniejszej Polityce i powiązanych z nią dokumentach.
  • Dostęp do danych osobowych mogą mieć tylko i wyłącznie osoby posiadające pisemne, imienne upoważnienia do przetwarzania danych osobowych nadane przez ADO bądź osobę działającą z jego upoważnienia.

4)   Zakres uprawnień poszczególnych osób do przetwarzania danych osobowych (polecenie i upoważnienie) obejmuje działania tych osób niezbędne do realizacji przydzielonych im zadań. Zadania te ustalone w szczególności w:

a)   Statucie szkoły placówki określającym szczegółowy zakres działania i wewnętrzną strukturę poszczególnych komórek organizacyjnych placówki,  odrębnych Zarządzaniach określających szczegółowe zadania i odpowiedzialności poszczególnych pracowników, kartach projektów, poszczególnych opisach stanowisk pracy funkcjonujących w placówce, indywidualnych zakresach czynności służbowych oraz pełnomocnictwach i upoważnieniach w przypadku osób zatrudnionych na podstawie umowy o pracę;

b)   umowie zawieranej na podstawie innej niż Kodeks Pracy lub w dokumencie towarzyszącym takiej umowie.

5)   Wszelkie inne działania dotyczące przetwarzania danych osobowych mogą być wykonywane tylko na podstawie poleceń bezpośrednich przełożonych, wydanych zgodnie z obowiązującym Regulaminem Pracy placówki.

6)   W przypadku systemów informatycznych, w których przetwarzane dane osobowe, uprawnienia dostępu poszczególnych osób wykonujących pracę na rzecz placówki do tych systemów oraz ich zakres wskazują członkowie kadry kierowniczej odpowiedzialni za funkcjonowanie poszczególnych komórek organizacyjnych placówki.

7)   Wskazanie uprawnień, o których mowa w ust. 4), następuje we wniosku, który jest przekazywany do pracownika odpowiedzialnego za nadawanie uprawnień [ASI],celem realizacji. Zakres uprawnień, które mają zostać nadane, podlega akceptacji ADO.

8)   IOD przysługuje uprawnienie do weryfikacji konieczności wydania w imieniu ADO polecenia i upoważnienia do przetwarzania danych osobowych konkretnej osobie.

9)   Wzór wniosku o realizację uprawnień, karty uprawnień oraz procedurę nadawania uprawnień określa członek kadry kierowniczej placówki odpowiedzialny za nadzór nad realizacją zadań z zakresu informatyki w porozumieniu z IOD. Dokumenty te podlegają uzgodnieniu z osobą reprezentującą ADO.

10)    Bieżący nadzór nad osobami przetwarzającymi dane osobowe w zakresie wykonywania przez nie tylko tych czynności przetwarzania, które niezbędne do realizacji przydzielonych im zadań, należy do członków kadry kierowniczej placówki.

2.    Inne podmioty.

1)   W przypadku osób wykonujących zadania na rzecz ADO (pracownicy podmiotów zewnętrznych) w oparciu o umowy dotyczące świadczenia usług, uprawnienia dostępu do systemów informatycznych funkcjonujących w placówce, w których przetwarzane dane osobowe, ustalają osoby wyznaczone przez ADO, przy czym:

a)    uprawnienia powinny wskazywać operacje przetwarzania danych osobowych;

  1. uprawnienia powinny być ustalone na czas określony, a w przypadku umowy zawartej z podmiotem zewnętrznym na okres nie dłuższy niż okres, w którym umowa będzie wykonywana.

2)   Dyspozycja nadania, zmiany i wycofywania uprawnień jest przekazywana przez  członka kadry kierowniczej do pracownika odpowiedzialnego za nadawanie uprawnień (ASI) celem nadania, zmiany lub wycofywania uprawnień.

  • IOD przysługuje uprawnienie do weryfikacji konieczności wydania w imieniu ADO polecenia i upoważnienia do przetwarzania danych osobowych.
  • Uprawnienia powinny być niezwłocznie wycofane w szczególności, gdy:

a)      wygaśnie umowa z podmiotem zewnętrznym,

  1. podmiot zewnętrzny poinformuje komórkę organizacyjną odpowiedzialną merytorycznie za realizację umowy o konieczności wycofania uprawnień dla osób wyznaczonych ze strony podmiotu przetwarzającego do wykonania tej umowy,

5)   Wzór wniosku o realizację uprawnień, karty uprawnień oraz procedurę ich nadania określa ADO.

VII.       Czynności przetwarzania danych osobowych

1.   Kadra kierownicza placówki zobowiązana jest do zapewnienia identyfikowania następujących zdarzeń dotyczących przetwarzania danych osobowych oraz zawiadamiania o nich IOD, to jest:

1)   potrzeby podjęcia, bądź podjęcia nowych czynności przetwarzania danych osobowych;

  • potrzeby dokonania, bądź dokonania zmiany w dotychczasowych czynnościach przetwarzania danych osobowych, w szczególności dotyczących: celu i zakresu przetwarzania, współadministratorów, odbiorców danych, podmiotów przetwarzających dane;

3)   potrzeby zawarcia umów powierzenia przetwarzania danych osobowych, także w przypadkach gdy placówka jest podmiotem przetwarzającym na rzecz innego podmiotu. Informacja taka powinna zostać przekazana przed sporządzeniem:

a)    specyfikacji istotnych warunków zamówienia publicznego,

b)   dokumentacji na podstawie odpowiednich przepisów regulujących zamówienia o wartości nieprzekraczającej kwoty wskazanej w art. 4 pkt. 8 ustawy z dnia 29.01.2004 r. Prawo zamówień publicznych,

c)    dokumentacji dla zamówień, do których nie stosuje się Regulaminu opisanego w lit. B),

4)   potrzeby spełnienia, bądź spełnienia obowiązku informacyjnego wobec podmiotów danych.

2.   W placówce prowadzony jest rejestr czynności przetwarzania danych osobowych oraz rejestr kategorii czynności przetwarzania. Przedmiotowe rejestry prowadzone w formie elektronicznej przez koordynatorów ODO wyznaczonych w placówce. IOD może zdecydować o konieczności wprowadzenia dodakowych rejestrów jako odpowiednich środków organizacyjnych mających zapewnić, aby przetwarzanie odbywało się zgodnie z przepisami Rozporządzenia RODO. Dodatkowe rejestry podlegają uzgodnieniu i akceptacji ADO.

3.   Kadra kierownicza placówki zobowiązana jest do przekazywania koordynatorom ODO aktualnych, kompletnych i prawidłowych informacji będących podstawą do wpisania nowych bądź zaktualizowania istniejących czynności przetwarzania danych osobowych w poszczególnych rejestrach.

4.   Szczegółowy, minimalny zakres informacyjny rejestrów określają:

1)            załącznik Nr 1 – Wykaz rubryk w rejestrze czynności przetwarzania danych osobowych;

2)            załącznik Nr 2 – Wykaz rubryk w rejestrze kategorii czynności przetwarzania danych osobowych.

5.   IOD może poszerzyć zakres informacji gromadzonych w rejestrach, co wymaga uzgodnienia i akceptacji ADO.

 

VIII.       Zasady rozliczalności dla systemów informatycznych

1.   W przypadku zmiany stanowiska pracy i zakresu obowiązków służbowych przez osobę posiadającą konto w systemie informatycznym, w którym przetwarzane dane osobowe, jej dotychczasowe uprawnienia w tym systemie powinny być zawieszone do czasu udokumentowanego wskazania nowych uprawnień przez członka kadry kierowniczej placówki. Nie dotyczy to służbowej poczty elektronicznej.

2.   Kadra kierownicza placówki zobowiązana jest do niezwłocznego przekazywania, zgodnie z procedurą realizacji uprawnień, informacji o osobach tracących uprawnienia w systemach informatycznych do pracownika odpowiedzialnego za nadawanie uprawnień (ASI).

IX.      Zasady ochrony technicznej i organizacyjnej

1.    W celu zapewnienia bezpieczeństwa danych osobowych stosuje się ogólne środki ochrony takie jak:

1)   możliwość przebywania osób nieuprawnionych do dostępu do danych osobowych, w pomieszczeniach, w których odbywa się przetwarzanie danych, wyłącznie w obecności pracownika placówki lub innej osoby uprawnionej, posiadającej upoważnienie do przetwarzania danych, działającej na rzecz placówki;

  • przechowywanie dokumentów i informatycznych nośników danych zawierających dane osobowe w sposób uniemożliwiający ujawnienie tych danych osobom nieupoważnionym;

3)   przetworzenie (usunięcie) zbędnych dokumentów sporządzonych w formie papierowej lub danych na nośnikach informatycznych zawierających dane osobowe w sposób uniemożliwiający odczytanie tych danych, w szczególności przed zbyciem lub oddaniem do dyspozycji podmiotowi innemu niż komórka organizacyjna odpowiedzialna za obsługę informatyczną, lub ich skuteczna likwidacja;

4)   przechowywanie danych osobowych z zastosowaniem ochrony kryptograficznej (szyfrowanie) w przypadkach przenośnych informatycznych nośników danych (np. karty pamięci, pendrive, płyty, dyski twarde, komputery przenośne, itp.), z wyłączeniem kopii zapasowych wykonywanych przez administratorów systemów informatycznych i przechowywanych w warunkach zapewniających inne skuteczne zabezpieczenia;

5)   zestawienia, wykazy lub rejestry zawierające dane osobowe, zwłaszcza zawierające szczególne kategorie danych osobowych (tzw. dane osobowe wrażliwe) mogą być przekazywane do podmiotów zewnętrznych pocztą elektroniczną lub na nośniku informatycznym jedynie z zastosowaniem ochrony kryptograficznej (szyfrowanie), o ile taka komunikacja przez podmiot zewnętrzny jest obsługiwana;

6)   zastosowanie dodatkowych zabezpieczeń (np. kod dostępu) dla urządzeń drukujących, które nie mają zapewnionego nadzoru pracowników placówki;

2.   Przetwarzanie danych osobowych w systemach informatycznych odbywa się przy zapewnieniu pełnej rozliczalności w zakresie dostępu, wprowadzania i edycji danych.

3.   Każda osoba posiadająca dostęp do systemu informatycznego ma prawo do wykonywania w tym systemie tylko tych czynności, które konieczne do realizacji zadań lub poleceń służbowych wydanych zgodnie z Regulaminem Pracy placówki oraz do których jest uprawniona. Wszelkie przekroczenia lub próby przekroczenia przyznanych uprawnień traktowane będą jako naruszenie podstawowych obowiązków służbowych.

4.   Systemy informatyczne służące do przetwarzania danych osobowych muszą być zabezpieczane przed nieuprawnionym dostępem poprzez zapewnienie w nich mechanizmu wymuszającego tworzenie indywidualnych kont i przyznawanie niepowtarzalnych identyfikatorów oraz stosowanie haseł lub innych metod uwierzytelniania.

5.   Systemy informatyczne muszą umożliwiać różnicowanie zakresu praw dostępu ich użytkowników do danych i funkcji systemu.

6.   Ustala się ogólne warunki funkcjonowania infrastruktury teleinformatycznej, a w szczególności:

1)   obowiązkowe stosowanie ochrony wewnętrznych sieci komputerowych na stykach z siecią publiczną poprzez dedykowane do tej ochrony rozwiązania teleinformatyczne;

  • zapewnienie dla krytycznej infrastruktury informatycznej (np. serwery, macierze dyskowe) pomieszczeń spełniających powszechnie przyjęte normy w tym zakresie oraz zapewnienie odpowiedniego poziomu jej niezawodności oraz redundantność;
  • wykonywanie kopii zapasowych, zapewniających integralność i odpowiednią aktualność danych w nich zawartych, w szczególności kopie zapasowe powinny:

a)      zabezpieczać dane przed ich utratą, nieuprawnioną zmianą, zniszczeniem;

b)      gwarantować możliwość szybkiego i integralnego odtworzenia danych;

c)      być przechowywane w sposób bezpieczny i w różnych lokalizacjach fizycznych;

4)   stosowanie ochrony wszystkich komputerowych stanowisk pracy, serwerów oraz urządzeń sieci komputerowej przed działaniem szkodliwego oprogramowania   i zakłóceniami pracy wynikającymi z czynników środowiskowych.

 

X.   Udostępnianie danych

1.   Dane osobowe mogą być udostępniane tylko osobom lub podmiotom uprawnionym lub                      w związku z konkretnym postępowaniem prowadzonym przez organy publiczne, tylko na udokumentowany wniosek (pismo), zawierający uzasadnienie faktyczne i prawne oraz na polecenie ADO. Kadra kierownicza placówki rozpatruje taki wniosek lub potrzebę udostępnienia na podstawie przepisów prawa.

2.   Dane przekazywane wnioskodawcy w sposób minimalizujący ryzyko ujawnienia tych danych osobom nieuprawnionym, np. w przypadku formy elektronicznej poprzez ich szyfrowanie.

3.   Kadra kierownicza placówki zapewnia prowadzenie rejestru udostępnień, w którym wskazywany jest podmiot, któremu udostępniono dane, zakres udostępnienia, sposób udostępnienia i datę udostępnienia danych. Prowadzenie rejestru udostępnień należy do obowiązków Koordynatora ODO.

 

 

 

XI.   Zasady dotyczące przypadków naruszenia ochrony danych osobowych

1.    Wszystkie osoby wykonujące pracę na rzecz placówki zobowiązane do reagowania na nieprawidłowości w przetwarzaniu danych osobowych.

1)   ujawnienie danych osobowych osobom nieuprawnionym;

2)   nie zgłoszenie ADO oraz Koordynatorowi ODO nowych, niezidentyfikowanych wcześniej czynności przetwarzania danych osobowych;

3)   brak zgłoszenia ADO oraz Koordynatorowi ODO zmienionego przebiegu procesu przetwarzania, zmienionego zakresu przetwarzanych danych lub innego zdarzenia mogącego powodować nieuprawniony dostęp do danych osobowych, ich uszkodzenie lub utratę;

4)   niezgodne z prawem przetwarzanie danych osobowych.

2.   Zdarzeniami stanowiącymi naruszenie ochrony danych osobowych, w szczególności:

3.   W przypadku podejrzenia naruszenia ochrony danych osobowych, osoba wykonująca pracę lub świadcząca usługi w oparciu o inną podstawę prawną niż stosunek pracy, powinna bezzwłocznie:

1)   powiadomić o tym podejrzeniu członków kadry kierowniczej placówki oraz Inspektora ochrony danych;

2)   podjąć działania minimalizujące skutki naruszenia;

3)   zabezpieczyć dowody umożliwiające ustalenie źródła, przyczyn i skutków naruszenia ochrony danych osobowych.

4.   W przypadku stwierdzenia naruszenia ochrony danych osobowych, dokumentuje się je, co najmniej w zakresie: okoliczności, miejsca, czasu naruszenia, jego skutków oraz podjętych działań zaradczych.

5.   Za zapewnienie dokumentowania naruszeń ochrony danych osobowych odpowiada kadra kierownicza placówki w zakresie zadań realizowanych przez kierowaną komórkę organizacyjną placówki.

6.   W przypadku podejrzenia naruszenia bezpieczeństwa danych osobowych dotyczącego systemów informatycznych, niezwłocznie powiadamia się o tym pracownika  odpowiedzialnego za obsługę informatyczną placówki oraz członka kadry kierowniczej placówki odpowiedzialnego za sprawowanie nadzoru nad wykonywaniem zadań z zakresu obsługi informatycznej. Członek kadry kierowniczej placówki wskazuje niezwłocznie pracowników placówki, którzy podejmują działania zaradcze i dokumentacyjne, w szczególności opisane w ust. 3 i 4.

7.   W przypadku gdy dany system informatyczny jest administrowany w ramach innej komórki organizacyjnej niż komórka organizacyjna odpowiedzialna za obsługę informatyczną, informację o podejrzeniu naruszenia bezpieczeństwa danych osobowych tego systemu, pracownik komórki organizacyjnej odpowiedzialnej za obsługę informatyczną przekazuje członkowi kadry kierowniczej odpowiedzialnemu za komórkę organizacyjną, która administruje danym systemem. Członek kadry kierowniczej odpowiedzialny za komórkę administrującą danym systemem wskazuje niezwłocznie pracowników komórki, którzy podejmują działania zaradcze i dokumentacyjne, w szczególności opisane w ust. 3 i 4.

8.   W przypadku stwierdzenia naruszenia ochrony danych osobowych, fakt ten jest zgłaszany w ciągu 72 godzin do PUODO chyba, że jest mało prawdopodobne, aby naruszenie ochrony danych skutkowało ryzykiem naruszenia praw i wolności osób, których dane dotyczą. Decyzję o zgłoszeniu naruszenia organowi nadzorczemu podejmuje ADO. Treść zgłoszenia przygotowują członkowie kadry kierowniczej placówki odpowiedzialni za funkcjonowanie komórek organizacyjnych, w których stwierdzono naruszenie. Treść zgłoszenia podlega konsultacji z IOD, a  jeżeli podmiot posiada obsługę prawną także z radcą prawnym lub prawnikiem odpowiedzialnym za obsługę prawną.

9.       W przypadku, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których dane dotyczą, decyzję o zawiadomieniu tych osób podejmuje ADO. Treść zawiadomienia przygotowują członkowie kadry kierowniczej placówki odpowiedzialni za komórki organizacyjne, w których stwierdzono naruszenie. Treść zawiadomienia podlega konsultacji z IOD jeżeli podmiot posiada obsługę prawną także z radcą prawnym lub prawnikiem odpowiedzialnym za obsługę prawną.

10.   Zgłoszenia i zawiadomienia o naruszeniu ochrony danych osobowych podpisuje ADO, a następnie procedura realizowana jest przez IOD. W przypadku nieobecności ADO, zgłoszenia i zawiadomienia podpisuje zastępująca go upoważniona osoba.

11.   IOD prowadzi rejestr naruszeń ochrony danych osobowych.

12.   Za naruszenie ochrony danych osobowych, niezależnie od kar przewidzianych przepisami prawa, ADO może stosować kary porządkowe.

 

XII.       Ocena skutków dla ochrony danych

1.   Jeżeli dany rodzaj przetwarzania w szczególności z użyciem nowych technologii ze  względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, członek kadry kierowniczej placówki odpowiedzialny merytorycznie za taki proces przetwarzania, przed rozpoczęciem przetwarzania, przygotowuje dla ADO ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

2.    Dla podobnych operacji przetwarzania danych osobowych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

3.   Dokonując oceny skutków dla ochrony danych, członek kadry kierowniczej placówki  odpowiedzialny merytorycznie za taki proces przetwarzania konsultuje się z IOD oraz:

1)   w przypadku użycia nowych technologii informatycznych z członkiem kadry kierowniczej placówki odpowiedzialnym za zapewnienie obsługi informatycznej oraz członkiem kadry kierowniczej placówki odpowiedzialnym merytorycznie za system informatyczny, z którym dany proces przetwarzania będzie powiązany (zintegrowany);

2)   w celu zapewnienia bezpieczeństwa fizycznego z członkiem kadry kierowniczej placówki odpowiedzialnym za zapewnienie bezpieczeństwa fizycznego.

4.   IOD udziela zaleceń co do oceny skutków dla ochrony danych oraz monitoruje ich wykonanie zgodnie z art. 35 RODO.

5.   Do oceny skutków ochrony danych osobowych wykorzystuje się zidentyfikowane w ramach kontroli zarządczej ryzyka w ramach danej komórki organizacyjnej.

6.   Ocena zawiera co najmniej:

1)   systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie prawnie uzasadnionych interesów realizowanych przez Administratora;

2)   ocenę, czy operacje przetwarzania niezbędne oraz proporcjonalne w stosunku do celów;

3)   ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,

4)   środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie przepisów Rozporządzenia RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

7.    Ocena skutków dla ochrony danych podlega uzgodnieniu z właściwym członkiem Kierownictwa placówki, któremu podlega dany członek kadry kierowniczej, a w przypadku gdy z danym rodzajem przetwarzania wiąże się użycie nowych technologii informatycznych dodatkowo z członkiem Kierownictwa placówki odpowiedzialnym za wdrażanie nowych technologii.

XIII.    Kontrole i audyty dotyczące bezpieczeństwa danych osobowych

1.    IOD wykonuje audyty w zakresie ochrony danych osobowych w placówce.

2.    Jeżeli w wyniku audytu stwierdzono przypadki naruszenia przepisów o ochronie danych osobowych lub inne istotne uchybienia, odpowiedni członkowie kadry kierowniczej placówki przedstawiają ADO, oraz do wiadomości IOD, informację o stanie realizacji działań naprawczych w terminie do 21 dni od dnia otrzymania raportu z audytu lub jego odpowiedniej części.

XIV.    Szkolenia

1.    Wszyscy pracownicy uczestniczący w przetwarzaniu danych osobowych w placówce podlegają szkoleniu wstępnemu oraz w miarę potrzeb szkoleniom okresowym w zakresie:

1)   obowiązujących przepisów o ochronie danych osobowych i wewnętrznych polityk, procedur oraz innych dokumentów w tym zakresie przeprowadzanych przez IOD;

2)   zasad i wewnętrznych procedur przetwarzania danych w systemach informatycznych oraz podstawowych zagrożeń związanych z takim przetwarzaniem przeprowadzanych przez pracownika komórki organizacyjnej odpowiedzialnej za zapewnienie obsługi informatycznej placówki;

3)   zasad i wewnętrznych procedur związanych z fizycznym bezpieczeństwem danych przetwarzanych w systemach informatycznych oraz podstawowych zagrożeń związanych z takim przetwarzaniem przeprowadzanych przez pracownika komórki odpowiedzialnej za zapewnienie bezpieczeństwa fizycznego placówki.

2.    IOD, osoby go zastępujące oraz Koordynatorzy ODO nie rzadziej niż raz w roku uczestniczą w szkoleniu w zakresie ochrony danych osobowych.

 

XV.       Historia przeglądu i zmian dokumentu

Lp.

Data wydania/

zmiany/aktualizacji

Miejsce

zmiany/aktualizacji

Opis

zmiany/aktualizacji

Opracował

1.

30.10.2018 r.

Pierwsze wydanie

Pierwsze wydanie

Monika Bojanowska

Wojciech Wośkowiak

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Załącznik Nr 1

do PODO

 

Wykaz rubryk

w rejestrze czynności przetwarzania danych osobowych

 

1.      Nazwa czynności przetwarzania.

2.      Komórka organizacyjna.

  1. Cel przetwarzania.
  2. Kategorie osób, których dane dotyczą.
  3. Kategorie danych osobowych.
  4. Planowany termin usunięcia kategorii danych (jeżeli jest to możliwe).
  5. Nazwa współadministratora i dane kontaktowe (jeśli dotyczy).
  6. Nazwa podmiotu przetwarzającego i dane kontaktowe (jeśli dotyczy).
  7. Kategorie odbiorców (innych niż podmiot przetwarzający).
  8. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa zgodnie z art. 32 ust. 1 (jeżeli jest to możliwe).
  9. Transfer do kraju trzeciego lub organizacji międzynarodowej (nazwa kraju i podmiotu).
  10. Dokumentacja odpowiednich zabezpieczeń (jeśli transfer i art. 49 ust. 1 akapit drugi).


Załącznik Nr 2

do PODO

 

Wykaz rubryk

w rejestrze kategorii czynności przetwarzania danych osobowych.

 

1.       Kategorie przetwarzań dokonywanych w imieniu każdego z administratorów.

  1. Nazwa i dane kontaktowe każdego administratora, w imieniu którego działa podmiot przetwarzający.
  2. Nazwa i dane kontaktowe współadministratora (jeśli dotyczy).
  3. Nazwa i dane kontaktowe przedstawiciela administratora (jeśli wyznaczono).
  4. Inspektor ochrony danych administratora (jeśli powołano).
  5. Nazwy państw trzecich lub organizacji międzynarodowych, do których dane są przekazywane (jeśli dotyczy).
  6. Dokumentacja odpowiednich zabezpieczeń danych osobowych przekazywanych na podstawie art. 49 ust. 1 akapit drugi.
  7. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (jeżeli jest to możliwe).