I. Postanowienia ogólne
II. Zasady ochrony danych osobowych
III. Przekazywanie danych do państwa trzeciego
IV. Obowiązki informacyjne
V. Rejestr czynności przetwarzania danych
VI. Postanowienia końcowe
W związku z wejściem w dniu 25.05.2018 r. w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego w dalszej treści RODO, w celu zapewnienia pełnego stosowania, wynikających z powszechnie obowiązujących przepisów prawa, wymogów dotyczących zasad przetwarzania i zabezpieczania danych osobowych wprowadza się niniejszą Politykę Ochrony Danych Osobowych, zwaną w dalszej treści Polityką.
I. Postanowienie ogólne
Podstawowe definicje:
2. Odpowiedzialnym za wdrożenie i zapewnienie stosowania niniejszej Polityki jest Administrator danych
3.Odpowiedzialnym za nadzór i kontrolę nad przestrzeganiem Polityki jest Akademia Bliżej Natalia Kurzawa
4.Odpowiedzialnymi za stosowanie niniejszej Polityki są wszystkie komórki organizacyjne Administratora danych oraz pracownicy przetwarzający dane osobowe.
5. Kategorie danych osobowych:
6. Administrator danych przetwarza następujące kategorie danych: dane zwykłe, dane nieustrukturyzowane.
7. Polityka ma zastosowanie do wszystkich Danych osobowych przetwarzanych przez Administratora danych niezależnie od formy ich przetwarzania (papierowa, elektroniczna) oraz od tego czy dane są lub mogą być przetwarzane w zbiorach danych.
8. Administrator danych zapewnia, aby czynności wykonywane z przetwarzaniem danych były zgodne z niniejszą Polityką i powszechnie obowiązującymi przepisami prawa.
II. Zasady ochrony danych osobowych
Dane osobowe są:
Przetwarzane wyłącznie zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość).
Zbierane w konkretnych, wyraźnych i prawem uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu).
Adekwatne, stosowane oraz ograniczone do tego co niezbędne do celów, w których są przetwarzane (minimalizacja danych).
Prawidłowe i w razie potrzeby uaktualniane, a w razie ich nieprawidłowości w świetle celów przetwarzania – niezwłocznie usunięte lub sprostowane (prawidłowość).
Przechowywane w formie umożliwiającej identyfikacje osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (ograniczenie przechowywania).
Przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem, uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność.
2. Przetwarzanie danych przez Administratora danych jest dopuszczalne wyłącznie w następujących przypadkach:
Osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w określonym celu;
Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze danych;
Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi danych.
Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora danych.
3. Administrator danych jest odpowiedzialny za przestrzeganie zapisów ust. 1 i 2 i podejmuje działania pozwalające na wykazanie ich przestrzeganie.
4. Administrator danych stosuje środki techniczne i organizacyjne niezbędne dla zagwarantowania ochrony przetwarzanych danych osobowych, w tym:
Dopuszcza do przetwarzania danych osobowych wyłącznie osoby przeszkolone i upoważnione przez Administratora, zobowiązane do zachowania danych osobowych w tajemnicy.
Powierza przetwarzanie danych innemu podmiotowi wyłącznie na podstawie umowy powierzenia przetwarzania danych osobowych.
Stosuje ograniczenia dostępu do pomieszczeń, w których przetwarzane są dane osobowe.
Stosuje fizyczne środki ochrony danych osobowych, w postaci zamykanych szaf, szafek i sejfów, w których składowane są dokumenty zawierające dane osobowe.
Stosuje adekwatne środki logiczne – hasła dostępu, identyfikatory, szyfrowanie – do komputerów stacjonarnych oraz wszystkich innych stacjonarnych, wirtualnych i przenośnych nośników danych.
Wykorzystuje niszczarki do papieru.
Chroni komputery lub sieć komputerową i internetową przed dostępem osób trzecich lub zainfekowaniem z zewnątrz stosując system antywirusowy i firewall.
Stosuje system zabezpieczeń poczty e – mail systemem antywirusowym i antyspamowym.
Wykonuje kopie zapasowe.
Zabezpiecza nośniki danych z kopiami archiwalnymi przed dostępem do nich osób nieupoważnionych, przed zniszczeniem lub kradzieżą
5. Administratora danych prowadzi analizę ryzyka przetwarzania danych osobowych i zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez Administratora.
6. Administrator danych w przypadku naruszenia ochrony danych osobowych, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin od stwierdzonego naruszenia – zgłasza ten fakt organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw i wolności osób fizycznych. Administrator danych każdorazowo dokonuje analizy i oceny stwierdzonego naruszenia ochrony danych osobowych w celu określenia ryzyka i stwierdzenia prawdopodobieństwa, czy naruszenia ochrony danych osobowych mogło spowodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o naruszeniu także osobę, której dane dotyczą.
7. Administrator danych dokumentuje wszelkie incydenty naruszenia ochrony danych osobowych, w tym okoliczności naruszenia danych osobowych, ich skutki oraz podjęte działania zaradcze.
III. Przekazywanie danych do państwa trzeciego.
Administrator danych nie będzie przekazywał danych osobowych do państwa trzeciego.
IV. Obowiązki informacyjne
Administrator danych zgodnie z art. 12 RODO w sposób zwięzły, przejrzysty, zrozumiały i w łatwo dostępnej formie, jasnym i prostym językiem, udziela osobie, której dane osobowe są przetwarzanie, wszelkich informacji, o których mowa w art. 13 i 14 RODO oraz prowadzi z nią komunikację na mocy art. 15 – 22 i 34 RODO w sprawie przetwarzania danych osobowych. Informacje udzielane są na piśmie, w tym w stosownych przypadkach również elektronicznie, a na żądane osoby, której dane dotyczą – również ustnie, jeżeli jest możliwe potwierdzenie tożsamości osoby, której dane dotyczą.
Administrator danych bez zbędnej zwłoki, nie dłużej jednak niż w terminie 1 miesiąca od otrzymania żądania, udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem osoby, której dane dotyczą, w zakresie wynikającym z:
art. 15 RODO, dotyczącym potwierdzenia czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, odnośnie prawa dostępu do danych i informacji;
art. 16 RODO, dotyczącym prawa do sprostowania danych zgodnie;
art. 17 RODO, dotyczącym prawa do bycia zapomnianym;
art. 18 RODO, dotyczącym prawa do ograniczenia przetwarzania;
art. 19 RODO, dotyczącym obowiązku powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania;
art. 20 RODO, dotyczącym prawa do przenoszenia danych;
art. 21 RODO, dotyczącym prawa do sprzeciwu;
art. 22 RODO, dotyczącym zautomatyzowanego przetwarzania.
3. W razie potrzeby, termin wskazany w ust. 2 może zostać przedłużony o kolejne 2 miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W takim wypadku Administrator danych zobowiązany jest poinformować osobę, której dane dotyczą o takim przedłużeniu terminu wraz z podaniem przyczyny opóźnienia w terminie 1 miesiąca od otrzymania żądania.
4. Jeżeli Administrator danych nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie 1 miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
5. Administratora danych podaje informacje o przetwarzaniu danych niezidentyfikowanych w miejscach, w których istnieje możliwość pozyskania tego rodzaju danych osobowych.
V. Rejestr czynności przetwarzania danych
Administratora danych prowadzi monitorowanie sposobu i zakresu przetwarzania danych osobowych prowadząc w tym zakresie Rejestr Czynności Przetwarzania Danych Osobowych zwany dalej Rejestrem.
Rejestr może być prowadzony w formie papierowej lub elektronicznej.
Rejestr zawiera co najmniej:
Czynność przetwarzania;
Cel przetwarzania;
Podstawę prawna przetwarzania;
Komórka organizacyjna lub osoba przetwarzająca;
Kategorię osób, których dane dotyczą;
Kategorię danych osobowych;
Kategorię odbiorów, którym dane zostały ujawnione;
Sposób pozyskania danych;
Sposób przetwarzania;
Okres przechowywania danych;
Informację o przekazywaniu danych poza EU/EOG;
Zastosowane techniczne i organizacyjne środki ochrony danych osobowych
4. Wzór Rejestru stanowi załącznik do niniejszej Polityki.
VI. Postanowienia końcowe
Niniejsza Polityka wchodzi w życie z dniem 25.05.2018 r.
Integralną część Polityki stanowią:
Rejestr czynności przetwarzania danych osobowych
Wzór upoważnienia do przetwarzania danych osobowych dla pracownika
Umowa powierzenia przetwarzania danych osobowych
Wzór zgłoszenia naruszenia zasady ochrony danych osobowych
Administrator Danych Osobowych
Gwarków 14, 44-200 Rybnik