Polityka Ochrony Danych Osobowych

POLITYKA BEZPIECZEŃSTWA

1. Polityka Ochrony Danych Osobowych, zwana dalej „Polityką”, określa środki techniczne i organizacyjne zastosowane przez Podmiot przetwarzający dane osobowe dla zapewnienia ochrony danych osobowych oraz zasady postępowania w przypadku stwierdzenia naruszenia zabezpieczenia danych osobowych w systemie informatycznym lub w kartotekach, albo w sytuacji podejrzenia o takim naruszeniu.

2. Celem niniejszej Polityki ochrony danych osobowych (PODO) jest wypełnienie założeń Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej RODO).

Definicje:

1. Podmiot przetwarzający – Fundacja Centrum Poradnictwa Prawnego Prawnikon z/s w Rzeszowie, ul. Warszawska 5/7, 35-205 Rzeszów, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy dla Rzeszowa, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000453617, NIP 5170362070, REGON 180952011

2. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej
do zidentyfikowania osoby fizycznej, możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować;

3. System informatyczny – sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer i system ten tworzy sieć teleinformatyczną przynależną Administratorowi Danych;

4. Użytkownik – osoba upoważniona przez Podmiot przetwarzający do przetwarzania danych osobowych; 

5. Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów;

6. Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie w formie tradycyjnej jak również w systemach informatycznych;

7. Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (w sytuacji, gdy dochodzi do przetwarzania danych osobowych w takim systemie;

8. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany osobie uprawnionej
do pracy w Systemie informatycznym, jeżeli dochodzi do przetwarzania danych osobowych w przedmiotowym Systemie;

9. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;

10. IOD lub Inspektor – Inspektora Ochrony Danych Osobowych;

11. RKCPD lub Rejestr – Rejestr Kategorii Czynności Przetwarzania Danych Osobowych;

12. Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome
i jednoznaczne oświadczenie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, zezwala na przetwarzanie dotyczących jej danych osobowych;

13.  RODO – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych). 

I. Zasady Ogólne ochrony danych osobowych – zasady ogólne:

1. Główne Filary ochrony danych osobowych: 

a) Legalność − dbanie o ochronę prywatności i przetwarzanie danych zgodnie z prawem;

b) Bezpieczeństwo – odpowiedni poziom bezpieczeństwa danych poprzez podejmowanie ciągłych działań w tym zakresie;

c) Prawa Jednostki − umożliwienie osobom, których dane są przetwarzane, wykonywanie swoich praw i ich realizacji;

d) Rozliczalność– dokumentowanie w jaki sposób spełniane są określone obowiązki. 

2. Podstawowe zasady ochrony danych osobowych: 

Podmiot przetwarzający przetwarza dane osobowe w szczególności z poszanowaniem następujących zasad:

a) w oparciu o podstawę prawną i zgodnie z prawem (legalizm);

b) rzetelnie i uczciwie (rzetelność); 

c) w sposób przejrzysty i jasny dla osoby, której dane dotyczą (transparentność);

d) w konkretnych celach (minimalizacja);

e) nie więcej niż potrzeba (adekwatność);

f) z najwyższą dbałością o prawidłowość danych (prawidłowość);

g) nie dłużej niż jest to potrzebne (czasowość);

h) zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).

II. System ochrony danych osobowych stosowany u Podmiotu przetwarzającego. 

Poniżej wskazane elementy składają się na System Ochrony Danych Osobowych.

1. Inwentaryzacja danych:

Ocena skutków dla ochrony danych osobowych – Podmiot przetwarzający dane osobowe, każdorazowo w roku kalendarzowym dokonuje identyfikacji zasobów przetwarzanych danych osobowych, kategorii danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych w tym:

a) przypadków przetwarzania danych wrażliwych,

b) przypadków przetwarzania danych osób, których Podmiot przetwarzający nie identyfikuje (dane niezidentyfikowane);

2. Rejestr

Administrator danych opracowuje, prowadzi i utrzymuje Rejestr Kategorii Czynności Przetwarzania Danych Osobowych.

3. Umowy powierzenia przetwarzania danych:

Podmiot przetwarzający zawiera z podmiotami lub osobami, będącymi Administratorami danych osobowych odpowiednie umowy, z uwzględnieniem art. 28 RODO.

4. Minimalizacja. 

Podmiot przetwarzający posiada zasady i metody zarządzania minimalizacją (privacy by default), w tym:

a) zasady zarządzania adekwatnością danych;

b) zasady reglamentacji i zarządzania dostępem do danych;

c) zasady zarządzania okresem przechowywania danych i weryfikacji dalszej ich przydatności.

5. Bezpieczeństwo. 

Podmiot przetwarzający zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:

a) przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii;

b) przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie;

c) dostosowuje środki ochrony danych do ustalonego ryzyka;

d) posiada system zarządzania bezpieczeństwem informacji (w tym systemem informatycznym); 

e) stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych Osobowych − zarządza incydentami;

f)     monitoruje zastosowane środki ochrony danych osobowych.

III. Obowiązki oraz odpowiedzialność Podmiotu przetwarzającego

1. Czas przechowywania danych jest ograniczony do okresu ich przydatności do celów,
do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane.

2. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:

  1. naruszenie bezpieczeństwa Systemów informatycznych, w których przetwarzane
    są dane osobowe:
  2. udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom
    do tego nieupoważnionym;
  3. zaniechanie dopełnienia obowiązku ochrony danych osobowych;
  4. niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
  5. przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;

f) spowodowanie uszkodzenia, utraty bądź niekontrolowanej zmiany danych osobowych.

3. Podmiot przetwarzający stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Administratorowi Danych Osobowych
w terminie 48 godzin od stwierdzenia naruszenia.

4. Do obowiązków Podmiotu przetwarzającego w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Podmiotu przetwarzającego na podstawie innych umów cywilnoprawnych) należy w szczególności, aby:

a) pracownicy byli odpowiednio przygotowani i przeszkoleni do wykonywania swoich obowiązków;

b) każdy z przetwarzających dane osobowe był pisemnie upoważniony do przetwarzania.

5. pracownicy Podmiotu przetwarzającego zobowiązani są w szczególności do:

a) przestrzegania zakresu nadanego upoważnienia;

b) przetwarzania i ochrony danych osobowych zgodnie z przepisami;

c) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;

d) zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych.

IV. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

1. Podmiot przetwarzający zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych osobowych.

2. Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych.

3. Do elementów zabezpieczenia danych osobowych przez Podmiot przetwarzający zalicza się:

a) zabezpieczenia fizyczne- stosowane metody ochrony pomieszczeń, w których przetwarzane są dane osobowe;

b) zabezpieczenia techniczne- odpowiednie środki zabezpieczenia danych w systemach informatycznych;

c) zabezpieczenia organizacyjne – nadzór Administratora nad wprowadzonymi zasadami i procedurami zabezpieczenia danych;

d) bezpieczeństwo osobowe.

3.1 Zabezpieczenia fizyczne obejmują:

a) wydzielenie obszaru przetwarzania danych;

b) samodzielny dostęp do pomieszczeń jest możliwy wyłącznie dla osób upoważnionych, wstęp osób postronnych jest możliwy jedynie podczas obecności osób upoważnionych;

c) przechowywanie danych w wersji papierowej w specjalnie do tego celu przeznaczonych pomieszczeniach (w sejfach, zamykanych szafach). 

3.2 Zabezpieczenia techniczne obejmują:

a) systemy informatyczne zastosowane do przetwarzania danych osobowych spełniają wymagania określone w Rozporządzeniu;

b) w systemach informatycznych Administratora obowiązują zabezpieczenia
na poziomie wysokim, zgodnie z załącznikiem do Rozporządzenia;

c) zastosowano mechanizmy kontroli dostępu do systemów informatycznych
i ich zasobów; uprawnienia są różne dla różnych grup Użytkowników;

d)zastosowano odpowiednie aktualizowane narzędzia ochronne, oprogramowanie antywirusowe, które jest regularnie aktualizowane;

e) system informatyczny służący do przetwarzania danych osobowych jest chroniony przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie zabezpieczeń chroniących przed nieuprawnionym
i nieautoryzowanym dostępem;

f) tworzone są regularnie kopie zapasowe zbiorów danych przetwarzanych
w systemach informatycznych oraz kopie programów służących
do przetwarzania danych osobowych.

3.3 Zabezpieczenia organizacyjne obejmują:

a) osobą odpowiedzialną za bezpieczeństwo danych osobowych jest Podmiot przetwarzający, który opracowuje i aktualizuje Politykę bezpieczeństwa, załączniki do Polityki bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;

b) pracownicy Administratora na bieżąco kontrolują pracę systemu informatycznego z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą, o stwierdzonych nieprawidłowościach informują Administratora danych;

c) Osoby upoważnione do przetwarzania danych osobowych mające dostęp  do danych osobowych, które są w dyspozycji Administratora, zobowiązane są do utrzymywania w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po odwołaniu z określonego stanowiska, a także po ustaniu zatrudnienia; w tym celu osoby te podpisują oświadczenie o utrzymywaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia;

d) Przetwarzanie danych osobowych może być wykonywane wyłącznie przez osoby, które zostały upoważnione do przetwarzania danych osobowych zgodnie z RODO;

e) Osoby przetwarzające dane osobowe zostały upoważnione do przetwarzania danych osobowych poprzez przydzielenie określonych kompetencji do zakresu obowiązków na danym stanowisku. 

3.4 Zabezpieczenie osobowe obejmują:

a)  stosowanie klauzul o zachowaniu poufności danych osobowych w umowach o pracę oraz w umowach ze świadczeniodawcami, jeżeli zachodzi przetwarzanie danych osobowych;

b) obowiązek zgłaszania do Podmiotu przetwarzającego wszelkich naruszeń (incydentów), przypadków błędnego działania sprzętu i oprogramowania.

V. Sytuacje naruszenia zasad ochrony danych osobowych

1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Podmiot przetwarzający dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

2. W przypadku stwierdzenia naruszenia ochrony danych osobowych, Podmiot przetwarzający bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 48 godzin po stwierdzeniu naruszenia – zgłasza je Administratorowi danych. Zgłoszenie naruszenia ochrony danych osobowych musi co najmniej:

a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

d) opisywać środki zastosowane lub proponowane przez Podmiot przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

3. Podmiot przetwarzający dokumentuje naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania naprawcze.

VI. Powierzenie przetwarzania danych osobowych

Podmiot przetwarzający może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28.

VII. Przekazywanie danych do państwa trzeciego

Podmiot przetwarzający dane osobowe nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której dane dotyczą.

VIII. Cel oraz podstawa prawna przetwarzania danych osobowych

Podmiot przetwarzający będzie przetwarzał  dane osobowe w celu niezbędnym do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy tj. na podstawie art. 6 ust. 1 lit. b RODO; wykonania umowy, której stroną jest osoba, której dane dotyczą tj. na podstawie art. 6 ust. 1 lit. b RODO; niezbędnym do wypełnienia obowiązku prawnego ciążącego na administratorze tj. na podstawie art. 6 ust. 1 lit. c RODO, niezbędnym do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora takich jak ustalenia, dochodzenia, obrony przed roszczeniami związanymi z zawartymi umowami tj. na podstawie art. 6 ust. 1 lit f RODO.

IX. Informacje o odbiorcach danych osobowych/kategoriach odbiorców

Odbiorcami danych osobowych są dostawcy usług księgowych, informatycznych, prawnych oraz osoby przeprowadzające szkolenia w związku z działalnością Podmiotu przetwarzającego.

X. Przekazywanie informacji do państwa trzeciego lub organizacji międzynarodowej

  1. Podmiot przetwarzający oświadcza, iż nie zamierza przekazywać danych osobowych poza granice Polski. 
  2. Dane osobowe nie będą przekazywane do państwa trzeciego lub organizacji międzynarodowej. 

XI. Informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania

  1. Dane osobowe będą przechowywane przez okres niezbędny do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy; niezbędnym do wykonania zawartej umowy; niezbędny do ustalenia, dochodzenia oraz obrony przed roszczeniami związanymi z zawartymi umowami oraz w przypadku wypełnienia obowiązki prawnego ciążącego na administratorze przez okres przewidziany przez obowiązujące przepisy prawa.
  2. Podanie danych osobowych jest konieczne do podjęcia działań przez Podmiot przetwarzający na żądanie Administratora danych osobowych do wykonania umowy przez Podmiot przetwarzający. Konsekwencją niepodania danych osobowych będzie niemożliwość podjęcia działań przez Podmiot przetwarzający wykonania umowy przez Podmiot przetwarzający.

XII. Informacje o zautomatyzowanym podejmowaniu decyzji

Podmiot przetwarzający oświadcza, iż nie podejmuje decyzji w sposób zautomatyzowany,
a Pani/Pana dane nie są profilowane.