Polityka prywatności

Kim jesteśmy

I. Wstęp

W celu wykazania zgodności przetwarzania danych osobowych z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L 119) Administrator, wdraża niniejszą Politykę ochrony danych osobowych, w której skład wchodzą: rejestr czynności przetwarzania, analiza ryzyka, dokumentacja naruszeń ochrony danych.

  1. Administratorem danych osobowych jest – Fundacja Pomocy Psychologicznej Humor Gitówa, ul. Mikołaja Sępa-Szarzyńskiego 47/6, 50-351, Wrocław.
  2. Polityka stanowi jeden ze środków organizacyjnych mających na celu potwierdzenie że przetwarzanie danych osobowych odbywa się zgodnie z powyższym rozporządzeniem.
  3. Zasady opisane w Polityce ochrony danych osobowych mają zastosowanie do danych osobowych przetwarzanych przez Administratora w formie papierowej i w systemach informatycznych przez wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów i innych osób mających dostęp do danych osobowych.

II. Zasady przetwarzania danych 

  1. Dane osobowe które przetwarza Administrator są:
    • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą zgodnie z art. 6 RODO,
    • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach,
    • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
    • prawidłowe i w razie potrzeby uaktualniane,
    • przechowywane przez okres wymagany do realizacji celów w których dane te są przetwarzane,
    • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych.
  2. Administrator zapewnia osobom, których dane dotyczą realizację praw przysługujących im na podstawie artykułów 15–22 RODO.
  3. Administrator może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO. 
  4. Podczas pozyskiwania danych osobowych od osoby której dane dotyczą, administrator podaje jej wszystkie wymagane informacje zgodnie z art. 13 ust 1 i 2 RODO.
  5. Administrator nadaje pracownikom upoważnienia do przetwarzania danych osobowych.
  6. Administrator prowadzi Rejestr czynności przetwarzania, który stanowi formę dokumentowania czynności przetwarzania danych, narzędzie służące do inwentaryzacji i monitorowania sposobu, w jaki wykorzystuje się w dane osobowe, i jest jednym z kluczowych elementów umożliwiających realizację zasady rozliczalności. Rejestr stanowi załącznik nr 1 do niniejszej Polityki.

III. Naruszenia ochrony danych osobowych

  1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
  2. W każdej sytuacji, w której zaistniałe naruszenie powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki –jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgodnie z art. 33 RODO. 
  3. Postępowania z incydentami naruszenia bezpieczeństwa danych osobowych:
    1. Każdy pracownik przetwarzający dane osobowe zobowiązany jest do niezwłocznie powiadomić o tym fakcie Administratora powiadamiania Administratora o stwierdzeniu zagrożenia dla danych osobowych lub wystąpieniu incydentu naruszenia.
    2. Naruszenie bezpieczeństwa danych osobowych spowodować może:
      • niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów;
      • niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych;
      • nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).
  4. Do typowych incydentów naruszenia bezpieczeństwa danych osobowych należą:
    • zdarzenia losowe zewnętrzne (pożar budynku/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności);
    • zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zgubienie danych);
    • umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).
  5. W przypadku stwierdzenia wystąpienia incydentu, Administrator:
    • ustala zakres i przyczyny incydentu oraz jego ewentualne skutki;
    • podejmuje działania na rzecz przywrócenia działań po wystąpieniu incydentu;
    • wprowadza działania zapobiegawcze zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia.

IV. Analiza ryzyka

  1. Oceniając, czy stopień zastosowanych środków zabezpieczających jest odpowiedni, Administrator dokonuje analizy ryzyka wiążącego się z przetwarzaniem danych osobowych. 
  2. Administrator Danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 RODO.

V. Postanowienia końcowe

  1. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentacji mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych.
  2. W sprawach nie uregulowanych niniejszą Polityką mają zastosowanie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L 119) oraz ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000).