Kim jesteśmy
I. Wstęp
W celu wykazania zgodności przetwarzania danych osobowych z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L 119) Administrator, wdraża niniejszą Politykę ochrony danych osobowych, w której skład wchodzą: rejestr czynności przetwarzania, analiza ryzyka, dokumentacja naruszeń ochrony danych.
- Administratorem danych osobowych jest – Fundacja Pomocy Psychologicznej Humor Gitówa, ul. Mikołaja Sępa-Szarzyńskiego 47/6, 50-351, Wrocław.
- Polityka stanowi jeden ze środków organizacyjnych mających na celu potwierdzenie że przetwarzanie danych osobowych odbywa się zgodnie z powyższym rozporządzeniem.
- Zasady opisane w Polityce ochrony danych osobowych mają zastosowanie do danych osobowych przetwarzanych przez Administratora w formie papierowej i w systemach informatycznych przez wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów i innych osób mających dostęp do danych osobowych.
II. Zasady przetwarzania danych
- Dane osobowe które przetwarza Administrator są:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą zgodnie z art. 6 RODO,
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach,
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
- prawidłowe i w razie potrzeby uaktualniane,
- przechowywane przez okres wymagany do realizacji celów w których dane te są przetwarzane,
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych.
- Administrator zapewnia osobom, których dane dotyczą realizację praw przysługujących im na podstawie artykułów 15–22 RODO.
- Administrator może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO.
- Podczas pozyskiwania danych osobowych od osoby której dane dotyczą, administrator podaje jej wszystkie wymagane informacje zgodnie z art. 13 ust 1 i 2 RODO.
- Administrator nadaje pracownikom upoważnienia do przetwarzania danych osobowych.
- Administrator prowadzi Rejestr czynności przetwarzania, który stanowi formę dokumentowania czynności przetwarzania danych, narzędzie służące do inwentaryzacji i monitorowania sposobu, w jaki wykorzystuje się w dane osobowe, i jest jednym z kluczowych elementów umożliwiających realizację zasady rozliczalności. Rejestr stanowi załącznik nr 1 do niniejszej Polityki.
III. Naruszenia ochrony danych osobowych
- W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
- W każdej sytuacji, w której zaistniałe naruszenie powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki –jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgodnie z art. 33 RODO.
- Postępowania z incydentami naruszenia bezpieczeństwa danych osobowych:
- Każdy pracownik przetwarzający dane osobowe zobowiązany jest do niezwłocznie powiadomić o tym fakcie Administratora powiadamiania Administratora o stwierdzeniu zagrożenia dla danych osobowych lub wystąpieniu incydentu naruszenia.
- Naruszenie bezpieczeństwa danych osobowych spowodować może:
- niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów;
- niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych;
- nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).
- Do typowych incydentów naruszenia bezpieczeństwa danych osobowych należą:
- zdarzenia losowe zewnętrzne (pożar budynku/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności);
- zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zgubienie danych);
- umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).
- W przypadku stwierdzenia wystąpienia incydentu, Administrator:
- ustala zakres i przyczyny incydentu oraz jego ewentualne skutki;
- podejmuje działania na rzecz przywrócenia działań po wystąpieniu incydentu;
- wprowadza działania zapobiegawcze zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia.
IV. Analiza ryzyka
- Oceniając, czy stopień zastosowanych środków zabezpieczających jest odpowiedni, Administrator dokonuje analizy ryzyka wiążącego się z przetwarzaniem danych osobowych.
- Administrator Danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 RODO.
V. Postanowienia końcowe
- Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentacji mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych.
- W sprawach nie uregulowanych niniejszą Polityką mają zastosowanie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L 119) oraz ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000).