Polityka ochrony danych w Fundacji Aktywna w Ełku
Rozdział I
Postanowienia ogólne
- 1
- Polityka ochrony danych (zwana dalej „Polityką”) określa zasady dotyczące przetwarzania i zabezpieczenia danych osobowych zgodnie z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwanego dalej RODO).
- Niniejszy dokument stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 RODO.
- Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych w Fundacji Aktywna w Ełku w ramach procesów przetwarzania danych osobowych.
- Obowiązek ochrony danych osobowych przetwarzanych w Fundacji Aktywna w Ełku dotyczy wszystkich osób, które mają do nich dostęp bez względu na zajmowane stanowisko oraz miejsce wykonywania pracy, jak również charakter stosunku pracy czy stosunku cywilnoprawnego.
- Każda osoba, która ma mieć dostęp do danych osobowych, będzie mogła je przetwarzać wyłącznie na podstawie otrzymanego upoważnienia.
- Osoby mające dostęp do danych osobowych są zobowiązane do zapoznania się z Polityką i innymi powiązanymi z nią dokumentami oraz stosowanie zawartych w nich regulacji.
- Polityka zachowuje zgodność z innymi wewnętrznymi regulacjami z obszaru bezpieczeństwa informacji i systemów informatycznych obowiązującymi w Fundacji.
- Nadzór nad opracowaniem i aktualizacją Polityki sprawuje prezes
- Zarząd zatwierdza w drodze uchwały Politykę i jej aktualizacje.
- 2
Występujące w niniejszej Polityce zwroty oznaczają:
- Administrator Danych Osobowych (ADO) – Fundacja Aktywna w Ełku
- Fundacja- Fundacja Aktywna w Ełku
- Osoba zarządzająca w imieniu fundacji– Prezes, członek zarządu
- Dane osobowe – wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
- Dane osobowe wrażliwe – szczególne kategorie danych określone w art. 9 RODO, w tym: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby; jak również dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa, o których mowa w art. 10 RODO.
- Inspektor ochrony danych (Inspektor) – osoba wyznaczona przez Administratora danych na podstawie art. 37 RODO, która realizuje zadania monitorowania przestrzegania przepisów o ochronie danych osobowych w Fundacji określone w art. 39 RODO
- Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- Obszar przetwarzania danych osobowych – pomieszczenia lub części pomieszczeń we wszystkich lokalizacjach Fundacji, w których są przetwarzane dane osobowe, zarówno w formie papierowej, jak i w systemie informatycznym.
- Odbiorca danych – podmiot, któremu udostępniane są dane osobowe.
- Osoba upoważniona – osoba upoważniona do przetwarzania danych osobowych przez Administratora danych lub osobę przez niego upoważnioną, mająca bezpośredni dostęp do danych, przetwarzanych w systemie informatycznym lub w dokumentacji papierowej.
- Podmiot przetwarzający – podmiot, któremu Fundacja powierza czynności przetwarzania danych osobowych w swoim imieniu.
- Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
- Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
- PUODO – Prezes Urzędu Ochrony Danych Osobowych.
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
- UODO – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018, poz. 1000).
- Zasób danych osobowych – wszystkie dane osobowe, niezależnie od sposobu ich utrwalenia, zarówno w formie elektronicznej – w systemie informatycznym oraz na nośnikach (płyty CD/DVD/BD, pamięci flash i inne) jak i papierowej przetwarzane przez Fundację w celu realizacji jej zadań.
Rozdział II
Zarządzanie przetwarzaniem danych osobowych oraz ich bezpieczeństwem
- 3
- Prezes jest odpowiedzialny za przetwarzanie i ochronę danych osobowych w Fundacji, zgodnie przepisami prawa, w tym za zaakceptowanie niniejszej Polityki.
- Prezes może wyznaczyć osobę odpowiedzialną za:
- ochronę danych osobowych w Fundacji,
- wykonywanie zadań w zakresie monitorowania zasad przetwarzania danych osobowych w Fundacji.
- 4
- Jeśli Prezes wyznaczy osobę odpowiedzialną za zarządzanie procesami przetwarzania danych osobowych w Fundacji, to do jej obowiązków będzie należało :
- zarządzanie czynnościami przetwarzania danych osobowych w ramach celów i zadań, realizowanych przez Fundację;
- występowanie z wnioskami do Prezesa Fundacji o nadanie, zmianę lub cofnięcie uprawnień pracownikom do określonych zasobów danych osobowych przetwarzanych w systemie informatycznym, zgodnie z zakresem upoważnienia do przetwarzania danych osobowych;
- zapoznanie podległych pracowników i innych osób (np. współpracowników) z zasadami przetwarzania i ochrony danych w podległej Fundacji.
- wypełnianie obowiązków dotyczących zabezpieczenia obszaru przetwarzanych danych osobowych w Fundacji.
- zgłaszanie do Prezesa osoby odpowiedzialnej za ochronę danych osobowych w Fundacji zgodnie z § 3 ust 1 zamiaru rozpoczęcia nowego procesu przetwarzania danych osobowych lub zmiany w czynnościach przetwarzania danych realizowanych w Fundacji;
- ustalanie w porozumieniu z Prezesem Fundacji zasad tworzenia kopii zapasowych plików z danymi osobowymi, znajdującymi się na stacjach roboczych użytkowników w Fundacji,
- ustalanie zasad tworzenia kopii zapasowych plików z danymi osobowymi, znajdującymi się na stacjach roboczych użytkowników w Fundacji,
- realizacja procesu udostępniania danych osobowych innemu podmiotowi lub osobie, której dane dotyczą;
- realizacja procesów związanych z powierzaniem przetwarzania danych osobowych przez Fundację innym podmiotom – zgodnie z zawartymi umowami powierzenia przetwarzania danych osobowych.
- 5
- Prezes w Fundacji jest odpowiedzialny za:
- przygotowanie upoważnienia do przetwarzania danych osobowych wraz
z umową o pracę /zlecenia /dzieło; - przechowywanie nadanych upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu tajemnicy danych osobowych i sposobów ich zabezpieczania wraz z aktami osobowymi pracowników lub umowami zlecenia.
- prowadzenie aktualnej ewidencji osób upoważnionych do przetwarzania danych osobowych.
Rozdział III
Upoważnianie osób do przetwarzania danych osobowych
- 6
- Wszystkie osoby, które wykonują czynności związane z przetwarzaniem danych osobowych w Fundacji, w ramach wykonywania zadań służbowych na stanowiskach pracy lub prac zleconych, muszą posiadać pisemne upoważnienie do przetwarzania danych osobowych oraz podpisać oświadczenie o zachowaniu tajemnicy danych oraz sposobów ich zabezpieczenia (wzór upoważnienia oraz oświadczenia – załącznik nr 1 do niniejszej polityki).
- Upoważnienia do przetwarzania danych osobowych nadaje Prezes
- Każda osoba upoważniona do przetwarzania danych osobowych przechodzi szkolenie z zasad ochrony danych w Fundacji.
- Szkolenia wstępne i okresowe dla osób upoważnionych przeprowadzi Prezes
Rozdział IV
Podstawowe zasady, które powinny przestrzegać osoby upoważnione do przetwarzania danych osobowych
- 8
- Osoba upoważniona do przetwarzania danych osobowych w Fundacji jest zobowiązana do:
- zapoznania się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz dokumentacją dotyczącą ochrony danych osobowych w Fundacji;
- przechodzenia okresowych szkoleń z obszaru ochrony danych osobowych;
- przetwarzania danych osobowych wyłącznie w celu i zakresie wynikającym z nałożonych obowiązków służbowych;
- zachowania wyjątkowej staranności przy przetwarzaniu danych osobowych, w szczególności danych wrażliwych w celu ochrony interesów osób, których dane dotyczą;
- stosowania określonych w Fundacji procedur i środków przetwarzania oraz zabezpieczania danych osobowych;
- podporządkowania się poleceniom osoby odpowiedzialnej za ochronę danych osobowych w Fundacji oraz Administratorowi
- zachowania w poufności danych osobowych oraz danych objętych tajemnicą przedsiębiorstwa;
- zabezpieczenia danych osobowych przed: ich utratą, uszkodzeniem lub zniszczeniem, zmianą lub ich udostępnieniem osobom nieupoważnionym;
- dopilnowania, aby przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej;
- dopilnowania, aby przeznaczone do usunięcia dokumenty, zawierające dane osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie – zabronione jest wyrzucanie dokumentów do koszy na śmieci bez ich właściwej anonimizacji;
- przestrzegania procedur właściwego użytkowania systemów informatycznych, w których przetwarza się dane osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł;
- zachowania należytej staranności podczas przekazywania danych osobowych drogą telefoniczną (konieczność właściwej identyfikacji rozmówcy, konieczność ustalenia, czy rozmówca jest uprawniony do pozyskania danych osobowych, przekazywanie jedynie niezbędnych informacji);
- przesyłania danych osobowych za pomocą sieci Internet jedyne z użyciem metod kryptograficznych (szyfrowanie danych, kanały bezpiecznej transmisji);
- niewysyłania za pomocą wiadomości e-mail danych osobowych na prywatne adresy, niekopiowanie danych na inne nośniki bez uzasadnionej potrzeby biznesowej;
- zachowania należytej ostrożności przy transporcie dokumentów oraz nośników informatycznych, zawierających dane osobowe, poza obszarem przetwarzania w Fundacji;
- niepozostawiania dokumentów, zawierających dane osobowe na urządzeniach wielofunkcyjnych (drukowanie, kopiowanie);
- nieopuszczania stanowiska bez zabezpieczenia dokumentów papierowych, zawierających dane osobowe (zasada „czystego biurka”) oraz bez zabezpieczania dostępu do danych przetwarzanych w systemie informatycznym (zasada „czystego ekranu”);
- informowania o zdarzeniu operacyjnym dotyczącym danych osobowych, zgodnie z obowiązującymi w tym zakresie procedurami;
- zaprzestania przetwarzania danych osobowych po ustaniu stosunku zatrudnienia, chyba że wynika to z potrzeby realizacji uprawnień byłego pracownika lub realizacji roszczeń.
Rozdział V
Prowadzenie rejestrów czynności przetwarzania danych osobowych
- 8
- Fundacja może prowadzić rejestr czynności przetwarzania danych osobowych zgodnie z wymaganiami art. 30 ust. 1 RODO w stosunku do danych, których Fundacja jest administratorem;
- Wzór rejestru czynności jest określony w Załączniku nr 2 do niniejszej Polityki.
- Za prowadzenie rejestrów czynności odpowiedzialny jest osoba odpowiedzialna za ochronę danych osobowych w Fundacji
- Osoba odpowiedzialna za ochronę danych osobowych w Fundacji inwentaryzuje procesy przetwarzania danych osobowych w Fundacji, przypisując do nich określone czynności przetwarzania danych.
- Osoba odpowiedzialna za ochronę danych osobowych w Fundacji okresowo dokonuje przeglądów procesów przetwarzania danych w celach aktualizacji prowadzonych rejestrów.
- Osoba zarządzająca Fundacją ma obowiązek na bieżąco informować osobę odpowiedzialną za ochronę danych osobowych w Fundacji o procesach przetwarzania danych osobowych realizowanych w Fundacji oraz o wszelkich zmianach w tych procesach, w szczególności dotyczących:
- celów przetwarzania danych, w tym realizowanych czynności;
- kategorii osób, których dane są przetwarzane;
- zakresów przetwarzanych danych;
- podmiotów przetwarzających, którym dane są powierzane;
- odbiorców danych, którym dane są udostępniane.
Rozdział VI
Realizacja obowiązków przy przetwarzaniu danych osobowych
- 10
- Osoby odpowiedzialne w Fundacji za procesy, w których zbierane są dane osobowe, mają obowiązek zachowania szczególnej staranności przy ich zbieraniu, w tym:
- Sprawdzać, czy są spełnione podstawy prawne na pozyskiwanie danych osobowych, zgodnie z art. 6 RODO oraz art. 9 – 10 RODO;
- zbierać dane osobowe dla określonych, zgodnych z prawem celów realizowanych w Fundacji;
- zbierać dane w zakresie adekwatnym do celów w jakich dane będą przetwarzane w Fundacji.
- odbierać zgody na przetwarzanie danych osobowych
- W przypadku konieczności odbierania zgody na przetwarzanie danych osobowych, należy zapewnić dobrowolność jej pozyskania oraz powiadamiać o prawie do odwołania takiej zgody.
- Za stosowanie właściwych oświadczeń zgody przy zbieraniu danych osobowych odpowiada osoba odpowiedzialna za ochronę danych osobowych w Fundacji
- 11
- Osoby, które wykonują zadania związane ze zbieraniem i przetwarzaniem danych osobowych są odpowiedzialne za realizację obowiązków informacyjnych określonych w art. 13 i 14 RODO, zgodnie z zakresem obowiązków na tym stanowisku.
- Za stosowanie właściwych klauzuli informacyjnych przy zbieraniu danych osobowych odpowiada osoba odpowiedzialna za ochronę danych osobowych w Fundacji zgodnie ze swoim zakresem obowiązków i w ramach ich realizacji
- Prezes może ustalić obowiązujące wzory klauzul informacyjnych dla poszczególnych procesów przetwarzania danych realizowanych w Fundacji.
- 12
- Dane osobowe zbierane w ramach procesów realizowanych w Fundacji są przetwarzane przez czas określony przez właściwe przepisy prawa lub wewnętrzne przepisy kancelaryjno-archiwalne.
- Dane osobowe, dla których okres przetwarzania nie wynika z obowiązujących przepisów prawa i dla których nie jest możliwe określenie z góry tego okresu w wewnętrznych przepisach, są przetwarzane tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla ich przetwarzania.
- Ustanie celu przetwarzania danych jest równoznaczne z koniecznością usunięcia danych osobowych.
- Dane osobowe przetwarzane wyłącznie w oparciu o przesłankę zgody na przetwarzanie danych osobowych są usuwane zawsze niezwłocznie po wycofaniu takiej zgody.
- Prezes lub osoba upoważniona, co najmniej jeden raz w każdym roku kalendarzowym przeprowadza weryfikację zasobów danych osobowych prowadzonych w formie papierowej jak i elektronicznej, obejmująca:
- sprawdzenie, czy dane osobowe, dla których upłynął okres przechowywania wynikający z przepisów prawa lub wewnętrznych przepisów kancelaryjno-archiwalnych zostały usunięte;
- sprawdzenie, czy w odniesieniu do danych osobowych, których czas przechowywania nie został określony przez właściwe przepisy prawa lub wewnętrzne przepisy kancelaryjno-archiwalne, nadal istnieje podstawa prawna oraz cel przetwarzania danych osobowych.
- W przypadku ustalenia w trakcie weryfikacji, o której mowa w ust. 6, że okres przetwarzania danych osobowych upłynął bądź nie istnieje podstawa prawna lub cel do dalszego przetwarzania danych osobowych, dane osobowe powinny zostać trwale usunięte z nośników papierowych, elektronicznych oraz systemów informatycznych przez osobę, która dane przetwarzała zgodnie z zakresem swoich obowiazków.
- 13
- Osoby, które udostępniają w imieniu Fundacji dane osobowe do podmiotu zewnętrznego (w formie papierowej lub elektronicznej), przed ich udostępnieniem mają obowiązek sprawdzić czy istnieją podstawy prawne umożliwiające wykonanie tych czynność, w tym:
- wymóg prawa dotyczący udostępnienia danych;
- zgoda osoby na udostępnienie danych innemu podmiotowi;
- zapis w umowie z podmiotem współpracującym, przy spełnieniu warunku, że udostępnienie nie narusza praw i wolności osoby, której dane dotyczą;
- wniosek o udostępnienie danych od podmiotu uprawnionego, ze wskazaniem podstawy prawnej do otrzymywania danego rodzaju danych osobowych.
- Każda sytuacja dotycząca udostępnienia danych osobowych musi być konsultowana z Prezesem
- 14
- W sytuacji powierzania czynności przetwarzania danych osobowych zewnętrznemu podmiotowi (podmiotowi przetwarzającemu), należy zawrzeć z nim umowę powierzenia przetwarzania danych osobowych zgodnie z art. 28 ust. 3 RODO.
- W trakcie dokonywania wyboru podmiotu przetwarzającego należy zweryfikować czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których dane dotyczą.
- Osoby, które przygotowują w imieniu Fundacji umowę z podmiotem zewnętrznym, któremu zlecone zostanie wykonywanie czynności związanych z przetwarzaniem danych osobowych zobowiązane są skonsultować odpowiednie zapisy dotyczące powierzenia przetwarzania danych Prezesem
- Wzór umowy powierzenia znajduje się w Załączniku nr 3 do niniejszej Polityki.
- Kontrola podmiotów przetwarzających, którym zostały powierzone czynności przetwarzania danych osobowych należących do Fundacji jest przeprowadzana przez Admi -nistratora lub inne wyznaczone osoby zgodnie z zapisami zawartymi w umowach powierzenia przetwarzania danych osobowych, w odniesieniu do uprawnienia określonego w art. 28 ust. 3 lit. h RODO
- 15
- W sytuacji przekazywania danych osobowych do podmiotu znajdującego się w państwie trzecim (poza Europejskim Obszarem Gospodarczym) należy taką sytuację skonsultować z Administratora lub inną wyznaczoną osobą zgodnie z zapisami zawartymi w umowach powierzenia przetwarzania danych osobowych, w odniesieniu do uprawnienia określonego w art. 28 ust. 3 lit. h RODO
- Administrator w porozumieniu z inną wyznaczoną osobą, może ustalić wzory zapisów do umów w ramach, których dochodzi do transferu danych do państwa trzeciego lub organizacji międzynarodowej.
Rozdział VII
Realizacja praw osób, których dane dotyczą
16
- Każdej osobie, której dane osobowe są przetwarzane przez Fundacji przysługują prawa określone w art. 15 – 22 RODO, w tym:
- prawo dostępu do danych jej dotyczących;
- prawo do sprostowania danych;
- prawo do usunięcia danych;
- prawo do ograniczenia przetwarzania;
- prawo do przenoszenia danych;
- prawo do sprzeciwu na przetwarzanie jej danych;
- prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu.
- Za rozpatrywanie złożonych do Fundacji żądań w zakresie uprawnień, o których mowa w ust.1 odpowiada w Fundacji Prezes
- W sytuacji powierzania danych podmiotom przetwarzającym lub udostępniania danych innym administratorom danych należy ich powiadamiać o każdym sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, które było wynikiem realizacji wniosku otrzymanego od osoby, której dane dotyczą.
Rozdział VIII
Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczania danych osobowych
17
Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczania danych osobowych w Fundacji realizowany jest w oparciu o szacowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą.
Przy doborze zabezpieczeń należy i oceniać ryzyko zarówno w kontekście skutków dla osoby, której dane dotyczą w tym np. dyskryminacja, pozbawienie przysługujących praw, szkody majątkowe i niemajątkowe), jak również ryzyko w kontekście skutków dla Fundacji w przypadku niepodjęcia działań związanych z zapewnieniem przetwarzania danych osobowych zgodnie z RODO.
Ustalone wymagania dotyczące zabezpieczenia danych osobowych w odniesieniu do danego procesu przetwarzania danych osobowych są odnotowywane przez osobę odpowiedzialną za ochronę danych osobowych w Fundacji w prowadzonym rejestrze czynności przetwarzania danych osobowych.
18
Planowanie realizacji nowych procesów związanych z przetwarzaniem danych osobowych, w tym w szczególności nowych systemów informatycznych służących do przetwarzania danych osobowych, musi uwzględniać zasady ochrony danych w fazie projektowania („privacy by design”) oraz domyślnej ochrony danych („privacy by default”)
- Za realizację w Fundacji obowiązków, o których mowa w ust.1 odpowiada
19
- W przypadku realizacji procesów przetwarzania danych osobowych w Fundacji, które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania należy dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych zgodnie z art. 35 RODO.
- Za realizację w Fundacji obowiązków, o których mowa w ust. 1 odpowiada Adminstrator
- Osoba odpowiedzialna za ochronę danych osobowych w Fundacji w prowadzonym rejestrze czynności przetwarzania danych osobowych, wskazuje procesy dla których należy przeprowadzać ocenę skutków oraz odnotowuje jej przeprowadzenie.
- Jeżeli dokonana ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby nie zostały zastosowane środki w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania należy skonsultować się z PUODO.
Rozdział IX
Postępowanie w sytuacji naruszenia ochrony danych
20
- W sytuacji powzięcia informacji o naruszeniu lub podejrzeniu naruszenia ochrony danych osobowych należy postępować zgodnie z zasadami wynikającymi z art. 33 i 34
- Prezes lub osoba odpowiedzialna za ochronę danych osobowych w Fundacji przygotowuje wykaz sytuacji, które można uznać za naruszenie ochrony danych osobowych, z uwzględnieniem naruszenia prawa i wolności osób, których dane dotyczą.
- Zgłoszenia naruszenia ochrony danych osobowych przez osobę, której dane dotyczą lub inną osobę spoza Fundacji są przyjmowane i rozpatrywane przez Prezesa lub osobę upoważnioną
- Szacowanie ryzyka dotyczące sytuacji naruszenia ochrony danych jest przeprowadzane przez Prezesa lub osobę upoważnioną
21
W sytuacji stwierdzenia wystąpienia naruszenia ochrony danych osobowych oraz prawdopodobieństwa zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, informacja o naruszeniu powinna zostać zgłoszona do PUODO.
- Zgłoszenie naruszenia przygotowuje przez Prezes lub osoba upoważniona, w terminie 72 godzin po stwierdzeniu naruszenia, zgodnie z wymaganiami art. 33 RODO.
- Zgłoszenie przekazywane jest do PUODO w formie elektronicznej za pomocą systemu informatycznego zgodnie z trybem określonym przez organ.
22
- W sytuacji gdy stwierdzone naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o naruszeniu należy zawiadomić wszystkie osoby, których dane dotyczą. Osoba odpowiedzialna za ochronę danych osobowych w Fundacji analizuje czy w odniesieniu do wymogów art. 34 ust. 3 RODO zawiadomienie osób, których dane dotyczą, będzie wymagane.
- Zawiadomienie o naruszeniu przygotowuje Prezes lub osoba upoważniona po potwierdzeniu konieczności jego realizacji zgodnie z załącznikiem nr 5 do Polityki.
23
Wszystkie stwierdzone naruszenia ochrony danych osobowych są dokumentowane przez Prezesa lub osobę upoważnioną
- Wzór ewidencji naruszeń ochrony danych osobowych stanowi załącznik nr 4 do Polityki.
Rozdział X
Rozliczalność zgodności realizacji obowiązków RODO
24
W celu weryfikacji zastosowanych w Fundacji środków technicznych i organizacyjnych, zapewniających przetwarzanie danych osobowych zgodnie z RODO, wykonuję się ich monitorowanie.
- Monitorowanie ochrony danych osobowych prowadzone jest:
- na bieżąco przez pracownika który przetwarza dane osobowe w Fundacji
- na bieżąco przez Prezesa lub osobę upoważnioną
- podczas audytów wewnętrznych przeprowadzanych przez upoważnione podmioty.
Rozdział XI
Odpowiedzialność karna za naruszenie zasad ochrony danych
25
Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi, określonymi w art. 107 – 108 UODO oraz w art. 130, 266 – 269, 287 Kodeksu karnego.
- Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w ust. 1, naruszenie zasad ochrony danych osobowych, obowiązujących Fundację może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością na podstawie przepisów prawa pracy.
Rozdział XII
Postanowienia końcowe
26
- Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.
- Prezes lub osoba upoważniona są obowiązani zapoznać z treścią Polityki swoich pracowników i współpracowników.
27
- W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO oraz UODO.
- Pracownicy i współpracownicy Fundacji zobowiązani są do bezwzględnego stosowania zasad określonych w Polityce.
- Analiza ryzyka dla danych osobowych przetwarzanych w systemach informatycznych może być dokonana , jeśli wystąpi taka potrzeba ( załącznik nr 6 do niniejszej polityki
Załączniki:
- Wzór dokumentu upoważnienia do przetwarzania danych osobowych ( §6)
- Wzór rejestru czynności przetwarzania danych osobowych prowadzonego przez administratora (§8)
- Wzór umowy powierzenia przetwarzania danych osobowych ( §14)
- Wzór ewidencji naruszeń ochrony danych( §23)
- Wzór zawiadomienia osoby, której dane dotyczą, o naruszeniu jej danych osobowych ( §22)
- Analiza ryzyka dla danych osobowych przetwarzanych
w systemach informatycznych ( §27)