Polityka prywatności

null

25 maja 2018 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych „RODO”). Zgodnie z wymogami w/w rozporządzenia, a także w trosce o ochronę wizerunku Państwa i Państwa Dzieci (na podstawie przepisów Kodeksu Cywilnego i Ustawy o prawie autorskim i prawach pokrewnych, Dz.U. 1994 Nr 24 poz. 83) stworzyliśmy dokument – Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Żłobku Niepublicznym Akademia Misia.

Zachęcamy do zapoznania się z jego treścią.

POLITYKA BEZPIECZEŃSTWA

W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

 

 

ROZDZIAŁ 1

OGÓLNE ZAŁOŻENIA DOTYCZĄCE PRZETWARZANIA
I OCHRONY DANYCH OSOBOWYCH

 

§ 1.

  1. Polityka bezpieczeństwa w zakresie ochrony danych osobowych, zwana dalej Polityką bezpieczeństwa, to zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, przetwarzania, ochrony i dystrybucji danych osobowych w Żłobku Niepublicznym Akademia Misia w Warszawie.
  2. Celem Polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe podczas ich przetwarzania zarówno w formie papierowej, jak i w systemach informatycznych.

§ 2.

Użyte w dokumencie określenia oznaczają:

  • administrator – zwany też Żłobkiem – administrator danych osobowych, którym jest Żłobek Niepubliczny Akademia Misia przy ul. Łokuciewskiego 5 w Warszawie, reprezentowane przez Dyrektora Żłobka;
  • anonimizacja – przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie lub powiązać z konkretną osobą;
  • autentyczność – zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana; dotyczy użytkowników, procesów, systemów i informacji;
  • dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny PESEL, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, genetyczną, psychiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  • dostępność – zapewnienie bycia osiągalnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot;
  • hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi systemu informatycznego;
  • identyfikator użytkownika – unikalny ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący użytkownika;
  • incydent – pojedyncze niepożądane lub niespodziewane zdarzenie związane z bezpieczeństwem danych osobowych lub seria takich zdarzeń, które zagrażają bezpieczeństwu danych osobowych;
  • incydent dużej wagi – incydent, którego skutki spowodowały odpowiedzialność prawną lub materialną przedszkola;
  • inspektor ochrony danych – zwany dalej IOD – osoba wyznaczona przez administratora, która z jego upoważnienia nadzoruje w przedszkolu przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w sposób odpowiedni do zagrożeń oraz kategorii danych objętych ochroną, a także w jego imieniu współpracuje z organem nadzorczym;
  • integralność – zapewnienie, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
  • integralność systemu – właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej;
  • konto użytkownika – zbiór informacji zapisanych w plikach na poziomie oprogramowania systemowo-narzędziowego lub na poziomie aplikacji, takich jak unikalny identyfikator użytkownika, nazwa i hasło umożliwiające weryfikację deklarowanej tożsamości użytkownika oraz informacje określające jego uprawnienia i ograniczenia w systemie informatycznym;
  • kopia bezpieczeństwa – kopia danych systemu informatycznego wykonana na elektronicznym nośniku informacji w celu zapewniania możliwości odtworzenia systemu wraz z danymi w wypadku ich utraty lub uszkodzenia infrastruktury techniczno – systemowej;
  • niezawodność – zapewnienie spójności oraz zamierzonych zachowań i skutków;
  • organ nadzorczy – niezależny organ publiczny ustanowiony przez państwo członkowskie Unii Europejskiej. Jest to organ, który m.in. pełni funkcję kontrolną i nadzorczą nad gromadzeniem i przetwarzaniem danych osobowych, wydaje decyzje administracyjne i rozpatruje skargi w sprawach wykonania przepisów o ochronie danych osobowych;
  • osoba upoważniona – osoba posiadająca upoważnienie i dopuszczona, jako użytkownik do przetwarzania danych osobowych w zakresie wskazanym w upoważnieniu;
  • podmiot przetwarzający – oznacza osobę fizyczną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
  • poufność – zapewnienie, iż dostęp do informacji mają tylko i wyłącznie osoby uprawnione;
  • profilowanie – dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
  • przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany: takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adoptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie, udostępnianie, dopasowywanie, łączenie, ograniczanie, usuwanie, niszczenie;
  • pseudonimizacja – przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
  • RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych;
  • stacja robocza – przenośny/stacjonarny komputer osobisty lub terminal umożliwiający użytkownikom dostęp do danych osobowych znajdujących się w systemie;
  • system – system informatyczny, czyli zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
  • szczególne kategorie danych osobowych – dane wrażliwe, dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby;
  • usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
  • użytkownik – osoba dopuszczona do pracy w systemach informatycznych, której nadano stosowne uprawnienia, identyfikowana w systemie poprzez identyfikator użytkownika oraz posługująca się hasłem lub innym atrybutem w celu potwierdzenia swojej autentyczności;
  • zabezpieczenie danych w systemie – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
  • zbiór danych – uporządkowany zestaw danych osobowych dostępnych
    wg określonych kryteriów, niezależnie od tego czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
  • zgoda osoby, której dane dotyczą – oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie.

 

ROZDZIAŁ 2

ZADANIA OSÓB ODPOWIEDZIALNYCH DO WYKONYWANIA OBOWIĄZKÓW
Z ZAKRESU PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH

 

§ 3.

 

  1. Do podstawowych obowiązków i odpowiedzialności administratora oraz osób działających w jego imieniu należy:
    1. wdrażanie odpowiednich środków technicznych i organizacyjnych zaprojektowanych w celu skutecznej realizacji zasad ochrony danych i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą, w tym między innymi w stosownym przypadku:
    2. wyznaczenie inspektora ochrony danych,
    3. pseudonimizacja i szyfrowanie danych osobowych,
    4. zdolność do ciągłego zapewnienia poufności, integralności, dostępności, odporności systemów i usług przetwarzania,
    5. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu
      do nich w razie incydentu fizycznego lub technicznego;
    6. wdrażanie odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu przetwarzania, okresu przechowywania oraz ich dostępności;
    7. poprzez proces zarządzania ryzykiem prowadzenie oceny, czy stopień bezpieczeństwa jest odpowiedni, uwzględniający ryzyko wiążące się z przetwarzaniem danych osobowych, w szczególności wynikające z przypadkowego lub niezgodnego  z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
    8. ponadto do obowiązków administratora oraz osób działających w jego imieniu należy w szczególności:
  • stworzenie warunków, aby przetwarzanie danych osobowych było zgodne z podstawowymi zasadami określonymi w RODO,
  • zapewnienie wykonywania obowiązków, które wynikają z praw osób, których dotyczą przetwarzane dane osobowe,
  • zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych.
  1. Administrator przy udziale osób działających w jego imieniu zapewnia, że:
    1. dane są legalnie przetwarzane;
    2. dane osobowe są adekwatne w stosunku do celów przetwarzania;
    3. dane osobowe są przetwarzane przez określony konkretny czas;
    4. wobec osób, których dane są przetwarzane wykonano tzw. obowiązek informacyjny wraz ze wskazaniem im praw (prawa dostępu do danych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu);
    5. jest zapewniona właściwa ochrona danych w przypadku powierzenia przetwarzania danych innym podmiotom przetwarzającym.
    6. Administrator przy udziale osób działających w jego imieniu odpowiada za nadawanie i anulowanie upoważnień do przetwarzania danych w zbiorach papierowych oraz systemach informatycznych.

 

§ 4.

 

  1. Do zadań Inspektora Ochrony Danych należy:
    1. informowanie administratora i pracowników, którzy przetwarzają dane osobowe, o obowiązkach wynikających z przetwarzania danych osobowych, doradzanie im w tym zakresie;
    2. monitorowanie przestrzegania przepisów o ochronie danych osobowych, w tym przepisów wewnętrznych: Polityki bezpieczeństwa i Instrukcji zarządzania systemami informatycznymi do przetwarzania danych osobowych a także podział obowiązków, działania zwiększające świadomość oraz powiązane z tym audyty;
    3. udzielanie zaleceń co do oceny skutków dla ochrony danych i monitorowanie wykonania ochrony danych, przeprowadzanie inspekcji w tym zakresie;
    4. opracowywanie wytycznych i zaleceń w zakresie ochrony danych osobowych;
    5. opracowywanie i aktualizowanie Polityki bezpieczeństwa i Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w Przedszkolu (zwana dalej Instrukcją) oraz przestrzegania zasad w nich określonych.
    6. reprezentowanie ADO w kontaktach z osobami, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.

 

ROZDZIAŁ 3

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

 

§ 5.

 

  1. Dane muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zasada zgodności z prawem, rzetelności i przejrzystości).
  1. Dane muszą być zbierane w konkretnych, wyraźnych, prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami (zasada ograniczenia celu).
  2. Dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (zasada minimalizacji danych).
  3. Dane muszą być prawidłowe i w razie potrzeby uaktualniane; w przypadku danych osobowych, które są nieprawidłowe w świetle celów ich przetwarzania, muszą być niezwłocznie usunięte lub sprostowane (zasada prawidłowości).
  4. Dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów statystycznych, z zastrzeżeniem, że wdrożono odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą (zasada ograniczonego przechowywania).
  5. Dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym, niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem (zasada integralności i poufności).
  6. Administrator jest odpowiedzialny za przestrzeganie przepisów art. 5 ust. 1 RODO i musi być w stanie wykazać ich przestrzeganie (zasada rozliczalności).
  7. Wymogi dotyczące ochrony danych osobowych należy uwzględniać już na etapie planowania procesów związanych z przetwarzaniem danych osobowych np. planując przeprowadzenie np. konkursu w przedszkolu, należy dokonać oceny, czy zakładane w trakcie konkursu operacje na danych osobowych, oraz sposoby ich zabezpieczenia, będą zgodne z regulacjami wewnętrznymi dotyczącymi danych osobowych (zasada „Privacy by design”). Zasada ta powinna być stosowana w planowaniu każdego nowego projektu, przedsięwzięcia w czasie którego dochodzi do przetwarzania danych osobowych.
  8. Należy zadbać, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Dotyczy to ilości zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności (zasada „Privacy by default”).

 

ROZDZIAŁ 4

ZGODNOŚĆ Z PRAWEM PRZETWARZANIA DANYCH OSOBOWYCH

 

§ 6.

 

  1. W żłobku dopuszczalne jest tylko przetwarzanie danych zgodnie z prawem po spełnieniu co najmniej jednego z poniższych warunków:
    1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
    2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
    3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
    4. przetwarzanie jest niezbędne do ochrony interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
    5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym powierzonego administratorowi;
    6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
  2. W przypadku przetwarzania na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
  3. W przypadku wyrażenia zgody przez osobę, której dane dotyczą, w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi być przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
  4. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
  5. Zgoda musi być wyrażona dobrowolnie.
  6. W przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.

 

ROZDZIAŁ 5

PRZETWARZANIE SZCZEGÓLNYCH KATEGORII DANYCH OSOBOWYCH

 

§ 7.

 

  1. Przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby jest możliwe, jeżeli spełniony jest jeden z poniższych warunków:
    1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach,
    2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, prawa oświatowego, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii Europejskiej, prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
    3. przetwarzanie jest niezbędne do ochrony interesów osoby, której dane dotyczą,
      lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
    4. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
    5. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania czynności przez sądy;
    6. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem ochrony zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 2;
  2. Dane osobowe, których przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego mogą być przetwarzane, jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii Europejskiej, prawa państwa członkowskiego, przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii Europejskiej, prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe.

 

ROZDZIAŁ 6

INFORMACJE PODAWANE W PRZYPADKU ZBIERANIA DANYCH OD OSOBY,

KTÓREJ DANE DOTYCZĄ

 

§ 8.

 

  1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator lub osoby działające z jego upoważnienia, podczas pozyskiwania danych osobowych podają jej następujące informacje, zgodnie ze wzorami stanowiącymi wzory określone w załącznikach nr 1, 2, 3, 4, 5 do Polityki bezpieczeństwa: [i]
    1. swoją tożsamość i dane kontaktowe oraz gdy ma to zastosowanie, tożsamość i dane kontaktowe osoby, którą reprezentują,
    2. dane kontaktowe IOD,
    3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
    4. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
    5. w przypadku zamiaru przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej wzmiankę o odpowiednich zabezpieczeniach i możliwości uzyskania kopii danych lub miejscu udostępnienia danych.
  2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
    1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
    2. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
    3. jeżeli przetwarzanie danych osobowych odbywa się na podstawie wyrażenia zgody przez osobę, której dane dotyczą, informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
    4. informacje o prawie wniesienia skargi do organu nadzorczego,
    5. informację czy podanie danych osobowych jest wymogiem ustawowym lub umownym oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
    6. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
  3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.
  4. Jeżeli osoba nie ukończyła 16 lat, pobieranie i przetwarzanie jej danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.

 

ROZDZIAŁ 7

INFORMACJE PODAWANE W PRZYPADKU POZYSKIWANIA DANYCH OSOBOWYCH W SPOSÓB INNY NIŻ OD OSOBY, KTÓREJ DANE DOTYCZĄ

 

§ 9.

 

  1. Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator lub osoby działające z jego upoważnienia, podają osobie, której dane dotyczą, następujące informacje, zgodnie ze wzorem stanowiącym załącznik nr 6 do Polityki bezpieczeństwa:
    1. swoją tożsamość i dane kontaktowe oraz gdy ma to zastosowanie, tożsamość i dane kontaktowe osoby, którą reprezentują;
    2. dane kontaktowe IOD;
    3. cele przetwarzania, do których mają posłużyć dane osobowe oraz podstawę prawną przetwarzania;
    4. kategorie odnośnych danych osobowych;
    5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
    6. w przypadku zamiaru przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej wzmiankę o odpowiednich zabezpieczeniach i możliwości uzyskania kopii danych lub miejscu udostępnienia danych.
  2. Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:
    1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
    2. prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
    3. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
    4. jeżeli przetwarzanie danych osobowych odbywa się na podstawie wyrażenia zgody przez osobę, której dane dotyczą informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
    5. informacje o prawie wniesienia skargi do organu nadzorczego;
    6. źródło pochodzenia danych osobowych;
    7. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
  3. Informacje, o których mowa w ust. 1 i 2, administrator podaje:
    1. najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych,
    2. jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej próbie komunikacji z osobą, której dane dotyczą,
    3. jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
  4. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

 

ROZDZIAŁ 8

PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ

 

§ 10.

 

  1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora lub osób działających z jego upoważnienia, potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
    1. cele przetwarzania,
    2. kategorie danych osobowych,
    3. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych,
    4. w miarę możliwości, planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
    5. informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
    6. informacje o prawie wniesienia skargi do organu nadzorczego,
    7. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,
    8. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
  2. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, związanych z przekazaniem.
  3. Administrator lub osoby działające z jego upoważnienia, dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
  4. Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych.
  5. Osoba, której dane dotyczą, ma prawo żądania od administratora lub osoby działającej z jego upoważnienia niezwłocznego sprostowania dotyczących jej danych osobowych. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
  6. Osoba, której dane dotyczą, ma prawo żądania od administratora lub osoby działającej z jego upoważnienia niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe.
  7. Jeżeli administrator upublicznił dane osobowe, a ma obowiązek usunąć te dane,
    to podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda usunięcia wszelkich jego danych, w tym wszelkie łącza do tych danych, kopie tych danych lub ich replikacje.
  8. Osoba, której dane dotyczą, ma prawo żądania od administratora lub osób działających z jego upoważnienia ograniczenia przetwarzania.
  9. Administrator lub osoba działająca z jego upoważnienia informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator lub osoba działająca z jego upoważnienia informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
  10. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora lub osoby działającej z jego upoważnienia, któremu dostarczono te dane osobowe.
  11. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych, gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, w tym profilowania. Administratorowi lub osobie działającej z jego upoważnienia nie wolno już przetwarzać tych danych osobowych, chyba że zostanie wykazane istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania.
  12. Najpóźniej przy okazji pierwszej próby komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, o którym mowa w ust. 11 oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.
  13. W związku z korzystaniem z usług społeczeństwa informacyjnego i bez uszczerbku dla dyrektywy 2002/58/WE osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.

 

ROZDZIAŁ 9

UDOSTĘPNIANIE DANYCH OSOBOWYCH

 

§ 11.

 

  1. Dane osobowe mogą być udostępnione osobom, których dane te dotyczą lub innym osobom, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których te dane dotyczą.
  2. Dane osobowe udostępnia się na podstawie pisemnego, bądź elektronicznego wniosku, chyba, że przepis innej ustawy stanowi inaczej.
  3. Każda czynność związana z udostępnieniem danych zostaje zaewidencjonowana w rejestrze.
  4. Rejestr udostępnienia danych osobowych prowadzony jest w Żłobku, które je przetwarza, w formie papierowej lub elektronicznej, zgodnie z załącznikiem nr 7 do Polityki bezpieczeństwa.
  5. Odpowiedzialnym za prawidłowe prowadzenie rejestru udostępnienia danych jest osoba wskazana przez Administratora.
  6. Wszelkie udostępnianie innym instytucjom danych osobowych powinno odbywać się przy zachowaniu szczególnych środków ostrożności, które uniemożliwiają osobom nieupoważnionym wgląd do ww. danych.

 

ROZDZIAŁ 10

PROWADZENIE WYKAZU ZBIORÓW DANYCH

 

§ 12.

 

  1. Zbiorczy rejestr zbiorów danych w Żłobku prowadzi Administrator.
  2. Rejestr zbiorów danych może być prowadzony w formie elektronicznej lub papierowej – wzór Rejestru stanowi załącznik nr 8 do Polityki Bezpieczeństwa.
  3. Dane osobowe przetwarzane są w zbiorach danych osobowych określonych w niniejszej Polityce bezpieczeństwa.
  4. Usunięcie zbioru/ów danych osobowych może nastąpić w przypadku:
    1. gdy nastąpiła zmiana zakresu, celu i warunków przetwarzania danych osobowych;
    2. o potrzebie usunięcia zbioru danych osobowych, osoba upoważniona do przetwarzania w nim danych informuje administratora;
  5. Decyzję o usunięciu zbioru przetwarzanych danych podejmuje Administrator.
  6. Usuwanie zbioru danych osobowych polega na trwałym i nieodwracalnym usunięciu informacji z nośnika.
  7. Fakt usunięcia zbioru danych osobowych, jak również jego aktualizacji Administrator obowiązkowo odnotowuje w rejestrze zbiorów danych osobowych.

 

ROZDZIAŁ 11

SPOSÓB ZAPOZNANIA SIĘ PRACOWNIKÓW
Z AKTAMI PRAWNYMI DOTYCZĄCYMI OCHRONY DANYCH OSOBOWYCH

 

§ 13.

 

Każda osoba przy przyjęciu do pracy zostaje przeszkolona w zakresie przepisów dotyczących ochrony danych osobowych (w szczególności przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych), co potwierdza własnoręcznym podpisem na oświadczeniu. Podpisane przez pracownika oświadczenie dołącza się do jego akt osobowych – wzór oświadczenia stanowi załącznik nr 9 do Polityki bezpieczeństwa.

 

ROZDZIAŁ 12

ZASADY NADAWANIA, MODYFIKOWANIA I ODWOŁYWANIA UPOWAŻNIEŃ
DO PRZETWARZANIA DANYCH OSOBOWYCH

 

§ 14.

 

  1. Do przetwarzania danych osobowych są dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora – wzór upoważnienia stanowi załącznik nr 10 do Polityki Bezpieczeństwa.
  2. Zakres upoważnienia  do przetwarzania  danych  osobowych  wynika z  zajmowanego    stanowiska, pełnionej funkcji danego pracownika lub zleconych zadań.
  3. Upoważnienie do przetwarzania danych osobowych wykonuje się w dwóch egzemplarzach. Jeden z egzemplarzy otrzymuje upoważniona osoba za pisemnym potwierdzeniem jego odbioru, drugi egzemplarz zostaje wpięty do akt osobowych.
  4. Upoważnienie do przetwarzania danych osobowych nadawane jest na czas nieokreślony, nie dłużej jednak niż czas trwania umowy.
  5. Osoby, które będą upoważnione do przetwarzania danych osobowych są zobowiązane do zapoznania się z Polityką bezpieczeństwa.
  6. Administrator odpowiedzialny jest za prowadzenie Rejestru osób upoważnionych do przetwarzania danych – wzór Rejestru stanowi załącznik nr 11 do Polityki Bezpieczeństwa.

 

ROZDZIAŁ 13

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
NA URZĄDZENIACH PRZENOŚNYCH

 

§ 15.

 

  1. Dopuszcza się możliwość używania urządzeń przenośnych, np. komputerów przenośnych i tabletów, do wykonywania zadań służbowych związanych z przetwarzaniem danych osobowych.
  2. Osoba korzystająca z urządzeń przenośnych w celu przetwarzania danych osobowych zobowiązana jest do:
    1. zwrócenia szczególnej  uwagi  na  zabezpieczenie  przetwarzanych  informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed zniszczeniem;
    2. transportu urządzeń w sposób minimalizujący ryzyko kradzieży lub zniszczenia.
  3. W razie zgubienia lub kradzieży urządzenia przenośnego osoba zobowiązana jest do natychmiastowego powiadomienia o tym Administratora.
  4. Dyski urządzeń przenośnych, na których są przetwarzane dane osobowe powinny być zaszyfrowane.

 

ROZDZIAŁ 14

ZASADY POWIERZANIA
PRZETWARZANIA DANYCH OSOBOWYCH INNYM PODMIOTOM

 

§ 16.

 

  1. Administrator może powierzyć przetwarzanie danych osobowych innemu podmiotowi w drodze umowy zawartej na piśmie. Powierzenie przetwarzania danych osobowych nie wyłącza ani nie ogranicza odpowiedzialności Administratora za przestrzeganie RODO. Dopuszcza się korzystanie wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Wzór weryfikacji podmiotu stanowi załącznik nr 12 do Polityki Bezpieczeństwa.
  2. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej pisemnej zgody Administratora. W przypadku zgody podmiot przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
  3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie pisemnej umowy lub innego instrumentu prawnego, które podlegają prawu Unii Europejskiej lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i Administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. W przypadku zawierania umów o świadczenie usług z podmiotami zewnętrznymi, z którymi łączy się powierzenie przetwarzania danych osobowych kwestie dotyczące zasad powierzenia przetwarzania danych osobowych mogą zostać określone w załączniku do umowy głównej – załącznik nr 13 do Polityki bezpieczeństwa.
  4. Podmiot przetwarzający oraz każda osoba działająca z upoważnienia Administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora.
  5. Administrator jest zobowiązany informować podmiot, któremu powierzył przetwarzanie danych o wszelkich zmianach dotyczących tych danych.

 

ROZDZIAŁ 15

SPRAWOZDAWCZOŚĆ W ZAKRESIE
PRZETWARZANIA DANYCH OSOBOWYCH

 

§ 17.

 

  1. Administrator dokonuje sprawdzania zgodności przetwarzania danych osobowych oraz opracowuje sprawozdania w tym zakresie.
  2. Sprawdzanie jest przeprowadzane w trybie:
    1. sprawdzania doraźnego, w sytuacji powzięcia przez IOD wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia;
    2. w przypadku zwrócenia się o dokonanie sprawdzenia przez organ nadzorczy.
  3. Sprawozdanie sporządzane jest w wersji elektronicznej lub papierowej.

 

ROZDZIAŁ 16

ZDARZENIA NARUSZAJĄCE OCHRONĘ DANYCH OSOBOWYCH

 

§ 18.

 

  1. W przypadku naruszenia ochrony danych osobowych, należy bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. O zgłoszeniu naruszenia organowi nadzorczemu decyduje Administrator Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  2. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Wzór rejestru stanowi załącznik nr 14 do Polityki Bezpieczeństwa.
  3. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki zawiadamia się osobę, której dane dotyczą, o takim naruszeniu. Wzór zawiadomienia stanowi załącznik nr 15 do Polityki Bezpieczeństwa.
  4. Zawiadomienie, o którym mowa w ust. 3, nie jest wymagane, w następujących przypadkach:
    1. administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
    2. administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 5.

 

§ 19.

 Rodzaje zagrożeń:

  1. zagrożenia losowe  zewnętrzne    klęski  żywiołowe,  przerwy w zasilaniu, wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana. Ich wystąpienie może prowadzić do utraty integralności danych i zniszczenia lub uszkodzenia infrastruktury technicznej systemu;
  2. zagrożenia losowe wewnętrzne np. niezamierzone pomyłki użytkowników, awarie sprzętowe, błędy oprogramowania, pozostawienie serwisantów bez nadzoru. Skutkiem może być zniszczenie danych i zakłócenie ciągłości pracy systemu;
  3. zagrożenia zamierzone tj. świadome i celowe naruszenia poufności danych, praca przy komputerze osoby, która nie jest formalnie dopuszczona do jego obsługi. Może wystąpić nieuprawniony dostęp do systemu z zewnątrz lub wewnątrz, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania;
  4. podmienienie albo zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia lub skasowanie bądź skopiowanie w sposób niedozwolony danych osobowych;
  5. rażące naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji np. nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce lub na ksero, nie zamknięcie pomieszczenia z komputerem, prace na danych osobowych w celach prywatnych, itp.;
  6. nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych, znajdujących się na dyskach, pendrive’ach, płytach CD i DVD, kartach pamięci oraz wydrukach komputerowych, np. otwarte szafy, biurka, regały.

 

ROZDZIAŁ 17

ZASADY POSTĘPOWANIA
W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH
W SYSTEMACH INFORMATYCZNYCH I NA NOŚNIKACH TRADYCYJNYCH

 

§ 20.

 

  1. Każda osoba zatrudniona w Żłobku, która stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w systemie i na nośnikach tradycyjnych zobowiązana jest do niezwłocznego poinformowania Administratora.
  2. Administrator, który stwierdził lub uzyskał informację wskazującą na naruszenie ochrony bazy danych zobowiązany jest do niezwłocznego podjęcia odpowiednich kroków w celu  powstrzymania lub ograniczenia dostępu osoby niepowołanej do przetwarzanych danych, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych, w tym m.in.:
    1. wylogowania użytkownika podejrzanego o naruszenie ochrony danych,
    2. zmiany hasła konta administratora i użytkownika, poprzez którego uzyskano nielegalny dostęp;
    3. zapisania wszelkich informacji i okoliczności związanych z danym zdarzeniem oraz przekazania stosownych informacji odpowiednio administratorowi;
    4. jeżeli zasoby i funkcjonalności systemu na to pozwalają, wydrukowanie wszystkich dokumentów i raportów, które mogą pomóc w ustaleniu okoliczności zdarzenia i jego skali;
    5. przystąpienia do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym do określenia skali zniszczeń, metody dostępu osoby niepowołanej do danych itp.;
    6. przywrócenia normalnego działania systemu, przy czym, jeżeli nastąpiło uszkodzenie danych, odtworzenia ich z ostatniej kopii bezpieczeństwa.
  3. Po ujawnieniu i potwierdzeniu incydentu z zakresu przetwarzania danych osobowych należy przeprowadzić postępowanie wyjaśniające.
  4. W trakcie postępowania wyjaśniającego należy:
    1. ustalić czas wystąpienia naruszenia ochrony danych osobowych, jego zakres, skutki, przyczyny oraz wielkość szkód, które zaistniały,
    2. zabezpieczyć ewentualne dowody,
    3. ustalić ewentualne osoby odpowiedzialne za naruszenie,
    4. podjąć działania naprawcze (usunięcie skutków incydentu i ograniczenie szkody),
    5. zainicjować działania dyscyplinarne,
    6. sformułować wnioski  i  rekomendować  działania  korygujące,  które  będą  zmierzać do wyeliminowania prawdopodobieństwa, że w przyszłości  wystąpi podobny incydent w ochronie danych osobowych,
    7. udokumentować prowadzone postępowanie,
    8. powiadomić osobę, której dane zostały udostępnione zgodnie z załącznikiem 15 do Polityki Bezpieczeństwa.

 

ROZDZIAŁ 18

DOKUMENTACJA
DOTYCZĄCA MIEJSCA, SPOSOBU I ZAKRESU
PRZETWARZANYCH DANYCH OSOBOWYCH

 

§ 21.

 

  1. Wykaz budynków, pomieszczeń, w którym przetwarzane są dane osobowe opracowywany jest według wzoru, który stanowi załącznik nr 16 do Polityki bezpieczeństwa.
  2. Wykaz fizycznych zabezpieczeń obiektów, w których przetwarzane są dane osobowe opracowywany jest według wzoru, który stanowi załącznik nr 17 do Polityki bezpieczeństwa.
  3. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych stanowi załącznik nr 18 do Polityki bezpieczeństwa.
  4. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi stanowi załącznik nr 19 do Polityki bezpieczeństwa.

 

 ROZDZIAŁ 19

ZABEZPIECZENIE POMIESZCZEŃ

 

§ 22.

 

  1. Nadzór nad kontrolą dostępu do pomieszczeń, w których przetwarzane są dane osobowe, sprawuje Administrator.
  2. Klucze do pomieszczenia, w którym są przetwarzane dane osobowe wydawane są wyłącznie pracownikom upoważnionym do przetwarzania danych osobowych.
  3. Pomieszczenia, w których  przetwarza się dane osobowe, są zamykane na klucz w przypadku opuszczenia pomieszczenia przez ostatniego pracownika upoważnionego do przetwarzania danych osobowych – także w godzinach pracy.
  4. Opuszczenie pomieszczenia,  w  którym  przetwarzane  są dane osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających używane aktualnie zbiory danych osobowych. W szczególności w razie planowanej, choćby chwilowej, nieobecności pracownika upoważnionego do przetwarzana danych osobowych zobowiązany jest on umieścić zbiory występujące w formach tradycyjnych w odpowiednio zabezpieczonym miejscu ich przechowywania, a także dokonać niezbędnych operacji w systemie informatycznym uniemożliwiającym dostęp do danych osobowych osobom niepowołanym.
  5. Dane osobowe przechowywane w wersji papierowej lub elektronicznej (dysk przenośny, pendrive, płyta CD/DVD, karta pamięci) po zakończeniu pracy są przechowywane w szafach zamykanych na klucz. Klucze od szafek należy zabezpieczyć przed dostępem osób nieupoważnionych do przetwarzania danych osobowych.
  6. Całkowite opuszczenie  pomieszczenia,  w  którym  przetwarzane są dane osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających to pomieszczenie przed wejściem osób  nieupoważnionych.
  7. Sprzątanie pomieszczeń, w których przetwarzane są dane osobowe możliwe jest tylko w godzinach pracy Żłobka.
  8. Opuszczenie przez pracownika przetwarzającego dane osobowe pomieszczenia ich przetwarzania bez zabezpieczenia pomieszczenia oraz umiejscowionych w nim zbiorów danych jest niedopuszczalne i będzie traktowane, jako ciężkie naruszenie podstawowych obowiązków pracowniczych.
  9. W ramach systemu informatycznego należy stosować co najmniej:
    1. indywidualny identyfikator i hasło dla każdego użytkownika;
    2. wygaszacz ekranu z hasłem.
  10. W przypadkach, w których wymagany jest wyższy poziom bezpieczeństwa, zaleca się stosowanie dodatkowych środków bezpieczeństwa, np. szyfrowanie danych.

 

ROZDZIAŁ 20

ZABEZPIECZENIE PRZED NIEAUTORYZOWANYM DOSTĘPEM

DO BAZ DANYCH

 

§ 23.

 

  1. Podłączenie urządzenia końcowego (komputera, drukarki, urządzenia wielofunkcyjnego) do sieci komputerowej dokonywane jest przez osobę upoważnioną.
  2. Udostępnianie użytkownikowi zasobów sieci (programów i baz danych), dokonywane jest przez Administratora, na podstawie upoważnienia do przetwarzania danych osobowych.
  3. Przechowywanie kopii  bezpieczeństwa  następuje tylko w  metalowej szafie zamykanej na klucz.
  4. Konieczne jest stosowanie programu antywirusowego z zaporą antywłamaniową na komputerach.
  5. Konieczne jest zabezpieczenie hasłami kont użytkowników na komputerach.
  6. Konieczne jest ustawienie monitorów stanowisk przetwarzania danych osobowych w sposób uniemożliwiający wgląd w dane osobom nieupoważnionym.
  7. Wygaszanie ekranu i blokowanie nieużywanego komputera następuje automatycznie bądź ręcznie po upływie określonego czasu.

[i] Wszystkie załączniki do Polityki bezpieczeństwa znajdują się do wglądu w siedzibie Żłobka.