Ponad 35 lat pasji i doświadczenia

22 841 49 34

Cookie Policy

Poprzez korzystanie ze stron i aplikacji wyrażasz zgodę na używanie ciasteczek zgodnie z tą polityką. Jeżeli nie zgadzasz się na używanie przez nas plików cookie, powinieneś zmienić ustawienia swojej przeglądarki w odpowiedni sposób lub zrezygnować z używania stron oraz aplikacji.

Co to są ciasteczka?
Ciasteczka (ang. cookies) to niewielkie pliki, zapisywane i przechowywane na twoim komputerze, tablecie lub smartphonie podczas gdy odwiedzasz różne strony w internecie. Ciasteczko zazwyczaj zawiera nazwę strony internetowej, z której pochodzi, “długość życia” ciasteczka (to znaczy czas jego istnienia) oraz przypadkowo wygenerowany unikalny numer służący do identyfikacji przeglądarki, z jakiej następuje połączenie ze stroną internetową.

Do czego używamy ciasteczek?
DESKI.ORG używa ciasteczek w różnych celach: by strony i aplikacje działały szybciej i by były łatwiejsze w użyciu, aby lepiej dopasować treści i reklamy do twoich oczekiwań i zainteresowań oraz do zbierania anonimowych, zagregowanych statystyk, które pomagają w poprawianiu funkcjonalności i zawartości stron i aplikacji. Używając ciasteczek w wyżej opisany sposób nigdy nie identyfikujemy tożsamości użytkowników na podstawie informacji przechowywanych w ciasteczkach.

1. CEL POLITYKI
1.1. Polityka Bezpieczeństwa Przetwarzania Danych Osobowych (dalej: Polityka) określa zasady bezpieczeństwa przetwarzania danych osobowych ustanowione i stosowane w Stowarzyszeniu Warszawskie Towarzystwo Sportowe DeSki (dalej: „DeSki”), obowiązujące pracowników i współpracowników, którzy przetwarzają dane osobowe.
1.2 Stosowanie zasad określonych w niniejszej Polityce ma na celu zapewnienie prawidłowej ochrony danych osobowych przetwarzanych przez DeSki rozumianej jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy oraz utratą, uszkodzeniem lub zniszczeniem.
1.3 Jednym z podstawowych celów wydania Polityki jest też określenie zasad postępowania i odpowiedzialności przy stosowaniu wymogów przetwarzania i ochrony danych osobowych zgodnych z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – Dz. U UE – L 119; dalej RODO).
2. ZAKRES STOSOWANIA
2.1. Politykę niniejszą stosuje się do danych osobowych przetwarzanych w kartotekach, w systemach informatycznym, zapisanych na zewnętrznych nośnikach informacji oraz informacji dotyczących bezpieczeństwa przetwarzania danych osobowych, w szczególności dotyczących wdrożonych zabezpieczeń technicznych i organizacyjnych.
2.2. W zakresie podmiotowym, Polityka obowiązuje wszystkich pracowników DeSki oraz inne osoby mające dostęp do danych osobowych, w tym stażystów, osoby zatrudnione na umowę zlecenia lub umowę o dzieło bądź na podstawie innego stosunku cywilnoprawnego.
2.3. Każdy nowo zatrudniany pracownik i współpracownik DeSki, który jest upoważniony do przetwarzania danych osobowych jest zobowiązany w terminie 14 dniu od zawarcia umowy: podpisać Oświadczenie o zapoznaniu się z Polityką oraz zachowaniu w tajemnicy danych osobowych oraz sposób ich zabezpieczania (załącznik nr 1 do Polityki) oraz odbyć szkolenie z zakresu zasad przetwarzania i ochrony danych osobowych.
2.4 Za organizację szkoleń z zakresu zasad przetwarzania i ochrony danych osobowych odpowiedzialny jest Pełnomocnik.
2.5 Wszyscy pracownicy i współpracownicy zobowiązani są do współpracy z Pełnomocnikiem w zakresie realizowanych przez niego zadań.
2.6 Kadra Kierownicza zobowiązana jest w szczególności do zapewnienia nadzoru nad:
– procesami przetwarzania danych osobowych
– systemami informatycznymi
– obszarami przetwarzania danych osobowych
2.7 Kadra kierownicza zobowiązana jest do przygotowania i monitorowania regulacji wewnętrznych zapewniających właściwe przetwarzanie i ochronę danych osobowych – rozumianą jako zgodną z potrzebami biznesowymi, z najlepszymi praktykami oraz z przepisami prawa – danych osobowych przetwarzanych w DeSki w dowolnej postaci (tradycyjnej na papierze i w formie elektronicznej).
3. BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
DeSki stosują środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem RODO oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
DEFINICJE
Administrator
Podmiot, który samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych;
Pełnomocnik Zarządu ds. ochrony danych osobowych (dalej Pełnomocnik)
Osoba, wyznaczona przez Administratora, odpowiedzialna za nadzór nad przestrzeganiem przepisów o ochronie danych osobowych;
Administrator systemów informatycznych (dalej ASI)
Osoba odpowiedzialna za prawidłowe funkcjonowanie sprzętu i oprogramowania i jego konserwację, wyznaczona do tych celów przez Administratora; Dane osobowe Oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Osoba upoważniona Osoba posiadająca formalne upoważnienie wydane przez Administratora lub przez osobę wyznaczoną , uprawnioną do bezpośredniego dostępu do danych osobowych przetwarzanych w systemie informatycznym oraz kartotekach, posiadającą ustalony identyfikator (login) i hasło;
Przetwarzanie danych osobowych
Operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Zbiór danych osobowych
Oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
Pomieszczenia
Rozumie się przez to budynki, pomieszczenia lub części pomieszczeń określonych przez Administratora, tworzące obszar, w którym przetwarzane są dane osobowe (sprzęt komputerowy, sieci, systemy, kartoteki);
Proces biznesowy
Zespół ze sobą powiązanych czynności prowadzących do osiągnięcia określonego celu przetwarzania danych osobowych;
Incydent
Podejrzenie naruszenie ochrony danych osobowych;
Naruszenie ochrony danych osobowych
Oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
4 BEZPIECZEŃSTWO PRZETWARZANIA DANYCH OSOBOWYCH.
4.1 Przez bezpieczeństwo przetwarzania danych osobowych rozumie się zapewnienie:
– poufność danych — czyli właściwość zapewniającą, że dane pozostają w tajemnicy, a możliwość zapoznania się z nimi mają tylko te osoby, które mają odpowiednie upoważnienie;
– integralność (spójność)— czyli właściwość zapewniającą, że dane osobowe nie zostały zmienione, uszkodzone lub zniszczone przez osobę nieupoważnioną;
– rozliczalność — rozumiana jako rozliczalność działań w systemie informatycznym – czyli właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
4.2 W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kilku warstw ochronnych. Ochrona danych osobowych jest realizowana poprzez zabezpieczenia fizyczne, organizacyjne i techniczne.
5 ODPOWIEDZIALNOŚĆ
5.1. Kierownictwo DeSki
Wytycza kierunki zmierzające do zapewnienia odpowiedniej ochrony danych osobowych oraz nadzoruje przestrzeganie ustalonych zasad. Do obowiązków Kierownictwa należy zrozumienie oraz zapewnienie świadomości bezpieczeństwa przetwarzania danych osobowych, jego problematyki oraz wymagań.
Do obowiązków kierownictwa DeSki należy również:
a) podejmowanie odpowiednich i niezbędnych kroków mających na celu zapewnienie prawidłowej ochrony danych osobowych;
b) podział zadań i obowiązków związanych z organizacją ochrony danych osobowych;
c) wprowadzenie do stosowania procedur zapewniających prawidłowe przetwarzanie danych osobowych;
d) egzekwowanie rozwoju środków bezpieczeństwa przetwarzania danych osobowych;
e) poddawanie przeglądom skuteczność Polityki, zapewnienie podstaw prawnych do przetwarzania danych osobowych od chwili zebrania danych osobowych do chwili ich usunięcia;
f) zapewnienie niezbędnych środków potrzebnych dla zapewnienia bezpieczeństwa przetwarzania danych osobowych;
g) udział w rozpatrywaniu skarg i wniosków dotyczących przetwarzania i ochrony danych osobowych,
h) zapewnienie kontroli wewnętrznych w zakresie zgodności przetwarzania danych przez podległych pracowników z przepisami prawa oraz regulacjami wewnętrznymi w tym stosowania się do zasady „czystego biurka i ekranu”,
i) dokumentowanie wyników kontroli, o których mowa wyżej, w szczególności w przypadku ujawnienia uchybień,
W sytuacji, gdy zostaną wprowadzone nowe procesy lub zajdą istotne zmiany w procesach dotychczasowych, jak również gdy mają miejsce istotne zmiany w systemie informatycznym lub zostaje wdrożony nowy system.
5.2 Pełnomocnik Zarządu ds. ochrony danych osobowych (Pełnomocnik)
Do obowiązków Pełnomocnika, należy monitorowanie przestrzegania przepisów o ochronie danych osobowych , w szczególności:
a) nadzór merytoryczny nad prowadzeniem Rejestru czynności przetwarzania danych osobowych i Rejestru kategorii czynności przetwarzania oraz nad ich aktualizacją
b) nadzór merytoryczny nad opracowaniem dokumentu Ocena skutków dla ochrony danych i nad jego aktualizacją
c) weryfikację pod względem formalnym kompletności opisu procesów
d) udział w rozpatrywaniu skarg i wniosków dotyczących przetwarzania i ochrony danych osobowych
e) sprawdzanie zgodności przetwarzania danych osobowych z przepisami RODO,
f) nadzór nad wdrożeniem stosownych środków organizacyjnych, technicznych i fizycznych w celu ochrony przetwarzanych danych osobowych;
g) analizę sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia ochrony danych osobowych i przygotowanie oraz przedstawienie Zarządowi zaleceń i rekomendacji dotyczących eliminacji ryzyk ich ponownego wystąpienia.
5.3. Administrator systemu informatycznego (ASI)
Administrator systemu wykonuje zadania w zakresie zarządzania i bieżącego nadzoru nad systemem informatycznym administratora danych, w szczególności:
a) zarządza systemem informatycznym, w którym są przetwarzane dane osobowe, posługując się hasłem dostępu do wszystkich stacji roboczych z pozycji administratora;
b) przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są dane osobowe;
c) nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych;
d) podejmuje działania w zakresie ustalania i kontroli identyfikatorów dostępu do systemu informatycznego;
e) w sytuacji stwierdzenia naruszenia zabezpieczeń systemu informatycznego informuje Pełnomocnika w celu poinformowania Inspektora Ochrony Danych o naruszeniu i współdziała z nim przy usuwaniu skutków naruszenia;
f) sprawuje nadzór nad wykonywaniem napraw, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe, nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod katem ich dalszej przydatności do odtwarzania danych w przypadki awarii systemu informatycznego;
5.4 Osoby upoważnione do przetwarzania danych
Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy znajomość, zrozumienie i stosowanie w możliwie największym zakresie wszelkich dostępnych środków ochrony danych osobowych oraz uniemożliwienie osobom nieuprawnionym dostępu do swojej stacji roboczej. Do obowiązków należy również:
– przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami wewnętrznymi; ;
– zachowania w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia;
– ochrony danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem;
– informowania o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane osobowe do przełożonego, który ma obowiązek poinformować Pełnomocnika na adres e-mail: RODO@DeSki.org.
6 ZARZĄDZANIE DANYMI OSOBOWYMI
6.1. Zasady postępowania z danymi osobowymi
– Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z obowiązkami służbowymi, rolą sprawowaną w procesie przetwarzania danych oraz w granicach udzielonego jej upoważnienia.
– W powyższym zakresie, osoba ta odpowiada za poufność, integralność i rozliczalność działań w systemie informatycznym oraz za stosowanie adekwatnych do zmieniających się warunków i technologii środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych.
– Dostęp do danych osobowych jest przyznawany zgodnie z zasadą wiedzy koniecznej, tj. każdy pracownik posiada wiedzę o systemie, do którego ma dostęp, ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych mu zadań. W tym zakresie pracownik ma obowiązek chronić dane osobowe przed nieuprawnionym dostępem i modyfikacją oraz przetwarzać wyłącznie za pomocą autoryzowanych urządzeń służbowych.
– Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, do których uzyskały dostęp w trakcie zatrudnienia, jak również po ustaniu zatrudnienia.
– Osoby upoważnione do przetwarzania danych osobowych zobowiązane są zapoznać się z regulacjami wewnętrznymi dotyczącymi ochrony danych osobowych w DeSki.
– Kierownictwo odpowiedzialne jest za zapewnienie, że: o podczas pozyskiwania (w tym zbierania) danych osobowych został zrealizowany obowiązek informacyjny (art. 13 i art. 14 RODO); o podwładni przetwarzając dane osobowe stosują się do wszystkich zasad przetwarzania danych (określonych w art. 5 RODO) oraz o DeSki przetwarzając dane jako administrator spełnia co najmniej jeden z warunków legalności przetwarzania danych osobowych (art. 6 RODO).
6.2. Upoważnienie do przetwarzania danych osobowych
– Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie wydawane indywidualnie przed rozpoczęciem przetwarzania danych osobowych przez Administratora lub osobę posiadającą stosowne upoważnienie do nadawania upoważnień w tym zakresie.
– Każdy nowo zatrudniony pracownik i współpracownik ma obowiązek zapoznać się z treścią niniejszej Polityki i z załącznikami oraz zobowiązany jest podpisać oświadczanie o zapoznaniu się z tymi dokumentami, którego wzór stanowi załącznik nr 1 do niniejszej Polityki.
– Upoważnienia, o których mowa powyżej, wydawane są w formie elektronicznej lub papierowej i obowiązują do czasu zakończenia współpracy lub obowiązków związanych z przetwarzaniem danych osobowych.
6.3. Udzielanie odpowiedzi na wnioski podmiotu danych
– DeSki zapewnia realizację praw osób, których dane są przetwarzane
– Wszelkie zapytania osób fizycznych (klientów, partnerów, dostawców) w zakresie przetwarzania danych osobowych tych osób, należy zgłaszać do Pełnomocnika na adres e-mail: RODO@DeSki.org, a mogą to być w szczególności: a) Pytania osoby, czy przetwarzamy jej dane osobowe? b) Wnioski lub żądania osoby o zaprzestanie przetwarzania jej danych osobowych, c) Wnioski, upoważnienie lub umowy w zakresie przetwarzania danych osobowych.
– Otrzymane informacje/dokumenty Pełnomocnik weryfikuje oraz odnotowuje w rejestrze.
7 ZARZĄDZANIE USŁUGAMI ZEWNĘTRZNYMI
7.1. Bezpieczeństwo usług zewnętrznych
– DeSki planując oraz realizując usługi zewnętrzne zapewnia aby działania te były prowadzone zgodnie z wymaganiami bezpieczeństwa przetwarzania danych osobowych obowiązującymi w stowarzyszeniu, wymaganiami umowy oraz wymaganiami prawa.
– Wymagania bezpieczeństwa przetwarzania danych osobowych, zakres usług oraz poziom ich dostarczania zasadniczo określa się w umowie świadczenia usług.
– Wobec użytkowników nie będących pracownikami DeSki stosuje się te same zasady bezpieczeństwa przetwarzania danych osobowych, co do użytkowników będących pracownikami.
7.2. Powierzanie przetwarzania danych osobowych
DeSki jako administrator, jeśli jest taka potrzeba, zleca przetwarzanie danych do podmiotu przetwarzającego na podstawie umowy lub innego instrumentu prawnego, a następnie monitoruje ryzyko związane z przetwarzaniem danych osobowych przez podmiot przetwarzający.
7.3. Udostępnianie danych osobowych
 Dane osobowe mogą być udostępniane wyłącznie podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa oraz osobom, których dotyczą.
 Informacje zawierające dane osobowe, jeśli zachodzi taka potrzeba, przekazywane są uprawnionym podmiotom lub osobom za potwierdzeniem odbioru, listem poleconym za pokwitowaniem odbioru lub innym bezpiecznym sposobem, określonym wymogiem prawnym lub umową.
– Udostępnienie danych osobowych innym podmiotom wymaga, odnotowania tej informacji bezpośrednio w systemie informatycznym z którego udostępniono dane lub w inny zatwierdzony sposób, w szczególności informacje o odbiorcy danych, dacie i zakresie udostępnionych danych osobowych. Ponadto udostępniając dane osobowe należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
7.4. DANE PRZYJĘTE DO PRZETWARZANIA Wszyscy pracownicy zobowiązani są do przestrzegania przepisów o ochronie danych osobowych, a także do ścisłej współpracy z Pełnomocnikiem.
W tym celu zobowiązani są do:
– występowania z wnioskami w sprawie wprowadzenia niezbędnych zmian w zakresie ochrony danych osobowych powierzonych do przetwarzania DeSki.
Dane powierzone do przetwarzania DeSki, przetwarzane są zgodnie z RODO, umową o powierzeniu przetwarzania danych osobowych oraz niniejszą Polityką.
8 BEZPIECZEŃSTWO FIZYCZNE OBSZARÓW PRZETWARZANIA
8.1. Obszar przetwarzania
Dane osobowe mogą być przetwarzane wyłącznie w obszarach przetwarzania danych osobowych, na które składają się pomieszczenia biurowe oraz części pomieszczeń, gdzie DeSki prowadzi działalność. Do takich pomieszczeń, zalicza się w szczególności:
– pomieszczenia biurowe, w których zlokalizowane są stacje robocze lub serwery służące do przetwarzania danych osobowych;
– pomieszczenia, w których przechowuje się dokumenty źródłowe oraz wydruki z systemu informatycznego zawierające dane osobowe;
– pomieszczenia, w których przechowywane są sprawne i uszkodzone urządzenia, elektroniczne nośniki informacji oraz kopie zapasowe zawierające dane osobowe.
Pomieszczenia, w których przetwarzane są dane osobowe, podczas nieobecności (lub chwilowej nieobecności) osób upoważnionych do przetwarzania danych osobowych, są zabezpieczane przez te osoby, w sposób ograniczający możliwość dostępu do nich osobom nieupoważnionym.
Wydruki i nośniki elektroniczne zawierające dane osobowe są przechowywane w zamykanych szafach, które znajdują się w obszarach przetwarzania danych osobowych.
Niepotrzebne wydruki lub inne dokumenty są niszczone za pomocą niszczarek.
Przebywanie wewnątrz obszarów przetwarzania danych osobowych osób nieuprawnionych jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania tych danych.
8.2. Bezpieczeństwo środowiskowe
Pomieszczenia wchodzące w skład obszaru przetwarzania danych osobowych wyposaża się w odpowiednie środki ochrony fizycznej i organizacyjnej chroniące przed nieautoryzowanym lub nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami pracy.
8.3. Bezpieczeństwo urządzeń
Urządzenia służące do przetwarzania danych osobowych przechowywane są w bezpieczny i nadzorowany sposób.
Urządzenia mobilne takie jak np. komputery przenośne, urządzenia PDA, telefony komórkowe mogą być pozostawione bez opieki jedynie w przypadku, gdy zastosowano wobec nich odpowiednie środki ochrony.
8.4. Fizyczna kontrola dostępu
– W Stowarzyszeniu obowiązuje polityka „czystego biurka” i „czystego ekranu”, której celem jest redukcja ryzyka nieautoryzowanego i nieuprawnionego dostępu lub uszkodzenia danych osobowych.
– Klucze dostępowe, karty, hasła itd. służące do uzyskania dostępu do systemów informatycznych służących do przetwarzania danych osobowych nadawane są wyłącznie na podstawie wniosków lub przełożonego konkretnej osoby. Szczegółowy tryb określają wewnętrzne procedury.
– Dostęp do serwerowni lub innych pomieszczeń, w których znajdują się systemy informatyczne służące do przetwarzania danych osobowych lub zbiory nieinformatyczne jest możliwy wyłącznie dla osób upoważnionych .
– Dostęp dla gości do serwerowni lub innych pomieszczeń, w których znajdują się systemy informatyczne służące do przetwarzania danych osobowych dokonywane są wyłącznie w określonych i autoryzowanych celach oraz są nadzorowane przez osoby upoważnione przez cały czas ich pobytu.
– Kończąc pracę, każda osoba zobowiązana jest zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację, wydruki, elektroniczne nośniki informacji i umieścić je w zamykanych szafkach.
– Monitory zasadniczo są ustawiane w taki sposób aby uniemożliwiać podgląd wyświetlanych danych osobowych przez osoby nieuprawnione.
9 OCENA RYZYKA I PRZEGLĄDY
Systemy informatyczne i aplikacje są poddawane ocenie ryzyka pod kątem identyfikacji zagrożeń dla bezpieczeństwa przetwarzania danych osobowych (co najmniej raz na dwa lata). Ocena ryzyka musi być również przeprowadzana przy dużych zmianach procesów biznesowych, systemów informatycznych i aplikacji.
Przeglądy bezpieczeństwa przetwarzania danych osobowych przeprowadzane są okresowo, w celu określenia wymaganego poziomu zabezpieczeń pozwalającego na ograniczenie ryzyka do poziomu akceptowalnego.
10 ZARZĄDZANIE INCYDENTAMI
W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych, użytkownik zobowiązany jest do bezzwłocznego powiadomienia o tym fakcie upoważnioną osobę lub Pełnomocnika na adres e-mail: RODO@deski.org.
Pracownik zgłaszając podejrzenie naruszenia wskazuje:
– okoliczności wystąpienia incydentu
– jeśli jest to możliwe, należy wskazać datę i godzinę wystąpienia zdarzenia
– jeśli jest to możliwe, należy wskazać czyje dane i zakres danych, są objęte incydentem.
Postanowienia powyższe mają zastosowanie zarówno w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych gromadzonych w systemach informatycznych, jak i w kartotekach.
Do czasu przybycia Pełnomocnika lub upoważnionej przez niego osoby, zgłaszający:
– powstrzymuje się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności, mogących spowodować zatarcie śladów naruszenia bądź innych dowodów,
– zabezpiecza elementy systemu informatycznego lub kartotek, przede wszystkim poprzez uniemożliwienie dostępu do nich osób nieupoważnionych,
– podejmuje, stosownie do zaistniałej sytuacji, wszelkie niezbędne działania celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych.
W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych, Pełnomocnik lub osoba przez niego upoważniona, po przybyciu na miejsce:
– ocenia zastałą sytuację, biorąc pod uwagę w szczególności stan pomieszczeń, w których przetwarzane są dane oraz stan urządzeń, a także identyfikuje wielkość negatywnych następstw incydentu,
– wysłuchuje relacji osoby, która dokonała powiadomienia,
– podejmuje decyzje o toku dalszego postępowania, stosownie do zakresu naruszenia lub zasadności podejrzenia naruszenia ochrony danych osobowych. W uzasadnionych przypadkach niezwłocznie powiadamia Zarząd.
Upoważniona osoba sporządza z przebiegu zdarzenia raport, w którym powinny się znaleźć w szczególności informacje o:
– dacie i godzinie powiadomienia,
– godzinie pojawienia się w pomieszczeniach, w których przetwarzane są dane,
– sytuacji, jaką zastał,
– podjętych działaniach i ich uzasadnieniu.
Kopia raportu przekazywana jest bezzwłocznie Zarządowi i Pełnomocnikowi.
Pełnomocnik lub osoba upoważniona podejmuje kroki zmierzające do likwidacji naruszeń zabezpieczeń danych osobowych i zapobieżenia wystąpieniu ich w przyszłości. W tym celu:
– w miarę możliwości przywraca stan zgodny z zasadami zabezpieczenia systemu,
– o ile taka potrzeba zachodzi, postuluje wprowadzenie nowych form zabezpieczenia, a w razie ich wprowadzenia nadzoruje zaznajamianie z nimi osób zatrudnionych przy przetwarzaniu danych osobowych.
W przypadku, gdy naruszenie ochrony danych osobowych jest wynikiem uchybienia obowiązującej u Administratora dyscypliny pracy i wewnętrznych regulacji, Pełnomocnik lub upoważniona przez niego osoba wnioskuje do Prezesa o wyjaśnienie wszystkich okoliczności incydentu i o podjęcie stosownych działań wobec osób, które dopuściły się tego uchybienia.
W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych, użytkownik może kontynuować pracę dopiero po otrzymaniu pozwolenia osoby upoważnionej.
W przypadku zaginięcia komputera lub nośników magnetycznych, na których były zgromadzone dane osobowe, użytkownik posługujący się komputerem niezwłocznie powiadamia Pełnomocnika lub upoważnioną osobę, a w przypadku kradzieży występuje o powiadomienie jednostki policji.
W sytuacji, zaginięcia lub kradzieży, Pełnomocnik lub upoważniona osoba podejmuje niezbędne kroki do wyjaśnienia okoliczności zdarzenia, sporządza protokół z zajęcia, który powinna podpisać także osoba, której skradziono lub, której zaginął sprzęt oraz powiadamia Zarząd.
W przypadku kradzieży komputera razem z nośnikiem magnetycznym upoważniona osoba podejmuje działania zmierzające do odzyskania utraconych danych oraz nadzoruje proces przebiegu wyjaśnienia sprawy.
Osoba zatrudniona przy przetwarzaniu danych osobowych za naruszenie obowiązków wynikających z niniejszej Polityki oraz przepisów o ochronie danych osobowych ponosi odpowiedzialność przewidzianą w Regulaminie Pracy, Kodeksie Pracy oraz wynikającą z rozporządzenia RODO
Sposób przygotowania Zgłoszenia Naruszenia Ochrony danych opisuje załącznik nr 1
11 POSTANOWIENIA KOŃCOWE
Pracownicy oraz współpracownicy DeSki zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce, w wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących w DeSki bądź w ramach umowy, którą powierzono dane osobowe do przetwarzania, użytkownicy mają obowiązek stosowania zapisów dalej idących, których stosowanie zapewni wyższy poziom ochrony danych osobowych.
Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w niniejszej Polityce może być podstawą rozwiązania stosunku pracy bez wypowiedzenia z osobą, która dopuściła się naruszenia.
W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy ustawy i rozporządzenia RODO.
Niniejsza Polityka powinna być aktualizowana wraz ze zmieniającymi się przepisami prawnymi o ochronie danych osobowych oraz zmianami faktycznymi w ramach DeSki, które mogą powodować, że zasady ochrony danych osobowych określone w obowiązujących dokumentach będą nieaktualne lub nieadekwatne. Dla rozwiania wątpliwości przyjmuje się, że postanowienia polityki sprzeczne bądź niezgodne z aktualnie obowiązującymi przepisami zostają automatycznie zastąpione właściwymi przepisami prawa.
Zmiany niniejszej Polityki powodują przegląd innych dokumentów dotyczących ochrony danych osobowych obowiązujących w DeSki.
Polityka niniejsza zastępuje z dniem wejścia w życie poprzednia politykę bezpieczeństwa przetwarzania osobowych.
Polityka wchodzi w życie z dniem jej ogłoszenia.
12 ZAŁĄCZNIKI
Integralną częścią niniejszej Polityki stanowią następujące załączniki:
Załącznik nr 1: Wzór oświadczenia o zapoznaniu się z treścią Polityki.