POLITYKA BEZPIECZEŃSTWA OCHRONY
DANYCH OSOBOWYCH
Polskiego Związku Eksploratorów
z dnia 20.05.2018r.
Zarząd Polskiego Związku Eksploratorów świadomy wagi problemów związanych z ochroną prawa do prywatności oraz narastającej skali zagrożeń związanych z nieuprawnionym przetwarzaniem danych osobowych, dołoży szczególnej staranności w celu ich ochrony i jednocześnie deklaruje:
a) zamiar podejmowania wszystkich działa niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych,
b) zamiar stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe w Polskim Związku Eksploratorów w zakresie problematyki bezpieczeństwa tych danych,
c) zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych.
I. Postanowienia ogólne
Art. 1
1. Dane osobowe w Polskim Związku Eksploratorów przetwarzane są z poszanowaniem przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
2. Polski Związek Eksploratorów nie powołuje Administratora Bezpieczeństwa Informacji (ABI).
Art. 2
Ilekroć w Polityce bezpieczeństwa jest mowa o:
a) ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
b) rozporządzeniu – rozumie się przez to rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
c) administratorze danych osobowych/administratorze danych (AD) – rozumie się przez to Polski Związek Eksploratorów, w imieniu którego działa Zarząd.
d) Związek – rozumie się przez to Polski Związek Eksploratorów
e) osobie upoważnionej do przetwarzania danych osobowych – rozumie się przez to osobę, która została upoważniona na piśmie przez administratora danych osobowych do przetwarzania danych osobowych,
f) zgodzie osoby, której dane osobowe dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może był domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może był odwołana w każdym czasie
g) rozliczalności – rozumie się przez to właściwość zapewniającą, że działanie podmiotu może być przypisane w sposób jednoznaczny, tylko temu podmiotowi,
h) integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
i) poufności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie są udostępniane nieupoważnionym podmiotom.
Art. 3
1. Celem polityki bezpieczeństwa jest ochrona danych osobowych przetwarzanych przez Związek w zakresie określonym ustawą i rozporządzeniem.
2. Związek zobowiązuje się chronić dane osobowe przetwarzane w kartotekach, skorowidzach, księgach, wykazach, systemach informatycznych w zakresie określonym ustawą i rozporządzeniem.
3. Związek, realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były:
a) przetwarzane zgodnie z prawem,
b) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
c) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
d) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
2
Art. 4
Polityka bezpieczeństwa zawiera szczególności :
a) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
b) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
c) sposób przepływu danych pomiędzy poszczególnymi systemami,
d) środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych,
e) prawa osób, których dane są przetwarzane przez Związek.
II. Wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe
Art. 5
1. Polski Związek Eksploratorów przechowuje wszelkie dane w pomieszczeniu użyczonym przez członka zarządu.
2. Administrator danych osobowych przetwarza dane osobowe w siedzibie wskazanej w ust. 1.
3. Obszar przetwarzania danych osobowych obejmuje zamykane na klucz pomieszczenie użyczone przez Związek.
4. W pomieszczeniu znajduje się szafa zamykana na klucz, w której przechowywane są kartoteki, segregatory, skorowidze zawierające dane osobowe członków Związku .
III. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
Art. 6
Administrator danych przetwarza dane osobowe w następujących zbiorach danych:
a) zbiór danych członków Związku – przetwarzany w sposób tradycyjny (w szczególności w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, cyfrowo, wykaz członków w wersji papierowej i cyfrowej, deklaracje członkowskie),
b) dane cyfrowe na serwerze (platforma do rejestracji, chmura, e-mail), dyski, komputery.
IV. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
Art. 7
Administrator danych przetwarza w zbiorach dane osobowe w następującym zakresie:
a) Zbiór danych członków Związku obejmuje: imię i nazwisko członka, data urodzenia, adres zamieszkania, telefon, e-mail, informacja o wcześniejszym członkostwie, wybór miejsca szkolenia, nr legitymacji, przynależność do stowarzyszenia, zdjęcie członka.
V. Sposób przepływu danych pomiędzy poszczególnymi systemami
Art. 8
1. Zbiór 1. zawiera dane członków Związku. Dane ze zbioru są udostępniane członkom Zarządu i komisji rewizyjnej w celu realizacji zadań statutowych, jak również są udostępniane innym osobom lub organom, na podstawie pisemnej umowy o powierzenie przetwarzania danych osobowych lub w wypadkach prawem przewidzianych.
VI. Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Art. 9
1. Polski Związek Eksploratorów, realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, stosuje odpowiednie dostępne Związkowi środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.
2. Związek może gromadzić dane osobowe z wykorzystaniem systemów informatycznych. W przypadku rozpoczęcia gromadzenia danych osobowych z wykorzystaniem systemów informatycznych, Związek wprowadzi Instrukcję zarządzania systemem informatycznym.
Art.10
1. Pomieszczenie, w którym zlokalizowany jest obszar przetwarzania danych osobowych jest zamykane.
2. Zbiory danych przetwarzane w postaci tradycyjnej są przechowywane w szafie wolnostojącej zamykanej na klucz. Klucze do szafki, w którym przechowywane są dane osobowe posiadają wyłącznie osoby określone w załączniku nr.1
3. Pomieszczenie, o którym mowa wyżej, powinno być zamykane na czas nieobecności osoby upoważnionej, w sposób uniemożliwiający dostęp do nich osób trzecich.
Art. 11
1. Związek realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, sprawuje kontrolę i nadzór nad niszczeniem zbędnych danych osobowych i/lub ich zbiorów.
2. Niszczenie zbędnych danych osobowych i/lub ich zbiorów polegać powinno w szczególności na:
a) trwałym, fizycznym zniszczeniu danych osobowych i/lub ich zbiorów wraz z ich nośnikami w stopniu uniemożliwiającym ich późniejsze odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod,
b) anonimizacji danych osobowych i/lub ich zbiorów polegającej na pozbawieniu danych osobowych i/lub ich zbiorów cech pozwalających na identyfikację osób fizycznych, których anonimizowane dane dotyczą.
Art. 12
1. Za naruszenie ochrony danych osobowych uważa się w szczególności:
a) nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń, w których się one znajdują,
b) wszelkie modyfikacje danych osobowych lub próby ich dokonania przez osoby nieuprawnione (np. zmian zawartości danych, utrat całości lub części danych),
c) udostępnienie osobom nieupoważnionym danych osobowych lub ich części.
2. Za naruszenie ochrony danych osobowych uważa się również włamanie do budynku lub pomieszczeń, w których przetwarzane są dane osobowe lub próby takich działań.
VII. Osoby przetwarzające dane osobowe
Art. 13
Administrator Danych Osobowych:
a) formułuje i wdraża warunki techniczne i organizacyjne służące ochronie danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieupoważnioną, przetwarzaniem z naruszeniem ustawy i rozporządzenia oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
b) decyduje o zakresie, celach oraz metodach przetwarzania i ochrony danych osobowych,
c) odpowiada za zgodne z prawem przetwarzanie danych osobowych.
Art. 14
1. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, dopuszcza się do ich przetwarzania, bądź częściowego przetwarzania w sposób tradycyjny wyłącznie osoby do tego upoważnione na mocy uregulowań wewnętrznych obowiązujących w tym zakresie w Związku.
2. Upoważnienie, o którym mowa w ust. 1, wynikać może w szczególności:
a) z charakteru pracy/usług/świadczeń wykonywanych dla Związku.
b) z odrębnego dokumentu zawierającego imienne upoważnienie nadane przez administratora danych osobowych lub inną upoważnioną do tego osobę do dostępu do danych osobowych./ Np. dla księgowej wykonującej prace zlecone, drukarnia legitymacji prace zlecone, itp./
Art. 15
1. Związek, realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, zapewnia kontrolę nad dostępem do tych danych. Kontrola ta w szczególności realizowana jest poprzez ewidencjonowanie osób przetwarzających dane osobowe oraz wdrożenie procedur udzielania dostępu do tych danych.
2. Ewidencja osób upoważnionych do przetwarzania danych osobowych stanowi Załącznik nr 2 do Polityki bezpieczeństwa.
Art. 16
Stowarzyszenie, realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, zapewnia zaznajomienie osób upoważnionych do dostępu i/lub przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także technikami i środkami ochrony tych danych stosowanymi w Stowarzyszeniu.
Art. 17
1. Osoby upoważnione do przetwarzania danych osobowych zostają zaznajomione z zakresem informacji objętych tajemnicą w związku z wykonywaną przez siebie pracą. W szczególności są one informowane o powinności zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia stosowanych w Stowarzyszeniu.
2. Osoby upoważnione do przetwarzania danych osobowych podpisują zobowiązanie do zachowania w tajemnicy danych osobowych. Wzór zobowiązania stanowi Załącznik nr 3 do Polityki bezpieczeństwa.
VIII. Prawa osób, których dane są przetwarzane przez Stowarzyszenie
Art. 18
1. Związek gwarantuje osobom fizycznym, których dane osobowe są przetwarzane, realizację uprawnień gwarantowanych im przez obowiązujące przepisy prawa.
2. W szczególności każdej osobie fizycznej, której dane osobowe są przetwarzane przez Związek przysługuje prawo do uzyskania informacji o zakresie jej uprawnień związanych z ochroną danych osobowych, a także prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych na zasadach określonych w art.
32 – 35 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
3. Od osób, od których pobierane są dane osobowe, Związek powinien uzyskać zgodę na ich przetwarzanie w formie stosownego oświadczenia. Zgoda następuję gdy osoba rejestrująca się kliknie w pole typu checkbox (tj. zaznacz/odznacz) o następującej przykładowej treści: Wyrażam zgodę na przetwarzanie moich danych osobowych przez Polski Związek Eksploratorów o raz jego przetworników. Zapoznałem/am się i akceptuję politykę prywatności i regulamin, w których zostałem/am poinformowany/a, że przysługuje mi prawo dostępu do swoich danych, możliwości ich poprawiania, żądania zaprzestania ich przetwarzania.
ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) na potrzeby realizacji celów i statutowych zadań Polskiego Związku Eksploratorów.
IX. Postanowienia końcowe
Art. 19
1. Związek przetwarza dane osobowe na podstawie powszechnie obowiązujących przepisów prawa.
2. Dane osobowe mogą być udostępniane tylko zgodnie z powszechnie obowiązujących przepisów prawa.
3. Każdy pracownik przed dopuszczeniem do przetwarzania danych osobowych zobowiązany jest do zapoznania się i stosowania zapisów niniejszego dokumentu oraz przepisów ustawy o ochronie danych osobowych.
4. W sprawach nieuregulowanych zastosowanie mają odpowiednie przepisy aktów prawnych powszechnie obowiązujących.
Art. 20
Niniejszą Politykę Bezpieczeństwa Ochrony Danych Osobowych zatwierdzono uchwałą Zarządu z dnia 20.05.2018r.
POUCZENIE
Wszystkim osobą przysługuje prawo dostępu do swoich danych, możliwości ich poprawiania, żądania zaprzestania ich przetwarzania.
SZYBKI KONTAKT W SPRAWIE DANYCH OSOBOWYCH I RODO
biuro@pze.org.pl
Wykaz załączników
Załącznik nr. 1 Wykaz członków Zarządu posiadających klucze do pomieszczenia
Załącznik nr. 2 Ewidencja osób upoważnionych do przetwarzania danych osobowych
Załącznik nr. 3 Osoby upoważnione do przetwarzania danych osobowych podpisują
zobowiązanie do zachowania w tajemnicy danych osobowych
Załącznik nr. 4 Obieg danych osobowych, na potrzeby wykonania i przekazania Panu/Pani karty plastikowej (legitymacja, identyfikator, certyfikat, karta klienta, inna dowolna karta)
Załącznik nr.1
Dane osobowe zastrzeżone – RODO
Załącznik nr.2
Dane osobowe zastrzeżone – RODO
Załącznik nr.3
Ja niżej podpisany zobowiązuję się do zachowania w pełnej tajemnicy przetwarzanych i gromadzonych przeze mnie danych osobowych oraz postępowania zgodnie z Polityką Bezpieczeństwa Ochrony Danych Osobowych uchwaloną przez Polski Związek Eksploratorów
Załącznik nr.4
Informuję/jemy, że działając jako administrator Pani/Pana danych osobowych, na potrzeby wykonania i przekazania Panu/Pani karty plastikowej (legitymacja, identyfikator, certyfikat, karta klienta, inna dowolna karta), przekazuję/jemy Pana/Pani dane osobowe Panu Mariuszowi Kociędą prowadzącemu działalność gospodarczą pod firmą Mariusz Kocięda „Grupa Loca” (ul. Stefana Żeromskiego 6, 13-200 Działdowo), tj. podmiotowi wykonującym Pana/Pani kartę plastikową („Wykonawca”). Informujemy, że po wykonaniu i dostarczeniu takiej karty plastikowej podmiotowi składającemu zamówienie, Pani/Pana dane osobowe potrzebne do jej wykonania (wynikające z zamówienia i umieszczone na karcie plastikowej), będą dalej przetwarzane następnie przez Wykonawcę tj. Mariusza Kociędę prowadzącego działalność gospodarczą pod firmą Mariusz Kocięda „Grupa Loca” (adres stałego miejsca wykonywania działalności gospodarczej przy ul. Stefana Żeromskiego 6, 13-200 Działdowo), który będzie wówczas przetwarzać Pana/Pani dane w ramach ewidencji zamówień wykonanych, działając jako administrator Pani/Pana danych osobowych. Wykonawca będzie wówczas przetwarzać dane w uzasadnionym interesie Wykonawcy jako administratora tj. na potrzeby obrony ewentualnych roszczeń majątkowych Wykonawcy związanych z prowadzoną działalnością gospodarczą (przez okres 3 lat od dostarczenia legitymacji), w tym na potrzeby ustosunkowania się do żądań podmiotu zamawiającego kartę plastikową z tytułu rękojmi na etapie pozasądowym (przez okres 2 lat od dostarczenia legitymacji), tj. na podstawie art. 6 ust. 1 pkt f) tzw. RODO. Przysługuje Panu/Pani prawo dostępu do danych oraz prawo żądania ich poprawiania, sprostowania, usunięcia, ograniczenia ich przetwarzania, zgłoszenia sprzeciwu wobec ich przetwarzania, żądania ich przeniesienia, w dowolnym momencie, jak również skarga do organu nadzorczego, przy uwzględnieniu uprawnień Wykonawcy jako administratora wynikających z powszechnie obowiązujących przepisów dot. ochrony danych osobowych. Wykonawca jako administrator udostępnia dane zewnętrznym dostawcom usług hostingowych na potrzeby zapewnienia możliwości przechowywania danych dot. zamówień zrealizowanych na zewnętrznych serwerach. Dane kontaktowe Wykonawcy jako administratora: Mariusz Kocięda prowadzący działalność gospodarczą pod firmą Mariusz Kocięda „Grupa Loca” – adres: ul. Żeromskiego 6, 13-200 Działdowo; adres e-mail: biuro@loca.pl.”