POLITYKA OCHRONY DANYCH OSOBOWYCH EDUKACYJNA WYSPA MAŁEGO KRÓLA
W celu zapewnienia skutecznej ochrony danych osobowych oraz w związku z koniecznością wdrożenia odpowiednich środków organizacyjno-technicznych na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Przemysław Król prowadzący działalność gospodarczą pod firmą „Edukacyjna Wyspa Małego Króla – Przemysław Król” (dalej jako: „Edukacyjna Wyspa Małego Króla”) z siedzibą w Pruszczu Gdańskim (83-000) przy ul. Cyprysowej 7/1, NIP: 6040100113, REGON: 222095247, wprowadza niniejszą Politykę Ochrony Danych Osobowych, która na zastosowanie w następującej placówce: Niepubliczna Poradnia Psychologiczno-Pedagogiczna „Mały Król”.
Spis treści
- 1. Słowniczek. 2
- 2. Zakres obowiązywania Polityki. 4
- 3. Zasady dotyczące przetwarzania danych osobowych. 4
- 4. Procedura udzielania upoważnień do przetwarzania danych osobowych. 5
- 5. Procedura powierzenia przetwarzania danych osobowych. 5
- 6. Prowadzenie Rejestru czynności przetwarzania danych osobowych. 6
- 7. Ocena stopnia bezpieczeństwa przetwarzania danych osobowych. 7
- 8. Polityka przeprowadzenia oceny Privacy by design oraz oceny skutków dla ochrony danych. 7
- 9. Poufność oraz środki bezpieczeństwa. 8
- 10. Polityka Zarządzania naruszeniami ochrony danych osobowych. 9
- 11. Polityka informacyjna. 11
- 12. Polityka realizacji praw wskazanych w art. 15 – 22 RODO. 12
- 13. Polityka usuwania i niszczenia danych. 13
- 14. Polityka haseł oraz zabezpieczenia informatyczne. 14
- 15. Procedura postępowania z danymi osobowymi dziecka oraz upoważnianie osób trzecich do odbioru dzieci 17
- 16. Procedura wykorzystywania wizerunku dziecka oraz wizerunku pracownika. 17
- 17. Instrukcja przekazywania danych osobowych do państw spoza Europejskiego Obszaru Gospodarczego. 18
- 18. Postanowienia końcowe. 18
- 19. Wykaz załączników.. 18
§ 1. Słowniczek.
Ilekroć w niniejszym dokumencie jest mowa o:
- Administratorze – należy przez to rozumieć Edukacyjną Wyspę Małego Króla, samodzielnie ustalającego cele i sposoby przetwarzania danych osobowych.
- Anonimizacji danych – należy przez to rozumieć takie przekształcenie danych osobowych, po którym nie można już przyporządkować poszczególnych informacji osobistych lub rzeczowych do określonej lub możliwej do zidentyfikowania osoby fizycznej albo można tego dokonać jedynie niewspółmiernie dużym nakładem czasu, kosztów i sił, np. zamazanie danych osobowych w dokumentacji papierowej lub trwałe zaszyfrowanie danych w systemie informatycznym.
- Czynności przetwarzania danych osobowych – należy przez to rozumieć zespół (proces) powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane, np. rekrutacja pracowników, prowadzenie akt pracowniczych.
- Danych osobowych – należy przez to rozumieć wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej informacje zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; - Danych wrażliwych – należy przez to rozumieć dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometrycznych, dane dotyczące zdrowia, seksualności lub orientacji seksualnej; a także dane osobowe
wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa. - Haśle – należy przez to rozumieć ciąg znaków literowych, cyfrowych, a także znaków specjalnych.
- Identyfikatorze – należy przez to rozumieć ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w Systemie informatycznym.
- Naruszeniu ochrony danych osobowych – należy przez to rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- Odbiorcy – należy przez to rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.
- Odebraniu dostępu do Infrastruktury Informatycznej – należy przez to rozumieć podjęcie wszelkich niezbędnych działań, które skutecznie uniemożliwią Użytkownikowi dostęp do Infrastruktury Informatycznej. Odebranie dostępu do Infrastruktury Informatycznej zależy od specyfiki danego przypadku i może polegać w szczególności na: fizycznym zwrocie urządzeń telekomunikacyjnych, zmianie hasła do platformy internetowej, likwidacji konta, itp.
- Państwie trzecim – należy przez to rozumieć państwo, które nie jest członkiem Europejskiego Obszaru Gospodarczego.
- Personelu – należy przez to rozumieć pracowników, współpracowników Edukacyjnej Wyspy Małego Króla, a także osoby odbywające praktykę lub staż w Edukacyjnej Wyspie Małego Króla.
- Polityce – należy przez to rozmieć niniejszą Politykę Ochrony Danych Osobowych;
- Podmiocie przetwarzającym – należy przez to rozumieć osobę fizyczną lub prawną, której Administrator powierzył przetwarzanie danych osobowych w swoim imieniu.
- Pracowniku – należy przez to rozumieć osobę fizyczną świadczącą na rzecz Edukacyjnej Wyspy Małego Króla pracę na podstawie umowy o pracę.
- Prezesie UODO – należy przez to rozumieć Prezesa Urzędu Ochrony Danych Osobowych;
- Pseudonimizacji danych – należy przez to rozumieć przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, np. poprzez przypisanie osobie unikatowego i poufnego identyfikatora.
- Przeterminowanych danych osobowych – należy przez to rozumieć dane osobowe, co do których cel w którym dane te były przetwarzane ustał lub został zrealizowany.
- Przetwarzaniu – należy przez to rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
- Rejestrze – należy przez to rozumieć rejestr czynności przetwarzania, o którym mowa w art. 30 ust. 1
- RODO – należy przez to rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
- Subprocesorze – podmiot, któremu podmiot przetwarzający podpowierzył przetwarzanie danych osobowych.
- Infrastrukturze informatycznej – należy przez to rozumieć stosowany przez Edukacyjną Wyspę Małego Króla zespół współpracujących ze sobą urządzeń informatycznych i oprogramowań (w szczególności komputery, smartfony, tablety, sieci, laptopy, serwery, poczta elektroniczna, programy kadrowe, systemy informatyczne, platformy internetowe, itp.), zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci urządzenia końcowego.
- Ustawie – należy przez to rozumieć Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych.
- Użytkowniku – należy przez to rozumieć członka Personelu uprawnionego do korzystania
z Infrastruktury informatycznej. - Współpracowniku – należy przez to rozumieć osobę fizyczną, niebędącą pracownikiem, świadczącą na rzecz Edukacyjnej Wyspy Małego Króla usługi na podstawie umowy cywilnoprawnej i która to swoje zadania wykonuje za pomocą narzędzi i sprzętu zapewnionego przez Edukacyjną Wyspę Małego Króla.
- Zarządzający – należy przez to rozumieć Przemysława Króla.
§ 2. Zakres obowiązywania Polityki.
- Polityka określa zasady oraz procedury przetwarzania i ochrony danych osobowych stosowane w działalności Edukacyjnej Wyspy Małego Króla.
- Do stosowania Polityki zobowiązany jest cały Personel.
- Polityka określa środki techniczne i organizacyjne stosowane przez Edukacyjną Wyspę Małego Króla w celu zapewnienia odpowiedniej ochrony przetwarzanych przez siebie danych osobowych.
- Zasady i procedury stosowania zabezpieczeń o charakterze techniczno – informatycznym, nieuregulowane w Polityce określa w pozostałym zakresie Instrukcja Zarządzania Infrastrukturą Informatyczną.
§ 3. Zasady dotyczące przetwarzania danych osobowych.
- Dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą – „zgodność z prawem, rzetelność i przejrzystość”;
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 RODO za niezgodne z pierwotnymi celami – „ograniczenie celu”;
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane – „minimalizacja danych”;
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane – „prawidłowość”;
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą – „ograniczenie przechowywania”;
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych – „integralność i poufność”.
- Personel jest odpowiedzialny za przestrzeganie Polityki, w szczególności powyższych zasad
i musi być w stanie wykazać ich przestrzeganie – „rozliczalność”.
§ 4. Procedura udzielania upoważnień do przetwarzania danych osobowych.
- Członek personelu może przystąpić do przetwarzania danych osobowych tylko pod warunkiem uprzedniego nadania upoważnienia do przetwarzania danych osobowych.
- Dyrektor placówki określa poziomy dostępu do danych osobowych.
- Upoważnienia do przetwarzania danych osobowych dla członka personelu udziela na piśmie umocowany do tego przez Zarządzającego Dyrektor placówki wskazując w nim m.in. zakres poziomów dostępu przetwarzania danych osobowych oraz systemy informatyczne, w których członek personelu będzie przetwarzał dane osobowe.
- Upoważnienie obowiązuje od dnia jego udzielenia do dnia odwołania lub do dnia rozwiązania stosunku pracy/zakończenia współpracy.
- Osoba upoważniona zobowiązana jest do niezwłocznego powiadomienia Dyrektora placówki w przypadku uzyskania dostępu do danych osobowych nieobjętych swoim upoważnieniem.
- Wzór upoważnienia do przetwarzania danych osobowych wraz z tabelą poziomów dostępu do danych osobowych stanowi załącznik nr 1 do Polityki.
- Dyrektor placówki prowadzi ewidencję udzielonych upoważnień.
- Wzór ewidencji udzielonych upoważnień do przetwarzania danych osobowych stanowi załącznik nr 2 do Polityki.
- W przypadku zakończenia współpracy z danym członkiem personelu Odbiera się mu dostęp do Infrastruktury Informatycznej (w szczególności do służbowej poczty elektronicznej, systemów informatycznych, urządzeń telekomunikacyjnych, a także do służbowych platform internetowych). Za realizację niniejszego postanowienia odpowiedzialny jest Dyrektor placówki.
§ 5. Procedura powierzenia przetwarzania danych osobowych.
- W przypadku, gdy Administrator planuje powierzyć przetwarzanie danych osobowych, Dyrektor placówki zobowiązany jest przeprowadzić weryfikację czy podmiot przetwarzający, z którego usług Administrator zamierza skorzystać zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
- W ramach weryfikacji, o której mowa w ust. 1 w miarę możliwości należy sprawdzić,
w szczególności:
- ankietę załączoną do wzoru umowy powierzenia przetwarzania danych osobowych;
- opinię klientów i kontrahentów podmiotu przetwarzającego na jego temat;
- posiadanie certyfikatów z zakresu ochrony danych osobowych;
- wdrożenie procedury z zakresu ochrony danych osobowych;
- wdrożenie innych środków technicznych i organizacyjnych zapewniających należytą ochronę danych przeznaczonych do powierzenia.
- Po przeprowadzeniu weryfikacji Zarządzający lub osoba przez niego wyznaczona podejmuje decyzję o powierzeniu przetwarzania danych osobowych.
- W przypadku pozytywnej weryfikacji Administrator zawiera zgodną z art. 28 RODO umowę powierzenia przetwarzania danych osobowych – w miarę możliwości według wzoru, który stanowi załącznik nr 3 do Polityki.
- Zapisy ust. 1 – 3 stosuje się odpowiednio do weryfikacji subprocesorów zaproponowanych przez podmiot przetwarzający.
- Dokumentację potwierdzającą przeprowadzenie weryfikacji (np. wydruki stron internetowych, korespondencja mailowe, itp.) przechowuje się w przeznaczonej do tego teczce lub segregatorze wraz z zawartą umową powierzenia przetwarzania danych osobowych.
- Dyrektor placówki prowadzi listę podmiotów przetwarzających oraz zaakceptowanych subprocesorów.
- Lista podmiotów przetwarzających oraz zaakceptowanych subprocesorów stanowi załącznik nr 4 do Polityki.
- W przypadku zakończenia współpracy z danym podmiotem przetwarzającym odbiera się mu dostęp do Infrastruktury Informatycznej (w szczególności do systemów informatycznych, urządzeń telekomunikacyjnych, a także do firmowych platform internetowych). Wraz z zakończeniem współpracy z podmiotem przetwarzającym żąda się od niego – w zależności od charakteru danego przetwarzania – usunięcia lub zwrotu powierzonych danych osobowych, a także odbiera się od podmiotu przetwarzającego oświadczeniu o usunięciu / zwrocie danych osobowych. Za realizację niniejszego postanowienia odpowiedzialny jest Dyrektor placówki.
§ 6. Prowadzenie Rejestru czynności przetwarzania danych osobowych.
- W celu zapewnienia skuteczniejszej ochrony danych osobowych, a także realizacji obowiązków, o których mowa w art. 30 RODO Administrator prowadzi Rejestr czynności przetwarzania danych osobowych oraz gdy jest to prawnie wymagane również Rejestr kategorii czynności przetwarzania danych osobowych (łącznie zwane dalej: „Rejestrami”).
- Rejestry prowadzi i na bieżąco aktualizuje Dyrektor placówki.
- Członkowie personelu na polecenie Dyrektora placówki zobowiązani są udzielać wszelkich informacji i wyjaśnień niezbędnych do prawidłowego wypełnienia i prowadzenia Rejestrów, w szczególności informacji na temat przetwarzanych przez siebie danych osobowych, tj.:
- czynności przetwarzania, w których uczestniczą,
- celach przetwarzania,
- opisu kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
- kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
- gdy ma to zastosowanie: przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń,
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
- Wzór Rejestru czynności przetwarzania danych osobowych stanowi załącznik nr 5 do Polityki.
- Wzór Rejestru kategorii czynności przetwarzania danych osobowych stanowi załącznik nr 6 do Polityki.
§ 7. Ocena stopnia bezpieczeństwa przetwarzania danych osobowych.
- W celu zapewnienia bezpieczeństwa przetwarzanych danych osobowych, a także w celu realizacji obowiązków, o których mowa w art. 32 RODO przeprowadza się Ocenę stopnia bezpieczeństwa danych osobowych przetwarzanych przez Administratora.
- Każdy członek personelu, który w imieniu Administratora przetwarza dane osobowe zobowiązany jest przeprowadzić stanowiskową ocenę ryzyka przetwarzania danych osobowych. Terminy stanowiskowej oceny ryzyka określa Zarządzający.
- Przeprowadzając stanowiskową ocenę ryzyka członek personelu sporządza raport.
- Sporządzając raport stanowiskowej oceny ryzyka członek personelu szacuje:
- prawdopodobieństwo wystąpienia naruszenia ochrony danych osobowych oraz uzasadnia swoją ocenę;
- stopień szkodliwości w przypadku hipotetycznego wystąpienia naruszenia ochrony danych osobowych oraz uzasadnia swoją ocenę.
- Wzór raportu stanowiskowej oceny ryzyka stanowi załącznik nr 7 do Polityki.
- Na podstawie informacji zebranych wskutek czynności, o których mowa w ust. 2 – 4,
a także wskutek innych własnych działań Dyrektor placówki opracowuje zbiorczy raport oceny ryzyka dla każdej czynności przetwarzania danych osobowych. - Wzór zbiorczego raportu oceny ryzyka czynności przetwarzania danych osobowych stanowi załącznik nr 8 do Polityki.
- Zarządzający po analizie zbiorczych raportów, mając na uwadze stan aktualnej wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania podejmuje decyzje w przedmiocie zmiany lub wdrożenia zupełnie nowych odpowiednich środków technicznych i organizacyjnych mających za zadanie zagwarantowanie stopnia bezpieczeństwa odpowiadającego ryzyku oszacowanemu na podstawie niniejszej procedury.
§ 8. Polityka przeprowadzenia oceny Privacy by design oraz oceny skutków dla ochrony danych.
- Osoby planujące zmianę lub wdrożenie nowego rozwiązania w działalności Administratora, w szczególności rozwiązania biznesowego, informatycznego, technologicznego lub organizacyjnego powinny każdorazowo rozważyć czy realizacja takiego rozwiązania będzie wiązała się z przetwarzaniem danych osobowych. Proces takiej analizy należy udokumentować.
- Jeżeli realizacja rozwiązania, o którym mowa w ust. 1 będzie wiązała się z przetwarzaniem danych osobowych należy uprzednio przygotować i wdrożyć, a następnie monitorować działanie odpowiednich środków technicznych i organizacyjnych (np. pseudonimizacja), zaprojektowanych w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą (Privacy by design).
- W celu określenia czy środki techniczne i organizacyjne są odpowiednie należy uwzględniać stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikającej z przetwarzania.
- Ponadto jeżeli realizacja rozwiązania, o którym mowa w ust. 1 będzie wiązała się
z przetwarzaniem danych osobowych należy również rozważyć czy nie występuje obowiązek przeprowadzenia oceny skutków dla ochrony danych, o której mowa w art. 35 RODO, tj. w przypadku gdy:- dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych,
- wymagana jest systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
- następuje przetwarzanie na dużą skalę danych wrażliwych;
- wymagane jest systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie;
- planowane rozwiązanie objęte jest opublikowanym przez Prezesa UODO wykazem rodzajów operacji przetwarzania, o którym mowa w art. 35 ust. 4 RODO.
- Osobami odpowiedzialnymi za realizację obowiązków, o których mowa w ust. 1 – 4 są członkowie personelu planujący zmianę lub wdrożenie nowego rozwiązania.
- Wzór Oceny skutków ochrony danych osobowych stanowi załącznik nr 9 do Polityki.
§ 9. Poufność oraz środki bezpieczeństwa.
- Personel zobowiązany jest chronić przetwarzane dane osobowe (w szczególności dane wrażliwe uczniów), a także zachować je w poufności. W tym celu członkowie personelu zobowiązani są zawrzeć z Administratorem Umowę o zachowaniu poufności, której wzór stanowi załącznik nr 10 do Polityki.
- Po zakończeniu pracy wszelką dokumentację należy schować i przechowywać w szafkach lub szufladach zamykanych na klucz (polityka czystego biurka). Zabronione jest pozostawianie kluczy w zamkach zabezpieczanych szafek lub szuflad po zakończeniu dnia pracy.
- Wszystkie klucze do szafek i szuflad – w których przechowuje się dokumentację – po zakończeniu pracy należy zdeponować w wybranej zamykanej na klucz szafie.
- Osoby postronne oraz personel nieposiadający odpowiedniego upoważnienia do przetwarzania danych osobowych mogą przebywać w pomieszczeniach, w których przetwarza się dane osobowe tylko pod nadzorem upoważnionego członka personelu.
- Ogranicza się dostęp do poszczególnych rodzajów dokumentów tym członkom personelu, którzy nie potrzebują ich do wykonywania swoich obowiązków służbowych oraz nie posiadają upoważnienia do przetwarzania danych osobowy znajdujących się w treści tych dokumentów.
- Zakazuje się pozostawiania i/lub wywieszania w ogólnodostępnych i widocznych miejscach dokumentów zawierających lub mogących zawierać dane osobowe, w szczególności na parapetach, na tablicach w korytarzu, siedzeniach służbowych samochodów, w drukarkach, itp.
- Dokumentację, która w danej chwili nie jest konieczna do realizacji obowiązków służbowych, a która nie podlega jeszcze archiwizacji przechowuje się w szafach i szufladach zamykanych na klucz.
- W przypadku każdorazowego opuszczenia przez personel pomieszczenia, w którym przetwarza się dane osobowe, drzwi do takiego pomieszczenia powinny zostać zamknięte na klucz. Zakazane jest pozostawianie kluczy w zamkach drzwi.
- W celu wzmocnienia poziomu poufności i zapobiegnięcia przypadkowemu ujawnieniu danych osobowych personel nie może prowadzić rozmów na temat danych osobowych, w szczególności danych wrażliwych w ogólnodostępnych przestrzeniach takich jak: poczekalnie, hol główny, korytarze, itp.
- Przeprowadza się okresowe szkolenia członków personelu z zakresu ochrony danych osobowych oraz szkolenia wdrożeniowe dla nowo przyjętych członków personelu.
- Dyrektor placówki ustala plan wewnętrznych przeglądów oraz audytów w zakresie realizowania przepisów ochrony danych osobowych oraz wewnętrznej dokumentacji ochrony danych osobowych, w szczególności Polityki.
- Dyrektor placówki mocą swoich zarządzeń oraz indywidualnych poleceń może wprowadzać inne niewymienione w Polityce lub w Instrukcji Zarządzania Infrastrukturą Informatyczną środki organizacyjno – techniczne bezpieczeństwa.
§ 10. Polityka Zarządzania naruszeniami ochrony danych osobowych.
- W przypadku, gdy członek personelu spostrzeże naruszenie ochrony danych osobowych lub zauważy choćby realne ryzyko wystąpienia takiego naruszenia zobowiązany jest natychmiast poinformować o tym fakcie Zarządzającego.
- Za naruszenie ochrony danych osobowych uważa się w szczególności:
- zagubienie lub kradzież nośnika/urządzenia,
- zagubienie, kradzież lub pozostawienie w niezabezpieczonej lokalizacji, papierowej dokumentacji zawierającej dane osobowe,
- utracenie papierowej korespondencji przez operatora pocztowego lub otwarcie jej przed zwróceniem jej do nadawcy,
- nieuprawniony dostęp do danych osobowych lub pomieszczeń, w których się one znajdują,
- nieuprawnione uzyskanie dostępu do danych osobowych poprzez złamanie zabezpieczeń informatycznych lub fizycznych,
- złośliwe oprogramowanie ingerujące w poufność, integralność i dostępność danych osobowych,
- naruszenie lub próba naruszenia integralności danych rozumiane jako wszelkie modyfikacje, zniszczenia lub próba ich dokonania przez osoby nieuprawnione lub uprawnione działające w złej wierze,
- uzyskanie poufnych informacji przez pozornie zaufaną osobę w oficjalnej komunikacji elektronicznej, takiej jak e-mail czy komunikator internetowy (phishing),
- nieprawidłowa i nieodwracalna anonimizacja, bądź usunięcie danych osobowych,
- niezamierzona publikacja,
- dane osobowe wysłane do niewłaściwego odbiorcy,
- ujawnienie (w tym ustne udostępnienie) danych osobowych niewłaściwej osobie,
- zniszczenie, uszkodzenie lub wszelkie inne próby nieusprawiedliwionego dostępu do systemu informatycznego,
- pobranie podejrzanego pliku (np. zatytułowanego faktura VAT) z korespondencji mailowej od nieznanego nadawcy.
- Do czasu przybycia Zarządzającego członek personelu zobowiązany jest natychmiast podjąć wszelkie możliwe działania zaradcze, aby zapobiec i zminimalizować skutki zaistniałego naruszenia.
- Jeżeli po sprawdzeniu zgłoszenia Zarządzający dojdzie do przekonania, iż wystąpiło naruszenie ochrony danych osobowych podejmuje decyzję w przedmiocie:
- wszczęcia procedury, o której mowa w art. 33 ust. 1 RODO tj. powiadomienia Prezesa UODO o naruszeniu, co powinno nastąpić nie później niż w ciągu 72 h od stwierdzenia naruszenia ochrony danych osobowych,
- wszczęcia procedury, o której mowa w art. 34 RODO tj. powiadomienia o naruszeniu osób, których danych osobowych dotyczy to naruszenie,
- zabezpieczenia i zminimalizowania skutków zaistniałego naruszenia,
- przeprowadzenia powtórnej oceny bezpieczeństwa danych osobowych w obszarze działalności Administratora, w którym wystąpiło naruszenie,
- pociągnięcia do ewentualnej odpowiedzialności prawnej osób odpowiedzialnych za wystąpienie naruszenia.
- Z postępowania wyjaśniającego, o którym mowa w poprzednim ustępie sporządza się raport.
- Wzór raportu stanowi załącznik nr 11 do Polityki.
- Dyrektor placówki prowadzi Ewidencję naruszeń ochrony danych osobowych, w której podaje się:
- okoliczności naruszenia,
- skutki naruszenia,
- opis działań zaradczych,
- datę i godzinę wykrycia naruszenia,
- decyzję i uzasadnienie w przedmiocie powiadomienia Prezesa UODO o naruszeniu,
- datę i godzinę oraz sposób powiadomienia Prezesa UODO,
- decyzję i uzasadnienie w przedmiocie powiadomienia osób, których danych osobowych dotyczy naruszenie,
- okoliczności powiadomienia osób, których danych osobowych dotyczy to naruszenie.
- Wzór Ewidencji naruszeń ochrony danych osobowych stanowi załącznik nr 12 do Polityki.
- Dyrektor placówki przechowuje całą dokumentację związaną z zarządzaniem naruszeniami ochrony danych osobowych.
- Wobec osoby, która w przypadku naruszenia lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w Polityce, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, może zostać wszczęte postępowanie dyscyplinarne lub porzą Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszej Polityki mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, a także mogą stanowić podstawę do rozwiązania umowy o współpracy.
§ 11. Polityka informacyjna.
- W celu realizacji obowiązków informacyjnych określonych w art. 13 – 14 RODO stosuje się klauzule informacyjne, które stanowią załączniki nr 13 do Polityki.
- Członek personelu pozyskując dane osobowe bezpośrednio od osoby, których dane dotyczą zobowiązany jest niezwłocznie przedstawić takiej osobie odpowiednią klauzulę informacyjną, w szczególności poprzez:
- wręczenie jej do podpisu odpowiedniego egzemplarza klauzuli informacyjnej,
- w miarę możliwości wysłania klauzuli informacyjnej drogą poczty elektronicznej.
- Pozyskując dane osobowe członek personelu musi sprawdzić czy w stosunku do tych danych jest upoważniony do ich przetwarzania, a także czy Administrator posiadają podstawę prawną do ich przetwarzania.
- Na oficjalnej stronie internetowej Administratora zamieszcza się teksty wszystkich klauzul informacyjnych.
- Członkowie personelu w stopce swego służbowego maila, a także w miarę możliwości na innych dokumentach za pośrednictwem, których pozyskuje się dane osobowe zamieszczają uproszczoną klauzulę informacyjną zawierającą odesłanie na stronę internetową, o której mowa w ust. 4.
- Wzór uproszczonej klauzuli informacyjnej stanowi załącznik nr 14 do Polityki.
- Członek personelu pozyskując dane osobowe nie od osoby, której dotyczą (np. za pośrednictwem Internetu lub od osoby trzeciej) zobowiązany jest poinformować ją skąd pozyskał jej dane, a także przedstawić takiej osobie odpowiednią klauzulę informacyjną – w miarę możliwości – poprzez:
- wręczenie jej do podpisu odpowiedniego egzemplarza klauzuli informacyjnej lub
- wysłanie klauzuli informacyjnej drogą poczty elektronicznej.
- Klauzule informacyjne, o których mowa w ust. 7 członek personelu przedstawia:
- w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą;
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
- Przepis ust. 7 nie stosuje się gdy:
- osoba, której dane dotyczą, dysponuje informacjami zawartymi w klauzuli informacyjnej;
- udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. W takich przypadkach członek personelu podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą;
- pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlegają Administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
- dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
- Jeżeli członek personelu planuje dalej przetwarzać dane osobowe w celu innym niż cel,
w którym te dane zostały pozyskane pierwotnie, przed takim dalszym przetwarzaniem:
- zobowiązany jest uprzednio uzyskać zgodę przełożonego, a następnie;
- poinformować osobę, której dane dotyczą, o tym innym celu oraz udzielić jej wszelkich innych stosownych informacji, o których mowa w art. 13 ust. 2 oraz
14 ust. 2 RODO.
- Członek personelu zobowiązany jest udokumentować fakt przedstawienia klauzuli informacyjnej poprzez:
- zbiorcze przechowywanie podpisanych klauzul informacyjnych w teczce zamykanej w szafce na klucz,
- wyodrębnienie specjalnego folderu w służbowej poczcie elektronicznej na przesłane wiadomości email zawierające klauzule informacyjne.
§ 12. Polityka realizacji praw wskazanych w art. 15 – 22 RODO.
- Niniejsza polityka określa zasady postępowania związanego z wniesieniem żądania wykonania praw, o których mowa w 15 – 22 RODO, tj.:
- prawa dostępu do danych,
- prawa do sprostowania danych,
- prawa do bycia zapomnianym,
- prawa do ograniczenia przetwarzania,
- prawa do przeniesienia danych,
- prawa do sprzeciwu.
- W przypadku, gdy do Administratora wpłynie żądanie dotyczące wykonania któregoś z praw wskazanych w ust. 1 należy je niezwłocznie przekazać Dyrektorowi placówki.
- Dyrektor placówki bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22 RODO. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań.
- W terminie miesiąca od otrzymania żądania Dyrektor placówki informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
- Dyrektor placówki archiwizuje korespondencję i dokumenty potwierdzające wykonanie ust.2 – 4.
- Jeżeli Administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
- W przypadku, gdy zostanie zgłoszone uzasadnione żądanie usunięcia danych osobowych (tzw. prawo do bycia zapomnianym – art. 17 RODO) Dyrektor placówki informuje personel o obowiązku usunięcia danych osobowych wskazując jednocześnie zakres tego usunięcia (rodzaj danych osobowych oraz zasoby, z których należy dokonać usunięcia). Jeżeli z przyczyn technicznych nie jest możliwe usunięcie danych osobowych stosuje się mechanizm anonimizacji lub fizyczne zniszczenia nośnika danych.
- Jeżeli Edukacyjna Wyspa Małego Króla upubliczniła dane osobowe, a na mocy art. 17 ust. 1 RODO ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
- Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16, art. 17 ust. 1 i art. 18 RODO, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informują osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
§ 13. Polityka usuwania i niszczenia danych.
- Przechowywanie danych osobowych przez Administratora w formie umożliwiającej identyfikację osoby, której dane dotyczą nie może trwać dłużej niż przez okres niezbędny do realizacji celów, w którym dane te są przetwarzane. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów:
- archiwalnych w interesie publicznym,
- do celów badań naukowych lub historycznych lub
- do celów statystycznych na mocy art. 89 ust. 1 RODO,
– z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą.
- Na danym stanowisku pracy przeprowadza się przegląd w celu identyfikacji i ustalenia terminu przedawnienia danych osobowych. Harmonogram przeglądów oraz plan przeglądu cyklicznego dla poszczególnych działów oraz samoistnych stanowisk pracy opracowuje Dyrektor placówki.
- Niezależnie od cyklicznych przeglądów każdy członek personelu w ramach swojego stanowiska pracy zobowiązany jest na bieżąco monitorować przechowanie przeterminowanych danych osobow Dotyczy to danych osobowych niezależnie od formy ich utrwalenia:
- dokumenty papierowe,
- systemy informatyczne,
- mobilne nośniki danych,
- poczta elektroniczna.
- W przypadku, gdy w ramach cyklicznego przeglądu lub wskutek bieżących działań zidentyfikuje się przeterminowane lub bliskie przeterminowania (1 rok) dane osobowe powiadamia się o tym fakcie Dyrektor placówki, a następnie:
- weryfikuje się czy te dane osobowe w rzeczywistości mają status przeterminowanych lub kiedy go uzyskają,
- ustala się w jakich zasobach przeterminowane dane osobowe mogą się jeszcze znajdować,
- jakim podmiotom oraz osobom powierzono/udostępniono przeterminowane dane osobowe;
- ustala się termin oraz zakres usunięcia/zniszczenia/anonimizacji przeterminowanych danych osobowych.
- Gdy dane osobowe nie uległy jeszcze przeterminowaniu, ale ich papierowa wersja podlega archiwizacji w zakładowym archiwum członek personelu przed złożeniem dokumentów do archiwum przeprowadza konsultację z Dyrektorem placówki w celu ustalenia:
- kiedy nastąpi moment przeterminowania danych osobowych znajdujących się
w treści archiwizowanych dokumentów, - w jakiej jeszcze formie archiwizowane dane osobowe zostały utrwalone oraz w jakich zasobach mogą być jeszcze przechowywane,
- jakim podmiotom powierzono do przetwarzania archiwizowane dane osobowe,
- w jaki sposób zaznaczyć, zarchiwizować i zabezpieczyć dane w systemach informatycznych i na skrzynce pocztowej.
- Do archiwizowanej dokumentacji dołącza się notatkę zawierającą informacje, o których mowa w ust. 5 pkt 1 -4).
- W zależności od technologicznych możliwości przeterminowane dane osobowe należy usunąć, zniszczyć lub poddać procesowi anonimizacji z wszelkich zasobów Administratora niezależnie od formy ich utrwalenia. Ponadto Administrator wydają wszystkim podmiotom przetwarzającym oraz subprocesorom przetwarzającym w ich imieniu przeterminowane dane osobowe polecenie ich usunięcia lub zniszczenia.
- Z usunięcia/zniszczenia/anonimizacji sporządza się protokół oraz dokonuje się wpisu
w Ewidencji usuniętych danych. - Wzór protokołu usunięcia danych osobowych stanowi załącznik nr 15 do Polityki.
- Ewidencja usunięcia przeterminowanych danych osobowych stanowi załącznik nr 18 do Polityki.
- Niszczenie papierowych dokumentów może odbywać się tylko za pomocą niszczarek.
§ 14. Polityka haseł oraz zabezpieczenia informatyczne.
- Użytkownik korzystając z poszczególnych urządzeń wchodzących w skład Infrastruktury Informatycznej zobowiązany jest do każdego z tych urządzeń stosować proces uwierzytelnienia za pomocą identyfikatora i hasła, o ile jest to technicznie możliwe. W stosunku do elementów Infrastruktury Informatycznej, co do których ze względów technologicznych nie jest możliwe zastosowanie zabezpieczenia w postaci hasła (np. telefony komórkowe), wdraża się inne adekwatne środki uwierzytelnienia i inne instrumenty dostępu jak np. kod pin, oraz stosuje się odpowiednio zapisy ust. 1 – 11.
- O ile jest to technologiczne możliwe, to każdy element Infrastruktury Informatycznej powinien być zabezpieczony niepowtarzalnym hasłem przypisanym osobno i unikalnie do każdego Użytkownika. W przypadku, gdy z przyczyn technicznych odgórne nadanie lub zmiana hasła jest niemożliwe, to Użytkownik po uprzednim poinformowaniu Dyrektora placówki wyznaczonej zobowiązany jest je ustawiać samodzielnie.
- Użytkownik zobowiązany jest do niezwłocznej zmiany nowego hasła wg wytycznych zawartych w niniejszej Polityce.
- Hasła dostępu do systemu informatycznego muszą spełniać poniższe warunki:
- składać się z co najmniej 12 znaków,
- w haśle należy użyć znaków minimum czterech kategorii: A-Z, a-z, 0-9, znaki specjalne.
- Ponadto hasła powinny być unikatowe co oznacza, że nie wolno stosować łatwych haseł jak np. swoje imię, nazwisko, adres e-mail, data urodzenia, prostych ciągów znaków, np. „123456”, „QWERTY” oraz innych popularnych haseł.
- Hasło podlega zmianie nie rzadziej niż co rok lub niezwłocznie w przypadku podejrzenia, iż mogły z nim się zapoznać nieuprawnione osoby.
- Hasło musi różnić się od poprzednio używanych.
- Użytkownik zobowiązany jest do:
- nieujawniania hasła innym osobom, w tym innym Użytkownikom,
- zachowania hasła w tajemnicy, również po jego wygaśnięciu,
- niezapisywania domyślnie hasła w pamięci urządzeń;
- postępowania z hasłami w sposób uniemożliwiający dostęp do nich osobom trzecim;
- przestrzegania zasad dotyczących jakości i częstotliwości zmian hasła;
- wprowadzania hasła do systemu w sposób minimalizujący podejrzenie go przez innych użytkowników systemu
- W przypadku utraty lub zapomnienia hasła Użytkownik powinien zwrócić się do Dyrektora placówki o wygenerowanie nowego hasła.
- W przypadku podejrzenia zapoznania się z hasłem przez osobę nieuprawnioną Użytkownik zobowiązany jest do natychmiastowej zmiany hasła oraz powiadomienia o zaistniałym fakcie Dyrektora placówki zgodnie z polityką zarządzania naruszeniami ochrony danych osobowych.
- Po uzyskaniu zgody Dyrektora placówki i po przeszkoleniu przez służby informatyczne dopuszczalne jest stosowanie oprogramowania typu Manager haseł.
- W celu zabezpieczenia Infrastruktury Informatycznej zabrania się:
1) uruchamiania jakiegokolwiek oprogramowania, które nie zostało zatwierdzone do użytku przez Dyrektora placówki;
2) korzystania z prywatnych nośników danych, poczty, komputerów, smartfonów, itp. bez uzyskania uprzedniej zgody Dyrektora placówki lub Zarządzającego;
3) otwierania oraz pobierania podejrzanych plików oraz wiadomości e-mail;
4) podłączania służbowych urządzeń do niezidentyfikowanych sieci zewnętrznych oraz nośników danych.
- Personel może wykorzystywać sprzęty prywatne jedynie za uprzednią zgodą Dyrektora placówki lub Zarządzającego. W takim przypadku, po wykonaniu zadania, personel jest zobowiązany niezwłocznie usunąć wszelkie dane z nim związane z prywatnego sprzętu.
- Sprzęty służbowe są przypisane do konkretnej sali lekcyjnej. Sale są zamykane na klucz. Komputery podlegają zahasłowaniu zgodnie z niniejszym paragrafem.
- W przypadku spostrzeżenia objawów mogących wskazywać na obecność niebezpiecznego oprogramowania Użytkownik zobowiązany jest powiadomić o tym fakcie Zarządzającego lub osobę przez niego wyznaczoną. Do objawów powyższych można zaliczyć:
1) istotne spowolnienie działania systemu informatycznego,
2) nietypowe działanie aplikacji,
3) nietypowe komunikaty,
4) utratę danych lub modyfikację danych.
- W celu zapobiegnięcia przypadkowemu udostępnieniu danych osobowych należy stosować politykę czystego ekranu, co oznacza nieumieszczanie na pulpitach urządzeń skrótów i plików mogących swą nazwą zdradzać dane osobowe.
- Korespondencja mailowa oraz przenośne nośniki informacji zawierające dane osobowe w szczególności zawierające dane wrażliwe powinny zostać poddane mechanizmowi szyfrowania lub pseudonimizacji. Kod lub hasło potrzebne do odszyfrowania plików należy wysyłać do upoważnionego odbiorcy korespondencji mailowej za pośrednictwem smsa.
- Zawartość przenośnych nośników danych, w których przechowuje się dane osobowe podlega natychmiastowemu usunięciu po jej docelowym wykorzystaniu. Każdorazowo należy szyfrować przenośne nośniki danych jeżeli za ich pomocą przenosi się dane osobowe.
- Dyski komputerów podlegają mechanizmowi szyfrowania.
- Stopka służbowego maila powinna zawierać klauzulę instruującą obiorcę jak należy postąpić w przypadku, gdy korespondencja została omyłkowo skierowana do niego.
- Wysyłając jedną wspólną wiadomość e-mail do wielu niezwiązanych bezpośrednio ze sobą odbiorców należy użyć funkcji maskującej adresy mailowe odbiorców.
- Po zakończeniu współpracy z danym Użytkownikiem dezaktywuje się wszelkie hasła, kody oraz inne instrumenty dostępu, które zostały przypisane do takiego Użytkownika, a Użytkownik przekazuje znane mu hasła i kody dostępu swojemu przełożonemu.
- Praca zdalna Użytkownika z wykorzystaniem technologii zdalnego dostępu do służbowego komputera (np. technologia TeamViewer) jest dopuszczalna tylko po uzyskaniu uprzedniej zgody Dyrektora placówki i po przeprowadzeniu instruktażu jak należy bezpiecznie korzystać z takiej technologii.
- Poszczególne elementy Infrastruktury Informatycznej zabezpiecza się odpowiednimi programami antywirusowymi, itp.
- Użytkownik rozpoczynając pracę w Infrastrukturze Informatycznej przetwarzającej dane osobowe, powinien:
- uruchomić komputer lub inne urządzenie i wprowadzić niezbędne identyfikator oraz hasła;
- w przypadku problemów z rozpoczęciem pracy spowodowanych odrzuceniem przez system wprowadzonego identyfikatora lub hasła, natychmiast skontaktować się z przełożonym.
- Zawieszając pracę w Infrastrukturze Informatycznej np. odchodząc od stanowiska pracy, użytkownik powinien dane urządzenie zawiesić lub zablokować. Kontynuacja pracy powinna nastąpić dopiero po odblokowaniu ekranu wprowadzając hasło. Blokowanie powinno nastąpić automatycznie po upływie 5 minut (w przypadków komputerów)
i 2 minut (w przypadku pozostałych urządzeń) od braku aktywności Użytkownika. - Kończąc pracę w Infrastrukturze Informatycznej, Użytkownik wylogowuje się ze wszystkich aplikacji oraz urządzeń, z których korzystał.
§ 15. Procedura postępowania z danymi osobowymi dziecka oraz upoważnianie osób trzecich do odbioru dzieci
- Każdorazowo Pracownik, do którego zgłasza się podmiot zewnętrzny z prośbą o udostępnienie danych osobowych dziecka, w tym danych wrażliwych (np. opinia, orzeczenie dot. dziecka), zobowiązany jest:
- nie udzielać żadnych informacji telefoniczne,
- zobowiązać podmiot do przesłania wniosku w formie pisemnej, w treści którego zostanie wskazana podstawa prawna przekazania wnioskowanych danych osobowych,
- zweryfikować podmiot, który zgłasza się z wnioskiem o udostępnienie danych osobowych Ucznia,
- przeprowadzić ocenę prawnej możliwości udostępnienia danych osobowych,
- o ile zachodzi taka konieczność, udostępnić dane osobowe dziecka, o które podmiot wnioskował, w odpowiedni sposób zabezpieczając te dane osobowe.
- Edukacyjna Wyspa Małego Króla, w zakresie, w jakim zobowiązana jest udostępnić dane na podstawie przepisów prawa, w celach związanych z realizacją obowiązków podmiotów wykonujących zadania publiczne (np. sądy, kuratorzy) może udostępniać dane osobowe dziecka, w tym także dane wrażliwe, bez uzyskiwania uprzedniej zgody rodzica dziecka.
- W sytuacji, gdy z wnioskiem o udostępnienie danych osobowych dziecka zwraca się podmiot inny niż określony w ustępie poprzedzającym, Edukacyjna Wyspa Małego Króla przekierowuje prośbę bezpośrednio do rodzica dziecka, nie udostępniając żadnych danych osobowych ucznia.
- Wyjątkowo, po uprzednim uzyskaniu zgody pisemnej rodzica ucznia oraz Dyrektora placówki, Pracownik może udostępnić dane osobowe dziecka podmiotowi, o którym mowa w ustępie poprzedzającym.
- Rodzice dziecka mają prawo upoważnić osobę trzecią do odbioru dziecka z placówki poprzez wypełnienie formularza, o którym mowa w załączniku nr 17.
- Pracownicy, w celu weryfikacji tożsamości osoby trzeciej są zobowiązani do wglądu w jego dokument tożsamości (np. dowód osobisty) celem porównania danych znajdujących się tam, a danych znajdujących się na upoważnieniu.
§ 16. Procedura wykorzystywania wizerunku dziecka oraz wizerunku pracownika
- Edukacyjna Wyspa Małego Króla może, w celach promocyjno-informacyjnych, publikować zdjęcia wykonane podczas zajęć edukacyjnych w poniższych Social Mediach oraz na stronach internetowych:
- W ramach czynności określonej w ustępie poprzedzającym, Edukacyjna Wyspa Małego Króla może wykorzystywać wizerunek Pracowników oraz Dzieci.
- Edukacyjna Wyspa Małego Króla jest zobowiązana do pozyskania zgody Pracownika i rodzica Dzieci przed utrwaleniem i publikacją ich wizerunku w portalach określonych w ustępie 1. Wzór tych zgód stanowią odpowiednio załączniki nr 18 i 19.
- Zgoda Pracownika i rodzica Ucznia na wykorzystanie wizerunku jest dobrowolna i nie może wiązać się, zarówno dla rodzica Dziecka, Dziecka, jak i Pracownika z negatywnymi konsekwencjami w przypadku jej niewyrażenia lub cofnięcia.
- zgody mogą być cofnięte przez osobę je udzielającą w każdym czasie.
- Pracownicy, niezwłocznie po opublikowaniu zdjęć, zobowiązani są do trwałego usunięcia z pamięci prywatnych urządzeń telekomunikacyjnych (np. telefon komórkowy) tych zdjęć.
§ 17. Instrukcja przekazywania danych osobowych do państw spoza Europejskiego Obszaru Gospodarczego.
- W przypadku, gdy w ramach planowanej współpracy z kontrahentem zagranicznym spoza Europejskiego Obszaru Gospodarczego istnieje możliwość przekazania danych osobowych przez Administratora należy przeprowadzić poniższą procedurę weryfikacyjną.
- Należy ustalić czy Komisja europejska w stosunku do państwa trzeciego (terytorium lub określonego sektora), z którego wywodzi się potencjalny kontrahent stwierdziła w drodze decyzji, że państwo to (terytorium lub określony sektor) zapewnia odpowiedni stopień przestrzegania ochrony danych (art. 45 ust. 3 RODO). Pozytywna weryfikacja uzasadnia przekazanie danych osobowych bez uzyskiwania dodatkowych zezwoleń.
- W razie braku decyzji z art. 45 ust. 3 RODO Administrator mogą przekazać dane osobowe do państwa trzeciego, gdy zweryfikują czy państwo to zapewnia odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.
- W przypadku, gdy państwo nie spełnia warunków, o których mowa w ust. 2 – 3 dane osobowe można przekazać wyłącznie jeżeli zostaną spełnione wszystkie obostrzenia szczególnej sytuacji, o której mowa w art. 49 RODO.
§ 18. Postanowienia końcowe.
- Polityka jest dokumentem wewnętrznym i nie może być udostępniana osobom postronnym w żadnej formie bez zgody Dyrektora placówki.
- W sprawach nieuregulowanych w Polityce mają zastosowanie aktualnie obowiązujące przepisy prawa w zakresie ochrony danych osobowych, szczególnie RODO.
- Personel zobowiązany jest do bezwzględnego stosowania postanowień zawartych w niniejszej W wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących u Administratora, personel ma obowiązek stosować unormowania dalej idące, których stosowanie zapewni wyższy poziom ochrony danych osobowych.
- Zmiana Polityki powinna zostać przeprowadza w takim samym trybie jak jej przyjęcie. Zmiana treści załączników nie stanowi zmiany Polityki.
- Polityka wchodzi w życie 25.10.2023.
§ 19. Wykaz załączników
- Wzór upoważnienia do przetwarzania danych osobowych;
- Wzór ewidencji upoważnień do przetwarzania danych osobowych;
- Wzór umowy powierzenia przetwarzania danych osobowych;
- Wzór listy podmiotów przetwarzających oraz zaakceptowanych subprocesorów;
- Wzór rejestru czynności przetwarzania danych osobowych;
- Wzór rejestru kategorii czynności przetwarzania danych osobowych;
- Wzór raportu stanowiskowej oceny ryzyka;
- Wzór zbiorczego raportu oceny ryzyka;
- Wzór oceny skutków ochrony danych osobowych;
- Wzór umowy o zachowanie poufności;
- Wzór raportu z konsultacji;
- Wzór ewidencji naruszeń ochrony danych osobowych;
- Wzory klauzul informacyjnych;
- Wzór uproszczonej klauzuli informacyjnej;
- Wzór protokołu usunięcia danych osobowych;
- Wzór ewidencji usunięcia przeterminowanych danych osobowych;
- Wzór upoważnienia do odbioru dziecka wraz z klauzulą informacyjną;
- Wzór zgody rodzica na wykorzystywanie wizerunku dziecka;
- Wzór zgody pracownika na wykorzystywanie jego wizerunku.