Załącznik Nr 1

do Zarządzenia Nr 7/2018

Dyrektora Regionalnego Centrum Kultury Kurpiowskiej im. Ks. Władysława Skierkowskiego w Myszyńcu

w sprawie ustanowienia Polityki Ochrony Danych

w Regionalnym Centrum Kultury Kurpiowskiej im. ks. Władysława Skierkowskiego w Myszyńcu.

POLITYKA OCHRONY DANYCH

w Regionalnym Centrum Kultury Kurpiowskiej w Myszyńcu.

 

Zgodnie z art. 24 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwanego dalej „RODO” (Dz.Urz. UE L 119, s1) i ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych zwanej dalej „ustawą” (Dz.U.2018.1000), ustanawia się POLITYKĘ OCHRONY DANYCH (zwaną w dalszej części „Polityką”) w Regionalnym Centrum Kultury Kurpiowskiej w Myszyńcu.

Część I – Zasady przetwarzania i ochrony danych osobowych

§ 1

Pracownicy mający dostęp do danych osobowych przetwarzanych w Regionalnym Centrum Kultury Kurpiowskiej w Myszyńcu są zobowiązani do zapoznania się z niniejszą Polityką.

§ 2

  1. Przetwarzanie danych osobowych musi odbywać się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby której dane dotyczą przy zapewnieniu odpowiedniego ich bezpieczeństwa.
  2. Przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach gdy spełniony jest co najmniej jeden z warunków:
    1. osoba której dane dotyczą wyraziła zgodę na ich przetwarzanie,
    2. przetwarzanie jest niezbędne do wykonania umowy której stroną jest osoba której dane dotyczą lub do podjęcia działań na żądanie tej osoby przed zawarciem umowy,
    3. 3)przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – wystarczające jest, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego lub przetwarzanie jest niezbędne do wykonania zadania w interesie publicznym lub w ramach sprawowania władzy publicznej,
    4. przetwarzanie jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej,
    5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
    6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią, z wyjątkiem sytuacji w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotycz a, wymagające ochrony danych osobowych, w szczególności gdy osoba której dane dotyczą jest dzieckiem.
  3. Przetwarzanie szczególnych kategorii danych osobowych zwykłych jest zgodne z prawem wyłącznie w przypadkach gdy spełniony jest co najmniej jeden z warunków:
    1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach
    2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
    3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
    4. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
    5. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń;
    6. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
    7. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
    8. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
    9. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
  4. Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem krajowym przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.
  5. W celu zachowania zgodności z RODO oraz umożliwienia organowi nadzorczemu monitorowania prowadzonego przetwarzania administrator danych w Regionalnym Centrum Kultury Kurpiowskiej w Myszyńcu prowadzi w formie elektronicznej rejestr czynności przetwarzania danych osobowych.

§ 3

  1. Podstawą dopuszczenia pracownika do przetwarzania danych osobowych jest:
    1. pisemne upoważnienie do przetwarzania danych nadane przez Administratora Danych,
    2. oświadczenie o zachowaniu poufności danych,

2. Administrator danych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych.

§ 4

Osoby upoważnione do przetwarzania danych są zobowiązane do:

  1. przetwarzania zgodnie z obowiązującymi przepisami prawnymi,
  2. nieudostępniania oraz uniemożliwiania dostępu osobom nieupoważnionym,
  3. zabezpieczania przed zniszczeniem.

§ 5

  1. Wymagania techniczne zostały opracowane z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.
  2. Dokonując analizy ryzyka uwzględniono w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  3. Środki zabezpieczające zostały określone zostały w „Ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa dla Regionalnego Centrum Kultury Kurpiowskiej w Myszyńcu.”
  4. Wskazane środki są w razie potrzeby poddawane przeglądom i uaktualniane.

§ 6

1. Podstawą przetwarzania danych osobowych przez podmiot zewnętrzny jest pisemne powierzenie przetwarzania danych osobowych.

2. Administrator danych prowadzi ewidencję podmiotów którym powierzono przetwarzanie danych osobowych.

§ 7

  1. Warunkiem dostępu uzasadnionego koniecznością wykonania prac o charakterze serwisowym lub innym technicznym do obszaru przetwarzania danych przez osobę nieposiadającą upoważnienia opisanego w § 3 niniejszej polityki.

§ 8

  1. Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności takiego udostępnienia, przez co rozumie się w szczególności pisemny wniosek podmiotu uprawnionego.

§ 9

1. Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do dołożenia staranności przy przechowywaniu dokumentów w formie papierowej zawierających dane osobowe, a w szczególności:

1) do przechowywania danych w szafach zamykanych na klucz,

2) do niszczenia zbędnych dokumentów poprzez pocięcie w niszczarce.

2. Administrator prowadzi wykaz pomieszczeń w których przetwarzane są dane osobowe.

§ 10

1. Inspektor ochrony danych (dalej zwany „IOD”) powołany przez Administratora Danych realizuje zadania określone w art. 39 RODO tj.:

  1. informuje o obowiązkach spoczywających na osobach przetwarzających dane osobowe na mocy Rozporządzenia i innych przepisów o ochronie danych oraz doradza w tej sprawie,
  2. monitoruje przestrzeganie Rozporządzenia oraz innych przepisów w dziedzinie ochrony danych osobowych, w tym podział obowiązków, podejmuje działania zwiększające świadomość, realizuje szkolenia pracowników uczestniczących w operacjach przetwarzania oraz powiązane z tym audyty,
  3. udziela na żądanie zaleceń co do ochrony skutków dla ochrony danych oraz monitoruje ich wykonanie,
  4. współpracuje z organem nadzorczym,
  5. pełni funkcję punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem,
  6. sprawdza systematycznie wytyczne i rekomendacje wydawane przez Prezesa Urzędu Ochrony Danych Osobowych oraz Europejską Radę Ochrony Danych Osobowych.
    1. Administrator Danych jest odpowiedzialny za przetwarzanie i ochronę danych osobowych zgodnie z przepisami prawa, w tym wprowadzenie do stosowania procedur postępowania zapewniających prawidłowe przetwarzanie danych osobowych, rozumiane jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem RODO oraz utratą, uszkodzeniem lub zniszczeniem. Do kompetencji Administratora Danych należy w szczególności:
      1. Wyznaczenie Inspektora Ochrony Danych.
      2. Zapewnienie wparcia informatycznego (w szczególności poprzez zawarcie umowy z informatykiem lub upoważnienie go do przetwarzania).
      3. Zapewnienie domyślnej ochrony danych osobowych (privacy by design oraz privacy by default)
  7. Do obowiązków Administratora Danych należy:
    1. Zapewnienie poufności, integralności, dostępności i rozliczalności danych przetwarzanych w systemach informatycznych.
    2. Zapewnienie szkoleń dla pracowników w zakresie przepisów o ochronie danych osobowych oraz zagrożeń związanych z ich przetwarzaniem.
    3. Przyjmowanie i zatwierdzanie niezbędnych, wymaganych przez przepisy prawa dokumentów regulujących ochronę danych osobowych w Regionalnym Centrum Kultury Kurpiowskiej w Myszyńcu.
    4. Nadawanie pracownikom i współpracownikom Regionalnego Centrum Kultury Kurpiowskiej w Myszyńcu upoważnień do przetwarzania danych osobowych.
    5. Zapewnienie środków finansowych na ochronę fizyczną pomieszczeń, w których przetwarzane są dane osobowe.
    6. Zapewnienie środków finansowych niezbędnych do ochrony danych osobowych przetwarzanych w systemach informatycznych oraz w zbiorach nieinformatycznych.
    7. Zapewnienie środków finansowych na merytoryczne przygotowanie osób odpowiedzialnych za nadzór nad ochroną danych osobowych.

§ 11

Informatyk powołany przez Administratora danych osobowych:

  1. zapewnia ciągłość i bezpieczeństwo funkcjonowania systemu informatycznego, w szczególności nadaje oraz cofa uprawnienia w imieniu administratora danych do poszczególnych aplikacji, programów, systemów operacyjnych lub urządzeń elektronicznych,
  2. przeprowadza inwentaryzację zasobów informatycznych,
  3. zabezpiecza informacje niezbędne do stwierdzenia naruszenia ochrony danych związanego z systemem informatycznym.

Część II – Realizowanie obowiązków informacyjnych.

§ 12

1. W celu zapewnienia rzetelności i przejrzystości przetwarzania danych osobowych podczas ich pozyskiwania Administrator Danych udziela na piśmie lub w inny sposób, w tym elektronicznie wszelkich informacji w sprawie przetwarzania zgodnie z art. 13 RODO.

2. Wzór klauzul informacyjnych podane są do publicznej wiadomości na tablicach ogłoszeń w placówce oraz na stronie BIP.

Część III – Uprawnienia osób, których dane osobowe są przetwarzane

§ 13

Osobom, których dane osobowe są przetwarzane umożliwia się dostęp do treści przetwarzanych danych osobowych – poprzez udostępnienie bezpłatnej kopii danych osobowych (w formie elektronicznej lub papierowej), chyba że przepis ustawy zwalnia AD z tego obowiązku lub żądanie osoby, której dane są przetwarzane jest ewidentnie nieuzasadnione lub nadmierne. 

Część IV – Naruszenia ochrony danych

§ 14

1. Każda osoba upoważniona do przetwarzania danych osobowych jest informowana przez IOD o potencjalnych możliwych naruszeniach ochrony danych i obowiązku ich niezwłocznego komunikowania IOD i bezpośredniemu przełożonemu.

2. W przypadku pozyskania informacji z jakiegokolwiek źródła o potencjalnym naruszeniu ochrony danych jest zobowiązany do natychmiastowego podjęcia niezbędnych środków w celu ustalenia czy konkretne zdarzenie miało miejsce, czy zdarzenia opisane w pkt 1 stanowiło naruszenie ochrony danych osobowych i podjęcia niezbędnych działań skutkujących ograniczeniem rozmiaru i dotkliwości naruszenia dla osób, których danych ono dotyczyło.

§ 15

W przypadku naruszenia ochrony danych osobowych administrator danych, z pomocą Inspektora Ochrony Danych, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Część V – Monitorowanie i sprawdzanie

§ 16

Zasady dokonywania sprawdzeń przestrzegania przepisów i procedur ochrony danych osobowych określa przedstawiony przez IOD wobec Administratora Danych plan sprawdzeń.

Część VI – Postanowienia końcowe

§ 17

  1. Zgodnie z art. 100 § 2 pkt 5 Kodeksu Pracy, pracownik jest obowiązany przestrzegać tajemnicy określonej w odrębnych przepisach. Dane osobowe, którymi administruje Regionalne Centrum Kultury Kurpiowskiej w Myszyńcu podlegają ochronie, a ich ujawnienie w zależności od zakresu ujawnionych danych osobowych oraz nastawienia pracownika dopuszczającego się nieuprawnionego ujawnienia danych, może mieć charakter naruszenia lub ciężkiego naruszenia obowiązków pracowniczych.
  2. Pracownik dopuszczający się nieuprawnionego ujawnienia lub wykorzystania danych osobowych w sposób sprzecznych z ich przeznaczeniem (np. wykorzystania danych osobowych do celów prywatnych), czy też ich przetwarzania w sposób niezgodny z przyjętymi w Regionalnym Centrum Kultury Kurpiowskiej w Myszyńcu procedurami, może zostać ukarany karą upomnienia lub karą nagany.
  3. W razie ciężkiego naruszenia obowiązku zachowania danych osobowych w tajemnicy lub przetwarzania ich w sposób rażąco sprzeczny z przyjętymi zasadami i procedurami, Administrator Danych może rozwiązać bez wypowiedzenia umowę o pracę z winy pracownika.
  4. Sankcje dotyczące ujawnienia poufnych danych osobowych, stosuje się analogicznie do ujawnienia przez pracownika informacji dotyczących zabezpieczenia danych osobowych w Regionalnym Centrum Kultury Kurpiowskiej w Myszyńcu.

§ 18

W sprawach nieuregulowanych niniejszym dokumentem znajdują zastosowanie odpowiadające w konkretnej sprawie postanowienia zawarte w wytycznych, opiniach oraz decyzjach grupy roboczej art. 29, Europejskiej Rady Ochrony Danych, Urzędu Ochrony Danych Osobowych, Komisji Europejskiej oraz zatwierdzonych przez Urząd Ochrony Danych mechanizmach certyfikacyjnych lub kodeksach postępowania.

§ 19

Niniejsza Polityka wchodzi w życie z dniem 25 maja 2018 roku.