Procedura polityki bezpieczeństwa i ochrony danych osobowych
ObowiÄ…zujÄ…ca w FUNDACJA KLUB SPORTOWY NEXT LEVEL BJJ (KRS: 0000627156, NIP: 7543123466, REGON: 364939465).
-
POSTANOWIENIA OGÓLNE
§ 1
FUNDACJA KLUB SPORTOWY NEXT LEVEL BJJ (KRS: 0000627156, NIP: 7543123466, REGON: 364939465). dalej zwany „Administratorem Danych Osobowych” lub „ADO” w zakresie ochrony danych osobowych oÅ›wiadcza, że:
-
podejmuje się działania dla ochrony praw związanych z bezpieczeństwem danych osobowych,
-
podnosi siÄ™ Å›wiadomość oraz kwalifikacje osób przetwarzajÄ…cych dane osobowe w zakresie problematyki bezpieczeÅ„stwa tych danych,
-
ochrona danych osobowych należy do podstawowych obowiÄ…zków pracowniczych,
-
obowiÄ…zek ochrony danych bÄ™dzie egzekwowany od każdego pracownika, który w jakikolwiek sposób ma do nich dostÄ™p.
§ 2
-
ADO jest Å›wiadomy zagrożeÅ„ zwiÄ…zanych z przetwarzaniem danych w szczególnoÅ›ci wynikajÄ…cych z dynamicznego rozwoju metod i technik przetwarzania danych w systemach informatycznych oraz sieciach telekomunikacyjnych.
-
ADO zamierza doskonalić i rozwijać nowoczesne metody przetwarzania danych.
-
ADO deklaruje, że bÄ™dzie doskonaliÅ‚ i rozwijaÅ‚ możliwe Å›rodki ochrony danych osobowych w celu skutecznego zapobiegania zagrożeniom wykradania zasobów komputerowych:
-
zwiÄ…zanych z: wirusami, spamami, stronami i komunikatorami internetowymi,
-
użytkowaniem oprogramowania do wymiany plików, mogÄ…cym sÅ‚użyć do Å‚atwego skopiowania pliku poza SpóÅ‚kÄ™,
-
możliwością niekontrolowanego kopiowania danych na zewnętrzne, przenośne nośniki,
-
możliwoÅ›ciÄ… podsÅ‚uchiwania sieci, dziÄ™ki któremu można zdobyć hasÅ‚a i skopiować objÄ™te ochronÄ… dane,
-
lekceważeniem zasad ochrony danych polegającym na pozostawianiu pomieszczenia lub stanowiska pracy bez ich zabezpieczenia,
-
brakiem Å›wiadomoÅ›ci niebezpieczeÅ„stwa dopuszczania osób postronnych do swojego stanowiska pracy,
-
atakami z sieci uniemożliwiającymi przetwarzanie,
-
kradzieżą sprzÄ™tu lub noÅ›ników z danymi,
-
przekazywaniem sprzętu z danymi do serwisu,
-
innym możliwym zagrożeniom.
§ 3
1. Dane osobowe gromadzone sÄ… oraz przetwarzane z przestrzeganiem obowiÄ…zujÄ…cych przepisów prawa.
2. Dane osobowe przetwarzane są w celu bezpośrednio związanym z prowadzoną przez ADO działalnością gospodarczą w zakresie w jakim zezwalają na to powszechnie obowiązujące przepisy prawa.
§ 4
Polityka bezpieczeństwa danych osobowych dotyczy danych gromadzonych i przetwarzanych w zbiorach:
1) drukowanych znajdujących się w kartotekach, skorowidzach, księgach, we wszystkich zbiorach ewidencyjnych,
2) w systemach informatycznych.
​
§ 5
-
ADO chroni wszystkie posiadane zasoby zgodnie powszechnie obowiÄ…zujÄ…cymi przepisami prawa.
-
Pod szczególnÄ… ochronÄ… sÄ… tzw. szczególne kategorie danych okreÅ›lone w art. 9 ust. 1 RODO. SÄ… to: dane ujawniajÄ…ce pochodzenie rasowe lub etniczne, poglÄ…dy polityczne, przekonania religijne lub Å›wiatopoglÄ…dowe, przynależność do zwiÄ…zków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczÄ…ce zdrowia, seksualnoÅ›ci lub orientacji seksualnej.
-
Przetwarzanie szczególnych kategorii danych (np. danych o stanie zdrowia, danych ujawniajÄ…cych pochodzenie etniczne lub poglÄ…dy religijne) jest co do zasady zabronione.
-
​
Na zasadzie wyjÄ…tku od ogólnego zakazu, przetwarzanie szczególnych kategorii danych dozwolone jest w nastÄ™pujÄ…cych przypadkach:
-
-
Osoba, której dane dotyczÄ…, wyraziÅ‚a wyraźnÄ… zgodÄ™ na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach,
-
Przetwarzanie jest niezbÄ™dne do wypeÅ‚nienia obowiÄ…zków i wykonywania szczególnych praw przez administratora lub osobÄ™, której dane dotyczÄ…, w dziedzinie prawa pracy, zabezpieczenia spoÅ‚ecznego i ochrony socjalnej, o ile jest to dozwolone prawem unijnym lub krajowym, lub porozumieniem zbiorowym na mocy prawa krajowego przewidujÄ…cymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczÄ….
-
Przetwarzanie jest niezbÄ™dne do ochrony żywotnych interesów osoby, której dane dotyczÄ…, lub innej osoby fizycznej, a osoba, której dane dotyczÄ…, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.
-
Przetwarzania dokonuje siÄ™ w ramach uprawnionej dziaÅ‚alnoÅ›ci prowadzonej z zachowaniem odpowiednich zabezpieczeÅ„ przez fundacjÄ™, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, Å›wiatopoglÄ…dowych, religijnych lub zwiÄ…zkowych, pod warunkiem że przetwarzanie dotyczy wyÅ‚Ä…cznie czÅ‚onków lub byÅ‚ych czÅ‚onków tego podmiotu lub osób utrzymujÄ…cych z nim staÅ‚e kontakty w zwiÄ…zku z jego celami oraz że dane osobowe nie sÄ… ujawniane poza tym podmiotem bez zgody osób, których dane dotyczÄ….
-
Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobÄ™, której dane dotyczÄ…
-
Przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy.
-
Przetwarzanie jest niezbÄ™dne ze wzglÄ™dów zwiÄ…zanych z ważnym interesem publicznym, na podstawie prawa unijnego lub krajowego, które sÄ… proporcjonalne do wyznaczonego celu, nie naruszajÄ… istoty prawa do ochrony danych i przewidujÄ… odpowiednie i konkretne Å›rodki ochrony praw podstawowych i interesów osoby, której dane dotyczÄ….
-
Przetwarzanie jest niezbÄ™dne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolnoÅ›ci pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia spoÅ‚ecznego, leczenia lub zarzÄ…dzania systemami i usÅ‚ugami opieki zdrowotnej lub zabezpieczenia spoÅ‚ecznego na podstawie prawa unijnego lub krajowego lub zgodnie z umowÄ… z pracownikiem sÅ‚użby zdrowia i z zastrzeżeniem dodatkowych warunków i zabezpieczeÅ„.
-
Przetwarzanie jest niezbÄ™dne ze wzglÄ™dów zwiÄ…zanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakoÅ›ci i bezpieczeÅ„stwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa unijnego lub krajowego, które przewidujÄ… odpowiednie, konkretne Å›rodki ochrony praw i wolnoÅ›ci osób, których dane dotyczÄ…, w szczególnoÅ›ci tajemnicÄ™ zawodowÄ….
-
Przetwarzanie jest niezbÄ™dne do celów archiwalnych w interesie publicznym, do celów badaÅ„ naukowych lub historycznych lub do celów statystycznych, na podstawie prawa unijnego lub krajowego, które sÄ… proporcjonalne do wyznaczonego celu, nie naruszajÄ… istoty prawa do ochrony danych i przewidujÄ… odpowiednie, konkretne Å›rodki ochrony praw podstawowych i interesów osoby, której dane dotyczÄ….
-
§ 6
-
ADO stosuje środki informatyczne, techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczając dane przed:
-
ich udostępnieniem lub zabraniem przez osobę nieuprawnioną,
-
zmianÄ…, utratÄ…, uszkodzeniem lub zniszczeniem,
-
przetwarzaniem z naruszeniem ustawy.
-
ADO unowoczeÅ›nia oraz zapewnia aktualizacje informatycznych Å›rodków ochrony danych osobowych pozwalajÄ…cÄ… na zabezpieczenie przed wirusami, nieuprawnionym dostÄ™pem oraz inni zagrożeniami danych, pÅ‚ynÄ…cymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych.
§ 7
-
ADO sprawuje kontrole i nadzór nad niszczeniem zbÄ™dnych danych osobowych oraz ich zbiorów.
-
Niszczenie tych danych osobowych oraz ich zbiorów polega na:
-
trwałym, fizycznym ich zniszczeniu wraz z ich nośnikami w stopniu uniemożliwiającym ich odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod,
-
anonimizacji danych osobowych, zbiorów polegajÄ…cej na pozbawieniu danych osobowych lub ich zbiorów – cech umożliwiajÄ…cych identyfikacjÄ™ osób fizycznych, których dane dotyczÄ….
-
-
Naruszenie przez zatrudnione osoby w ramach stosunku pracy, upoważnione do dostÄ™pu i przetwarzania danych osobowych stosowanych procedur niszczenia zbÄ™dnych danych osobowych, ich zbiorów traktowane bÄ™dzie, jako ciężkie naruszenie podstawowych obowiÄ…zków pracowniczych ze wszystkimi konsekwencjami, wÅ‚Ä…cznie z rozwiÄ…zaniem stosunku pracy.
-
Kontrola i nadzór nad niszczeniem zbÄ™dnych danych osobowych, ich zbiorów może polegać na wprowadzeniu odpowiednich procedur niszczenia danych, a także zlecaniu niszczenia ich, wyspecjalizowanym podmiotom zewnÄ™trznym, gwarantujÄ…cym bezpieczeÅ„stwo procesu niszczenia danych odpowiednie do rodzaju noÅ›nika tych danych.
§ 8
-
-
-
ADO prowadzi dokumentacjÄ™ okreÅ›lajÄ…cÄ… sposób przetwarzania danych oraz Å›rodki ochrony tych danych, którÄ… jest niniejsza procedura.
-
Załącznikami do niniejszej procedury są:
-
rejestr upoważnień dostępu do danych osobowych oraz ich przetwarzania
-
upoważnienie dla pracownika do dostępu i przetwarzania danych
-
oświadczenie o zapoznaniu się pracownika z przepisami o ochronie danych
-
oświadczenie o wyrażeniu zgody na gromadzenie i przetwarzanie danych
-
-
-
Zarządzenia ADO w zakresie polityki bezpieczeństwa danych osobowych mogą dotyczyć:
-
instrukcji sposobu i formy zabezpieczeÅ„ systemów informatycznych sÅ‚użących do przetwarzania danych osobowych,
-
instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych,
-
innych wytycznych i zasad dotyczących bezpieczeństwa danych i ich przetwarzania.
II. ZASADY UDOSTĘPNIANIA DANYCH OSOBOWYCH
§ 9
-
ADO udostępnia dane na miejscu wyłącznie osobom upoważnionym.
-
Upoważnienie może wynikać w szczególnoÅ›ci z:
-
pisemnego zakresu czynność, obowiÄ…zków wykonywanych na danym stanowisku pracy,
-
z odrębnego dokumentu zawierającego imienne upoważnienie do dostępu do danych osobowych.
-
ADO dopuszcza do przetwarzania danych w systemie informatycznym oraz tradycyjnym na mocy pisemnych upoważnień nadanych przez ADO lub inną osobę wskazaną przez ADO.
-
Upoważnienie wygasa w związku z ustaniem zatrudnienia lub w przypadku pozbawienia upoważnienia w związku z łamaniem ustawy o ochronie danych.
-
ADO zapewnia dostÄ™p do przetwarzanych danych osobom, które powierzyÅ‚y jej swoje dane.
§ 10
-
Osoby niezatrudnione przy przetwarzaniu danych osobowych okreÅ›lonego zasobu, w tym osoby, które dane udostÄ™pniÅ‚y, majÄ…ce interes prawny lub faktyczny w uzyskaniu dostÄ™pu do tych danych mogÄ… mieć do nich wglÄ…d wyÅ‚Ä…cznie w obecnoÅ›ci ADO lub upoważnionego przez niego pracownika.
-
Zasada ta obowiÄ…zuje także w przypadku korzystania przez zwiÄ…zki zawodowe z uprawnieÅ„ przysÅ‚ugujÄ…cych im na mocy odrÄ™bnych przepisów (k.p., ustawa o zwiÄ…zkach zawodowych).
-
DostÄ™p do danych osobowych i ich przetwarzanie bez upoważnienia ADO lub osoby przez niego upoważnionej może nastÄ…pić wyÅ‚Ä…cznie w przypadku dziaÅ‚aÅ„ osób lub organów upoważnionych na mocy odpowiednich przepisów prawa do dostÄ™pu i przetwarzania danych okreÅ›lonych zasobów.
-
DostÄ™p do danych osobowych mogÄ… mieć: Najwyższa Izba Kontroli, Generalny Inspektor Ochrony Danych Osobowych, ZakÅ‚ad UbezpieczeÅ„ SpoÅ‚ecznych, Policja, organy skarbowe, PaÅ„stwowa Inspekcja Pracy, Wojskowe SÅ‚użby Informacyjne, Agencja BezpieczeÅ„stwa WewnÄ™trznego, sÄ…dy powszechne i inne upoważnione przez przepisy prawa podmioty i organy, na mocy nadanych im uprawnieÅ„ – po ich okazaniu.
III. PRACOWNICY PRZETWARZAJÄ„CY DANE
§ 11
-
Zaznajomienie osób upoważnionych do przetwarzania danych osobowych z powszechnie obowiÄ…zujÄ…cymi przepisami prawa, uregulowaniami wewnÄ™trznymi, a także technikami i Å›rodkami ochrony tych danych stosowanymi w ADO może odbywać siÄ™ poprzez:Osoby upoważnione do przetwarzania danych osobowych sÄ… zapoznane z zakresem informacji objÄ™tych tajemnicÄ…, a także o obowiÄ…zku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia stosowanych u Administratora Danych Osobowych.
-
-
szkolenia wewnętrzne na terenie siedziby przedsiębiorstwa ADO,
-
szkolenie zewnętrzne,
-
instruktaż stanowiskowy,
-
udostÄ™pnienie procedury i informacji na temat przepisów w tym zakresie.
-
-
-
​
§ 12
Naruszenie zasad bezpiecznego i zgodnego z prawem ich przetwarzania przez pracowników upoważnionych do dostÄ™pu, traktowane bÄ™dzie jako ciężkie naruszenie podstawowych obowiÄ…zków pracowniczych ze wszystkimi konsekwencjami, wÅ‚Ä…cznie z rozwiÄ…zaniem stosunku pracy.
§ 13
Osoby, których dane sÄ… przetwarzane przez Administratora Danych Osobowych uzyskujÄ… informacje o przysÅ‚ugujÄ…cych im prawach nadanych ustawÄ… o ochronie danych osobowych.
IV. OBSZAR, W KTÓRYM PRZETWARZANE SÄ„ DANE OSOBOWE
§ 14
-
ADO wyznacza pomieszczenia i części pomieszczeÅ„, tworzÄ…ce obszar, w którym przetwarzane sÄ… dane.
-
JeÅ›li w pomieszczeniu, w którym przetwarzane sÄ… dane osobowe znajduje siÄ™ część ogólnodostÄ™pna, część, w której sÄ… przetwarzane dane, powinna być wyraźnie oddzielona od ogólnodostÄ™pnej.
-
Wydzielenie części pomieszczenia, w której przetwarza siÄ™ dane osobowe, może być poprzez montaż barierek, lad lub odpowiednie ustawienie mebli biurowych uniemożliwiajÄ…ce lub ograniczajÄ…ce dostÄ™p osób niepowoÅ‚anych do zbiorów danych osobowych przetwarzanych w danym pomieszczeniu.
-
Komputery, w których odbywa siÄ™ praca w zwiÄ…zku z przetwarzaniem lub gromadzeniem danych, powinny być ustawiane w sposób uniemożliwiajÄ…cy dostÄ™p do danych.
-
Wykaz budynków, pomieszczeÅ„ lub części pomieszczeÅ„, tworzÄ…cych obszar, w którym przetwarzane sÄ… dane osobowe, okreÅ›la zarzÄ…dzenie ADO.
-
W pomieszczeniach i częściach pomieszczeÅ„, tworzÄ…cych obszar, w którym przetwarzane sÄ… dane osobowe, mogÄ… przebywać wyÅ‚Ä…cznie osoby upoważnione do dostÄ™pu i przetwarzania danych oraz osoby sprawujÄ…ce nadzór i kontrolÄ™ nad bezpieczeÅ„stwem ich przetwarzania.
§ 15
-
CaÅ‚kowite opuszczenie (przez pracownika upoważnionego do przetwarzania danych) pomieszczenia, w którym przetwarzane sÄ… dane osobowe, może nastÄ…pić po odpowiednim zabezpieczeniu tych danych przed dostÄ™pem do nich przez osoby nieuprawnione.
-
Opuszczenie przez pracownika przetwarzajÄ…cego dane osobowe obszaru ich przetwarzania bez jego zabezpieczenia oraz znajdujÄ…cych siÄ™ w nim zbiorów danych jest niedopuszczalne i bÄ™dzie traktowane jako ciężkie naruszenie podstawowych obowiÄ…zków pracowniczych.
§ 16
-
DostÄ™p do budynków i pomieszczeÅ„, w których przetwarzane sÄ… dane osobowe podlega kontroli.
-
Kontrola dostÄ™pu polegać może na ewidencjonowaniu wszystkich przypadków pobierania i zwrotu kluczy do budynków i pomieszczeÅ„.
W ewidencji uwzględnia się: imię i nazwisko osoby pobierającej lub zdającej klucz, numer lub inne oznaczenie pomieszczenia oraz godzinę pobrania lub zdania klucza.
-
Klucze do pomieszczeÅ„, w których przetwarzane sÄ… dane osobowe mogÄ… być wydawane wyÅ‚Ä…cznie pracownikom upoważnionym do przetwarzania danych osobowych lub innym pracownikom w zwiÄ…zku z wykonywanÄ… przez nich pracÄ….
-
ADO realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, może wprowadzać inne formy monitorowania dostępu do miejsc przetwarzania danych osobowych.
V. ZBIORY DANYCH OSOBOWYCH
§ 17
-
ADO sprawuje nadzór nad rodzajami oraz zawartoÅ›ciÄ… zbiorów danych osobowych tworzonych na jej obszarze. Wykaz zbiorów stanowi odrÄ™bny dokument.
§ 18
ADO realizujÄ…c politykÄ™ bezpieczeÅ„stwa w zakresie ochrony danych osobowych, zapewnia – zgodnie z przepisami – ochronÄ™ zbiorów danych osobowych sporzÄ…dzanych doraźnie, ze wzglÄ™dów technicznych, szkoleniowych lub w zwiÄ…zku z prowadzeniem dziaÅ‚alnoÅ›ci gospodarczej przez ADO, a po ich wykorzystaniu niezwÅ‚ocznie je usuwa albo poddaje anonimizacji.
§ 19
ADO zabrania gromadzenia i tworzenia zbiorów danych osobowych innych niż niezbÄ™dne dla realizacji celów prowadzonej przez niego dziaÅ‚alnoÅ›ci gospodarczej.
VI. USTALENIA KOŃCOWE
§ 20
-
Procedura obowiÄ…zuje wszystkich pracowników ADO, w szczególnoÅ›ci tych, którzy tworzÄ…, gromadzÄ… lub w jakikolwiek sposób wykorzystujÄ… dane osobowe.
-
Procedura wchodzi w życie z dniem 25 maja 2018 r.
​