Procedura polityki bezpieczeństwa i ochrony danych osobowych

Obowiązująca w FUNDACJA KLUB SPORTOWY NEXT LEVEL BJJ (KRS: 0000627156, NIP: 7543123466, REGON: 364939465).

 

  1. POSTANOWIENIA OGÓLNE

§ 1

FUNDACJA KLUB SPORTOWY NEXT LEVEL BJJ (KRS: 0000627156, NIP: 7543123466, REGON: 364939465). dalej zwany „Administratorem Danych Osobowych” lub „ADO” w zakresie ochrony danych osobowych oświadcza, że:

  1. podejmuje się działania dla ochrony praw związanych z bezpieczeństwem danych osobowych,

  2. podnosi się świadomość oraz kwalifikacje osób przetwarzających dane osobowe w zakresie problematyki bezpieczeństwa tych danych,

  3. ochrona danych osobowych należy do podstawowych obowiązków pracowniczych,

  4. obowiązek ochrony danych będzie egzekwowany od każdego pracownika, który w jakikolwiek sposób ma do nich dostęp.

 

§ 2

  1. ADO  jest świadomy zagrożeń związanych z przetwarzaniem danych w szczególności wynikających z dynamicznego rozwoju metod i technik przetwarzania danych w systemach informatycznych oraz sieciach telekomunikacyjnych. 

  2. ADO zamierza doskonalić i rozwijać nowoczesne metody przetwarzania danych.

  3. ADO deklaruje, że będzie doskonalił i rozwijał możliwe środki ochrony danych osobowych w celu skutecznego zapobiegania zagrożeniom wykradania zasobów komputerowych:

  4. związanych z: wirusami, spamami, stronami i komunikatorami internetowymi, 

  5. użytkowaniem oprogramowania do wymiany plików, mogącym służyć do łatwego skopiowania pliku poza Spółkę,

  6. możliwością niekontrolowanego kopiowania danych na zewnętrzne, przenośne nośniki,  

  7. możliwością podsłuchiwania sieci, dzięki któremu można zdobyć hasła i skopiować objęte ochroną dane,

  8. lekceważeniem zasad ochrony danych polegającym na pozostawianiu pomieszczenia lub stanowiska pracy bez ich zabezpieczenia, 

  9. brakiem świadomości niebezpieczeństwa dopuszczania osób postronnych do swojego stanowiska pracy,

  10. atakami z sieci uniemożliwiającymi przetwarzanie,

  11. kradzieżą sprzętu lub nośników z danymi, 

  12. przekazywaniem sprzętu z danymi do serwisu,

  13. innym możliwym zagrożeniom.

 

§ 3

1. Dane osobowe gromadzone są oraz przetwarzane z przestrzeganiem obowiązujących przepisów prawa.

2. Dane osobowe przetwarzane są w celu bezpośrednio związanym z prowadzoną przez ADO działalnością gospodarczą w zakresie w jakim zezwalają na to powszechnie obowiązujące przepisy prawa.

 

 

§ 4

Polityka bezpieczeństwa danych osobowych dotyczy danych gromadzonych i przetwarzanych w zbiorach:

1) drukowanych znajdujących się w kartotekach, skorowidzach, księgach, we wszystkich zbiorach ewidencyjnych,

2) w systemach informatycznych.

§ 5

  1. ADO chroni wszystkie posiadane zasoby zgodnie powszechnie obowiązującymi przepisami prawa.

  2. Pod szczególną ochroną są tzw. szczególne kategorie danych określone w art. 9 ust. 1 RODO. Są to: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej. 

  3. Przetwarzanie szczególnych kategorii danych (np. danych o stanie zdrowia, danych ujawniających pochodzenie etniczne lub poglądy religijne) jest co do zasady zabronione.

Na zasadzie wyjątku od ogólnego zakazu, przetwarzanie szczególnych kategorii danych dozwolone jest w następujących przypadkach:

    1. Osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach,

    2. Przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem unijnym lub krajowym, lub porozumieniem zbiorowym na mocy prawa krajowego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

    3. Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.

    4. Przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą. 

    5. Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą

    6. Przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy.

    7. Przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa unijnego lub krajowego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą. 

    8. Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa unijnego lub krajowego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem dodatkowych warunków i zabezpieczeń.

    9. Przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa unijnego lub krajowego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową. 

    10. Przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, na podstawie prawa unijnego lub krajowego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

 

§ 6

  1. ADO stosuje środki informatyczne, techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczając dane przed:

  1. ich udostępnieniem lub zabraniem przez osobę nieuprawnioną,

  2. zmianą, utratą, uszkodzeniem lub zniszczeniem,

  3. przetwarzaniem z naruszeniem ustawy.

  1. ADO unowocześnia oraz zapewnia aktualizacje informatycznych środków ochrony danych osobowych pozwalającą na zabezpieczenie przed wirusami, nieuprawnionym dostępem oraz inni zagrożeniami danych, płynącymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych.

 

§ 7

  1. ADO sprawuje kontrole i nadzór nad niszczeniem zbędnych danych osobowych oraz ich zbiorów.

  2. Niszczenie tych danych osobowych oraz ich zbiorów polega na:

    1. trwałym, fizycznym ich zniszczeniu wraz z ich nośnikami w stopniu uniemożliwiającym ich odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod,

    2. anonimizacji danych osobowych, zbiorów polegającej na pozbawieniu danych osobowych lub ich zbiorów – cech umożliwiających identyfikację osób fizycznych, których dane dotyczą.

  1. Naruszenie przez zatrudnione osoby w ramach stosunku pracy, upoważnione do dostępu i przetwarzania danych osobowych stosowanych procedur niszczenia zbędnych danych osobowych, ich zbiorów traktowane będzie, jako ciężkie naruszenie podstawowych obowiązków pracowniczych ze wszystkimi konsekwencjami, włącznie z rozwiązaniem stosunku pracy.

  2. Kontrola i nadzór nad niszczeniem zbędnych danych osobowych, ich zbiorów może polegać na wprowadzeniu odpowiednich procedur niszczenia danych, a także zlecaniu niszczenia ich, wyspecjalizowanym podmiotom zewnętrznym, gwarantującym bezpieczeństwo procesu niszczenia danych odpowiednie do rodzaju nośnika tych danych.

§ 8

      1. ADO prowadzi dokumentację określającą sposób przetwarzania danych oraz środki ochrony tych danych, którą jest niniejsza procedura.

      2. Załącznikami do niniejszej procedury są:

      3. rejestr upoważnień dostępu do danych osobowych oraz ich przetwarzania 

      4. upoważnienie dla pracownika do dostępu i przetwarzania danych 

      5. oświadczenie o zapoznaniu się pracownika z przepisami o ochronie danych 

      6. oświadczenie o wyrażeniu zgody na gromadzenie i przetwarzanie danych 

  1. Zarządzenia ADO w zakresie polityki bezpieczeństwa danych osobowych mogą dotyczyć:

  1. instrukcji sposobu i formy zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych,

  2. instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych,

  3. innych wytycznych i zasad dotyczących bezpieczeństwa danych i ich przetwarzania.

 

II. ZASADY UDOSTĘPNIANIA DANYCH OSOBOWYCH

 

§ 9

  1. ADO  udostępnia dane na miejscu wyłącznie osobom upoważnionym.

  2. Upoważnienie może wynikać w szczególności z:

  1. pisemnego zakresu czynność, obowiązków wykonywanych na danym stanowisku pracy, 

  2. z odrębnego dokumentu zawierającego imienne upoważnienie do dostępu do danych osobowych.

  1. ADO dopuszcza do przetwarzania danych w systemie informatycznym oraz tradycyjnym na mocy pisemnych upoważnień nadanych przez ADO  lub inną osobę wskazaną przez ADO.

  2. Upoważnienie wygasa w związku z ustaniem zatrudnienia lub w przypadku pozbawienia upoważnienia w związku z łamaniem ustawy o ochronie danych.

  3. ADO zapewnia dostęp do przetwarzanych danych osobom, które powierzyły jej swoje dane.

§ 10

  1. Osoby niezatrudnione przy przetwarzaniu danych osobowych określonego zasobu, w tym osoby, które dane udostępniły, mające interes prawny lub faktyczny w uzyskaniu dostępu do tych danych mogą mieć do nich wgląd wyłącznie w obecności ADO lub upoważnionego przez niego pracownika.

  2. Zasada ta obowiązuje także w przypadku korzystania przez związki zawodowe z uprawnień przysługujących im na mocy odrębnych przepisów (k.p., ustawa o związkach zawodowych).

  3. Dostęp do danych osobowych i ich przetwarzanie bez upoważnienia ADO  lub osoby przez niego upoważnionej może nastąpić wyłącznie w przypadku działań osób lub organów upoważnionych na mocy odpowiednich przepisów prawa do dostępu i przetwarzania danych określonych zasobów.

  4. Dostęp do danych osobowych mogą mieć: Najwyższa Izba Kontroli, Generalny Inspektor Ochrony Danych Osobowych, Zakład Ubezpieczeń Społecznych, Policja, organy skarbowe, Państwowa Inspekcja Pracy, Wojskowe Służby Informacyjne, Agencja Bezpieczeństwa Wewnętrznego, sądy powszechne i inne upoważnione przez przepisy prawa podmioty i organy, na mocy nadanych im uprawnień – po ich okazaniu.

 

III. PRACOWNICY PRZETWARZAJĄCY DANE

 

§ 11

  1. Zaznajomienie osób upoważnionych do przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także technikami i środkami ochrony tych danych stosowanymi w ADO  może odbywać się poprzez:Osoby upoważnione do przetwarzania danych osobowych są zapoznane z zakresem informacji objętych tajemnicą, a także o obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia stosowanych u Administratora Danych Osobowych.

      1. szkolenia wewnętrzne na terenie siedziby przedsiębiorstwa ADO,

      2. szkolenie zewnętrzne,

      3. instruktaż stanowiskowy,

      4. udostępnienie procedury i informacji na temat przepisów w tym zakresie.

 

§ 12

Naruszenie zasad bezpiecznego i zgodnego z prawem ich przetwarzania przez pracowników upoważnionych do dostępu, traktowane będzie jako ciężkie naruszenie podstawowych obowiązków pracowniczych ze wszystkimi konsekwencjami, włącznie z rozwiązaniem stosunku pracy.

§ 13

Osoby, których dane są przetwarzane przez Administratora Danych Osobowych uzyskują informacje o przysługujących im prawach nadanych ustawą o ochronie danych osobowych.

 

IV. OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE

 

§ 14

  1. ADO wyznacza pomieszczenia i części pomieszczeń, tworzące obszar, w którym przetwarzane są dane.

  2. Jeśli w pomieszczeniu, w którym przetwarzane są dane osobowe znajduje się część ogólnodostępna, część, w której są przetwarzane dane, powinna być wyraźnie oddzielona od ogólnodostępnej.

  3. Wydzielenie części pomieszczenia, w której przetwarza się dane osobowe, może być poprzez montaż barierek, lad lub odpowiednie ustawienie mebli biurowych uniemożliwiające lub ograniczające dostęp osób niepowołanych do zbiorów danych osobowych przetwarzanych w danym pomieszczeniu.

  4. Komputery, w których odbywa się praca w związku z przetwarzaniem lub gromadzeniem danych, powinny być ustawiane w sposób uniemożliwiający dostęp do danych.

  5. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, określa zarządzenie ADO.

  6. W pomieszczeniach i częściach pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, mogą przebywać wyłącznie osoby upoważnione do dostępu i przetwarzania danych oraz osoby sprawujące nadzór i kontrolę nad bezpieczeństwem ich przetwarzania.

 

§ 15

  1. Całkowite opuszczenie (przez pracownika upoważnionego do przetwarzania danych) pomieszczenia, w którym przetwarzane są dane osobowe, może nastąpić po odpowiednim zabezpieczeniu tych danych przed dostępem do nich przez osoby nieuprawnione.

  2. Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru ich przetwarzania bez jego zabezpieczenia oraz znajdujących się w nim zbiorów danych jest niedopuszczalne i będzie traktowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych.

 

 

 

§ 16

  1. Dostęp do budynków i pomieszczeń, w których przetwarzane są dane osobowe podlega kontroli.

  2. Kontrola dostępu polegać może na ewidencjonowaniu wszystkich przypadków pobierania i zwrotu kluczy do budynków i pomieszczeń. 

W ewidencji uwzględnia się: imię i nazwisko osoby pobierającej lub zdającej klucz, numer lub inne oznaczenie pomieszczenia oraz godzinę pobrania lub zdania klucza.

  1. Klucze do pomieszczeń, w których przetwarzane są dane osobowe mogą być wydawane wyłącznie pracownikom upoważnionym do przetwarzania danych osobowych lub innym pracownikom w związku z wykonywaną przez nich pracą.

  2. ADO realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, może wprowadzać inne formy monitorowania dostępu do miejsc przetwarzania danych osobowych.

 

V. ZBIORY DANYCH OSOBOWYCH 

 

§ 17

  1. ADO sprawuje nadzór nad rodzajami oraz zawartością zbiorów danych osobowych tworzonych na jej obszarze. Wykaz zbiorów stanowi odrębny dokument.

 

§ 18

ADO realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, zapewnia – zgodnie z przepisami – ochronę zbiorów danych osobowych sporządzanych doraźnie, ze względów technicznych, szkoleniowych lub w związku z prowadzeniem działalności gospodarczej przez ADO, a po ich wykorzystaniu niezwłocznie je usuwa albo poddaje anonimizacji.

 

§ 19

ADO zabrania gromadzenia i tworzenia zbiorów danych osobowych innych niż niezbędne dla realizacji celów prowadzonej przez niego działalności gospodarczej.

 

 

VI. USTALENIA KOŃCOWE

 

§ 20

  1. Procedura obowiązuje wszystkich pracowników ADO, w szczególności tych, którzy tworzą, gromadzą lub w jakikolwiek sposób wykorzystują dane osobowe.

  2. Procedura wchodzi w życie z dniem 25 maja 2018 r.