Polityka prywatności

Polityka Bezpieczeństwa
Danych Osobowych Fundacji FAIR

Postanowienia ogólne

§ 1

  1. Polityka bezpieczeństwa zwana dalej „Polityką”, określa środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności przetwarzanych danych, sposób przepływu danych, zawiera wykaz pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych oraz opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, a także tryb postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych w systemach informatycznych lub kartotekach, albo w sytuacji powzięcia podejrzenia o takim naruszeniu.
  2. Instrukcja została opracowana zgodnie z wymogami określonymi w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 ze zm.), rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) oraz pozostałych przepisów powszechnie obowiązującego prawa, w szczególności Kodeksu cywilnego.
  3. przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów,
    merytorycznie poprawne i adekwatne w stosunku do oznaczonych celów ich zbierania,
    przechowywane tak żeby ich nie udostępniać osobom nieupoważnionym i nie przechowywać dłużej niż to konieczne dla osiągnięcia oznaczonych celów ich zbierania.

§ 2

  1. Ilekroć w Polityce jest mowa o:
    1. ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. O ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 z późn. zm.);
    2. danych osobowych – rozumie się przez to wszelkie informacje dotyczące identyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne bez nadmiernych nakładów finansowych, czasowych lub działań,
    3. przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, w szczególności zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie oraz te, które wykonuje się w systemach informatycznych,
    4. bezpieczeństwie – rozumie się przez to stan faktyczny uniemożliwiający osobom nieupoważnionym wykorzystanie, przepływ, modyfikację lub zniszczenie danych osobowych przetwarzanych w Fundacji, które to bezpieczeństwo realizowane jest, w szczególności poprzez:
      1. przetwarzane zgodnie z prawem,
      2. zbierane dla oznaczonych, zgodnych z prawem celów,
      3. merytorycznie poprawne i adekwatne w stosunku do oznaczonych celów ich zbierania,
      4. przechowywane tak żeby ich nie udostępniać osobom nieupoważnionym i nie przechowywać dłużej niż to konieczne dla osiągnięcia oznaczonych celów ich zbierania.
    5. zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
    6. systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
    7. kartotece – rozumie się przez to zewidencjonowany, usystematyzowany zbiór wykazów, skoroszytów, wydruków komputerowych i innej dokumentacji gromadzonej w formie papierowej, zawierającej dane osobowe,
    8. Administratorze Danych, rozumie się przez to Fundację, reprezentowaną przez Prezesa Zarządu – Łukasza Wiejaka zgodnie z upoważnieniem notarialnym dnia 17 października 2016 r.
    9. Administratorze Bezpieczeństwa Informacji (dalej jako: ABI) – rozumie się przez to osobę nadzorującą przestrzeganie zasad ochrony – Tomasza Kopińskiego, który jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Do zadań ABI należą w szczególności:
      1. zabezpieczenie danych przed ich utartą i ich udostępnieniem osobom nieupoważnionym;
      2. zabezpieczenie danych przed zabraniem przez osobę nieuprawnioną;
      3. zabezpieczenie danych przed przetwarzaniem danych osobowych zgodnie z Ustawą, pozostałymi przepisami prawa powszechnie obowiązującego oraz Polityką;
      4. zabezpieczenie danych przed zmianą, utratą, uszkodzeniem lub zniszczeniem;
      5. podejmowanie odpowiednich działań w przypadku stwierdzenia naruszenia ochrony danych osobowych, w systemach informatycznych lub kartotekach;
      6. nadzór i kontrola w zakresie określonym przepisami Ustawy, powszechnie obowiązującego prawa i Polityki.
    10. osobie odpowiedzialnej za prawidłowe funkcjonowanie sprzętu, oprogramowania i jego konserwację – rozumie się przez to informatyka odpowiedzialnego za powyższe zadania wyznaczonego przez Właściciela, zwanego dalej „Informatykiem”,
    11. komórce organizacyjnej – rozumie się przez to każdą wydzieloną organizacyjnie i funkcjonalnie komórkę wewnętrzną,
    12. użytkowniku – rozumie się przez to osobę wyznaczoną przez Administratora Danych lub osobę przez niego upoważnioną do bezpośredniego dostępu do danych osobowych przetwarzanych w systemie informatycznym oraz kartotekach, posiadającą uprzednio ustalony identyfikator i hasło,
    13. pomieszczeniach – rozumie się przez to pomieszczenia lub części pomieszczeń określone przez Administratora Danych, tworzące obszar, w którym przetwarzane są oraz gromadzone dane osobowe w kartotekach oraz systemie informatycznym.

§ 3

  1. Ochrona danych osobowych jest realizowana w szczególności poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez działania podejmowane przez samych użytkowników.
  2. Zastosowane zabezpieczenia gwarantują w szczególności:
    1. poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,
    2. integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
    3. rozliczalność – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
    4. integralność systemu – rozumie się przez to nienaruszalność systemu, niemożność jakiejkolwiek manipulacji,
    5. uwierzytelnianie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
  3. Za przestrzeganie zasad ochrony i bezpieczeństwa danych w komórkach organizacyjnych odpowiedzialni są kierownicy tych komórek zwani dalej Administratorami Bezpieczeństwa Informacji.

§ 4

  1. Przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych osobowych.
  2. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych osobowych jest obowiązany poinformować tę osobę o:
    1. adresie swojej siedziby i pełnej nazwie,
    2. celu zbierania danych osobowych,
    3. znanych mu w czasie udzielania informacji odbiorcach lub kategoriach odbiorców danych osobowych,
    4. prawie dostępu do treści swoich danych osobowych oraz ich poprawiania,
    5. dobrowolności podania danych osobowych.
  3. Dane osobowe będące w posiadaniu Fundacji są udostępniane zgodnie z przepisami ustawy.
  4. Każdej osobie przysługuje prawo do kontroli przetwarzania danych osobowych, które jej dotyczą, zawartych w zbiorach danych, stosownie do przepisów Ustawy, przepisów powszechnie obowiązującego prawa oraz Polityki.
  5. Administrator danych osobowych, obowiązany jest na wniosek osoby, której dotyczą dane osobowe, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, a w szczególności:
    1. jakie dane osobowe zainteresowanego zawiera konkretny zbiór,
    2. w jaki sposób zebrano dane osobowe zainteresowanego,
    3. w jakim celu i zakresie dane osobowe zainteresowanego są przetwarzane,
    4. w jakim zakresie oraz komu dane osobowe zainteresowanego zostały udostępnione.
  6. Fundacja może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
  7. Administrator danych osobowych obowiązany jest umożliwić przeprowadzenie kontroli upoważnionym do tego, zgodnie z ustawą, organom i reprezentującym je kontrolerom, a w szczególności umożliwić przeprowadzenie czynności oraz spełnić żądania, o których mowa w ustawie.
  8. Przetwarzanie danych osobowych w celu marketingu drogą elektroniczną wymaga dodatkowej zgody osoby, której dane dotyczą, sporządzonej w formie pisemnej.

§ 5

  1. Realizację zamierzeń określonych w Polityce powinny zagwarantować następujące założenia:
    1. wdrożenie procedur określających postępowanie osób zatrudnionych przy przetwarzaniu danych osobowych oraz ich odpowiedzialność za bezpieczeństwo tych danych,
    2. przeszkolenie użytkowników w zakresie bezpieczeństwa i ochrony danych osobowych,
    3. przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (hasła, identyfikatory), zapewniających im dostęp do baz danych osobowych – stosownie do indywidualnego zakresu upoważnienia,
    4. podejmowanie niezbędnych działań w celu likwidacji słabych ogniw w systemie zabezpieczeń,
    5. okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych osobowych, w odstępach nie krótszych nich 6 miesięcy, począwszy od ostatecznego dnia wprowadzenia procedur,
    6. śledzenie osiągnięć w dziedzinie bezpieczeństwa systemów informatycznych i – w miarę możliwości organizacyjnych i techniczno-finansowych – wdrażanie nowych narzędzi i metod pracy oraz sposobów zarządzania systemami informatycznymi, które będą służyły wzmocnieniu bezpieczeństwa danych osobowych.

§ 6

  1. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe stanowi integralny załącznik do niniejszej Polityki.
  2. Pomieszczenia znajdujące się w siedzibie Fundacji, w których dokonywane jest przetwarzanie danych osobowych, zabezpieczone są przed dostępem osób trzecich, w szczególności poprzez zamki mechaniczne oraz kody zabezpieczające.
  3. Fundacja do przechowywania i przetwarzania danych osobowych korzysta z serwerów oferowanych przez […….], a kopie bezpieczeństwa danych w postaci zaszyfrowanych i dostępnych jedynie dla Fundacji plików przechowywane są na serwerach zewnętrznych [tzw. Hosting].
  4. Dostawcy usług serwerowych zobowiązani są do zabezpieczenia technicznego swoich pomieszczeń przed dostępem osób trzecich według wewnętrznych procedur.
  5. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych osobowych stanowi integralny załącznik do niniejszej Polityki.
  6. W siedzibie Fundacji przetwarzane są następujące zbiory danych osobowych:
  7. Dane osobowe przetwarzane są z wykorzystaniem przeglądarki internetowej.
  8. Dane osobowe pochodzące od użytkowników (dających pożyczkę i biorących pożyczkę oraz kredytobiorców, i kredytodawców, a także pracowników Fundacji) są przetwarzane w zakresie:
    1. danych adresowych i identyfikacyjnych osób fizycznych – biorących pożyczkę i kredytobiorców (pseudonim, imię, nazwisko, kod pocztowy, miejscowość, ulica, nr domu, telefon, e-mail, NIP, dyplom itp.); oraz
    2. wszystkich składanych przez biorącego pożyczkę i kredytobiorcę – osobę fizyczną wnioskach (np. nr wniosku, dyplom, data wypłaty, dokumentacja) i wszystkich składanych przez danego dającego pożyczkę lub kredytodawcę – osobę fizyczną ofertach (np. umowy, indywidualne oferty itp.)

 

§ 7

  1. Użytkownicy otrzymają od administratora danych osobowych indywidualne, pisemne upoważnienie, wraz ze wskazaniem zakresu przetwarzania danych osobowych, stosownie do celów ich przetwarzania.
  2. Do przetwarzania wszystkich danych osobowych w obrębie Fundacji upoważnieni są w szczególności pracownicy Fundacji oraz pozostałe osoby ze Fundacją współpracujące na podstawie Umów innych niż umowa o pracę, na podstawie indywidualnych, pisemnych upoważnień, stosownie do zakresu przydzielonych ich zadań i określonych celem przetwarzania danych osobowych.
  3. Administrator danych osobowych może upoważnić do przetwarzania danych osobowych, w obrębie siedziby Fundacji inne osoby, w zakresie każdorazowo określonym w upoważnieniu, zgodnie z celem przetwarzania danych osobowych.
  4. Wszelkie upoważnienia odnotowywane są w Ewidencji upoważnień, prowadzonej przez administratora danych osobowych, w formie pisemnej. Ewidencja zawiera:
    1. numer upoważnienia
    2. imię i nazwisko osoby upoważnionej,
    3. zakres przydzielonych upoważnionemu uprawnień do przetwarzania danych osobowych,
    4. datę nadania i datę ustania upoważnienia,
    5. identyfikator, jeśli osoba przetwarza dane w systemie informatycznym.
  5. Kopię upoważnienia do przetwarzania danych osobowych osoba upoważniona winna podpisać i złożyć w archiwum dokumentów Fundacji.
  6. Za datę nadania uprawnień do przetwarzania danych osobowych rozumie się datę wpisania osoby do Ewidencji osób upoważnionych do przetwarzania danych osobowych.
  7. Udzielone upoważnienie do przetwarzania danych osobowych, może zostać w każdym czasie odwołane lub ograniczone, pisemnie, przy jednoczesnym powiadomieniu osoby upoważnionej.
  8. Za datę wygaśnięcia lub ograniczenia uprawnień przyjmuje się datę wygaśnięcia lub odebrania udzielonego im upoważnienia.

§ 8

  1. Każda osoba upoważnień do przetwarzania danych osobowych w Fundacji w jakimkolwiek zakresie zobowiązana jest zapoznać się z Polityką oraz systemem informatycznym służącym do przetwarzania danych osobowych i postępować zgodnie z nimi.
  2. W szczególności na każdą osobę, która kiedykolwiek przetwarzała dane osobowe w Fundacji, nałożony jest obowiązek zachowania tych danych w tajemnicy zarówno w momencie posiadania uprawnień do administrowania danymi, jak i po ustaniu tego uprawnienia, pod groźbą odpowiedzialności karnej.
  3. Każda osoba przetwarzająca dane osobowe w Fundacji zobowiązana jest, niezwłocznie po objęciu przez nią funkcji, a przed przystąpieniem do przetwarzania danych osobowych, podpisać kopię Upoważnienia do przetwarzania danych osobowych w Fundacji, które stanowi załącznik do niniejszego dokumentu.
  4. Upoważnienie do przetwarzania danych osobowych, przechowywane jest  w archiwum dokumentów Fundacji.

§ 9

  1. Za naruszenie ochrony danych osobowych uważa się w szczególności:
    1. nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń, w których się one znajdują,
    2. wszelkie modyfikacje danych osobowych lub próby ich dokonania przez osoby nieuprawnione (np. zmian zawartości danych, utrat całości lub części danych),
    3. naruszenie lub próby naruszenia integralności systemu,
    4. naruszenie lub próby naruszenia poufności danych lub ich części,
    5. nieuprawniony dostęp (sygnał o nielegalnym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu),
    6. udostępnienie osobom nieupoważnionym danych osobowych lub ich części,
    7. zniszczenie, uszkodzenie lub wszelkie próby nieuprawnionej ingerencji w systemy informatyczne zmierzające do zakłócenia ich działania bądź pozyskania w sposób niedozwolony (lub w celach niezgodnych z przeznaczeniem) danych zawartych w systemach informatycznych lub kartotekach,
    8. inny stan systemu informatycznego lub pomieszczeń niż pozostawiony przez użytkownika po zakończeniu pracy,
  1. Za naruszenie ochrony danych osobowych uważa się również włamanie do pomieszczeń, w których przetwarzane są dane osobowe lub próby takich działań.
  2. Za każdorazowe naruszenie danych osobowych, w szczególności naruszenia określone w § 9 ust 1 lit. a-h, na rzecz Fundacji przysługuje kara umowna w wysokości 10.000 złotych.
  3. Fundacja jest uprawniona do dochodzenia odszkodowania przenoszącego wysokość kary umownej określonej § 9 ust. 3 Polityki.

§ 10

  1. Administrator dopuszcza przepływ danych osobowych między poszczególnymi systemami i strukturami informatycznymi, po uprzednim uzyskaniu zaleceń Informatyka.
  2. Dopuszczalne jest tworzenie elektronicznych raportów, zestawień i baz służących realizacji usług Fundacji.
  3. Za przetwarzanie danych osobowych zebranych w formie, o której mowa w § 10 ust. 2, odpowiada osoba upoważniona do przetwarzania tych danych osobowych, w zakresie upoważnienia.
  4. Każdorazowo o powstaniu dokumentów, o których mówi § 10 ust. 2, informowany jest w formie pisemnej przez osobę tworzącą dokument administrator danych osobowych. Prowadzi on spis tych dokumentów wraz z określeniem osób upoważnionych do ich przetwarzania.

§ 11

  1. Celem zabezpieczenia zbiorów danych osobowych przed dostępem osób nieupoważnionych wprowadza się odpowiednie rozwiązania techniczne i organizacyjne.
  2. Dane osobowe przetwarzane są na urządzeniach znajdujących się w pomieszczeniach siedziby Fundacji.
  3. Urządzenia powyższe zabezpieczone są przed kradzieżą.
  4. Bezpośredni dostęp do danych osobowych jest zabezpieczony poprzez:
    1. zabezpieczenia hasłem dostępu do plików, przy czym niniejsze hasło musi być zmienione co najmniej raz na 30 dni,
    2. zabezpieczenie folderu, w którym przechowywane są dane, przy czym hasło do folderu musi być zmieniona co najmniej raz na 45 dni.
  5. Powyżej określone zabezpieczenie polega na utworzeniu nazwy użytkownika i hasła składającego się z minimum 8-znakowej kombinacji cyfr i liter. Są one indywidualne dla każdej osoby uprawnionej do przetwarzania danych. Użytkownik jest zobowiązany do zachowania w tajemnicy hasła określonego w § 11 ust. 5, samodzielnie wygenerowanego.
  6. W celu zabezpieczenia systemu i ochrony danych osobowych zastosowany jest system zabezpieczeń typu firewall – system izolacji selekcji połączeń z siecią zewnętrzną. Instalacje takie są obligatoryjne dla wszystkich urządzeń, na których przetwarzane są dane osobowe, a które połączone są z siecią zewnętrzną.
  7. W celu zabezpieczenia systemu i ochrony danych osobowych wprowadza się zabezpieczenie antywirusowe. Korzystanie z takiego oprogramowania jest obowiązkowe. Program antywirusowy musi spełniać należyte standardy, zgodne z aktualną wiedzą techniczną i technologiczną.
  8. Na osobie uprawnionej do przetwarzania danych osobowych spoczywa obowiązek dbania o aktualizację oprogramowania oraz poprawnego działania programu antywirusowego.
  9. Wszelkie nośniki danych znajdują się w Fundacji są zabezpieczone przed ich wyniesieniem bądź zniszczeniem przez nieuprawnione osoby.
  10. Dostęp do danych przetwarzanych elektronicznie, w tym w zakresie przechowywania kopii zapasowych, jest zabezpieczony hasłem, a dane stanowiące kopie zapasowe są szyfrowane.
  11. Jeśli istnieje konieczność serwisowania urządzeń, w obrębie których przechowywane są dane osobowe lub ich zbiory, zlecający usługę serwisowania zobowiązany jest do podpisania z serwisem umowy o zachowaniu tajemnicy danych osobowych.

§ 12

  1. Zbiór danych osobowych w systemie, z którego korzysta Fundacja chroniony jest z wykorzystaniem nowoczesnych mechanizmów szyfrowania.
  2. Administrator bezpieczeństwa informacji odpowiada za wszelkie aktualizacje systemu poprawiające jego bezpieczeństwo.
  3. Szczegółowy opis zabezpieczeń i uwierzytelniania dostępu zawiera Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Fundacji.
  4. Za sporządzenie kopii zapasowej danych osobowych odpowiada osoba bezpośrednio administrująca tymi danymi. Sposoby tworzenia kopii zapasowych danych przetwarzanych regulują Instrukcje zarządzania systemami informatycznymi w Fundacji.
  5. Osoba przetwarzająca dane osobowe w zbiorze tworzy kopie zapasowe tego zbioru w miarę potrzeb, nie rzadziej jednak niż raz w miesiącu.
  6. Szczegółowe zasady tworzenia, przechowywania i zabezpieczenia kopii zapasowych danych osobowych określają stosowne instrukcje zarządzania systemami informatycznymi w Fundacji.
  7. Osoba administrująca zbiorem danych osobowych tworzy kopie zapasowe tego zbioru za ostatnie 12 miesięcy oraz przechowuje w sposób zgodny ze szczegółowymi wytycznymi adekwatnych instrukcji zarządzania systemem informatycznym w Fundacji.
  8. Dane mogą być przenoszone i przekazywane pomiędzy osobami posiadającymi uprawnienia do ich przetwarzania.
  9. W chwili utraty uprawnień do przetwarzania danych osobowych, osoba tracąca uprawnienia zobowiązana jest niezwłocznie przekazać wszelkie zbiory danych będące w jej posiadaniu i ich kopie swojemu następcy wskazanemu przez ABI.
  10. Posiadanie lub przetwarzanie danych osobowych należących do Fundacji na Rzecz Uczciwej Bankowości przez osoby, które nie posiadają do tego uprawnień jest bezprawne.

§ 13

  1. Możliwe jest przenoszenie danych osobowych i ich zbiorów.
  2. Dane przenoszone winny być zabezpieczone przed dostępem osób trzecich, w szczególności:
    1. dokumenty elektroniczne winny być zabezpieczone w sposób gwarantujący najwyższe bezpieczeństwo,
    2. dane lub ich zbiory na nośnikach, w szczególności np. płytach CD, DVD, pendrive mogą być przesyłane za pośrednictwem poczty lub firmy kurierskiej wyłącznie po zabezpieczeniu samego nośnika oraz po nadaniu przesyłki za potwierdzeniem odbioru. Odbiorca winien być poinformowany pisemnie o przesyłce, jej dacie oraz zawartości najpóźniej w dniu nadania przesyłki. Odbiorca obowiązany jest sprawdzić kompletność przesyłki w momencie jej odbioru.

§ 14

  1. Dane osobowe i ich zbiory są przechowywane w Fundacji tak długo, jak ich przetwarzanie służy realizacji usług świadczonych przez Spółkę.
  2. Kopie zapasowe z danymi osobowymi winny być usunięte lub zniszczone niezwłocznie po ustaniu ich użyteczności.
  3. Dane niszczone są wyłącznie, gdy są bezużyteczne i nie ma obowiązku ich przechowywania.
  4. Osobą odpowiedzialną za zniszczenie danych lub ich zbiorów ABI.
  5. Zniszczenie danych osobowych elektronicznych polega na trwałym usunięciu tych danych, a jeśli to możliwe także sformatowaniu nośnika.
  6. Nośniki magnetyczne przekazywane na zewnątrz powinny być pozbawione zapisów zawierających dane osobowe. Niszczenie zapisów powinno odbywać się poprzez wymazywanie informacji oraz formatowanie nośnika.
  7. Uszkodzone nośniki magnetyczne przed ich wyrzuceniem należy fizycznie zniszczyć (przeciąć, przełamać, itp.).
  8. Zniszczenie danych osobowych odnotowuje się poprzez sporządzenie protokołu zniszczenia, który należy przechowywać w archiwum dokumentów Fundacji.
  9. Protokół zniszczenia zawiera w szczególności datę zniszczenia, informacje o niszczonych danych osobowych lub ich zbiorze, przyczynę zniszczenia danych oraz podpisy osób uprawnionych do zniszczenia danych.

§ 15

  1. Każdy nowo zatrudniany pracownik oraz osoba współpracująca ze Fundacją na podstawie innego rodzaju umowy- przed dopuszczeniem do dostępu do danych osobowych – podlega przeszkoleniu w zakresie przepisów o ochronie danych osobowych oraz wynikających z nich zadań oraz obowiązków.
  2. Wszyscy użytkownicy obowiązani są szkolić się, stosownie do potrzeb wynikających ze zmian w systemie informatycznym (wymiana sprzętu na nowszej generacji, zmiana oprogramowania) oraz w związku ze zmianą przepisów o ochronie danych osobowych lub zmian wewnętrznych regulacji.

§ 16

Za organizację dodatkowych szkoleń, odpowiedzialny jest Administrator Bezpieczeństwa Informacji.

§ 17

  1. Użytkownicy powinni mieć świadomość możliwości zaistnienia sytuacji naruszenia ochrony danych osobowych.
  2. W tym celu należy:
    1. zwracać szczególną uwagę przy wchodzeniu i wychodzeniu z obiektu na podejrzane osoby lub samochody parkujące w pobliżu,
    2. przestrzegać procedur związanych z otwieraniem i zamykaniem pomieszczeń, a także z wejściem do obszarów przetwarzania danych osobowych osób nieupoważnionych,
    3. informować Administratora Bezpieczeństwa Informacji lub pracowników ochrony o podejrzanych osobach, tj.:
      • osobach zachowujących się podejrzanie np. nieodpowiednio ubranych do pory roku, dnia i pogody;
      • osobach przebywających w siedzibie Fundacji, bez wyraźnego celu;
      • osobach posiadających przy sobie podejrzane bagaże, w których mogą być ukryte niebezpieczne przedmioty;
      • przestrzegać zasad i procedur ochrony danych osobowych, w czasie pracy a także po jej zakończeniu.
  3. Kierownicy komórek organizacyjnych, a także osoby na stanowiskach samodzielnych oraz użytkownicy zobowiązani są, na podstawie dokonanej identyfikacji ewentualnych zagrożeń, przedkładać Właścicielowi projekty i propozycje stosownych rozwiązań, których celem jest zabezpieczenie przed naruszeniem ochrony danych osobowych.

§ 18

  1. Klucze do szaf posiadają Kierownicy komórek organizacyjnych.
  2. Klucze do szaf mogą być wydawane osobom posiadającym upoważnienie od ABI.
  3. Klucze zapasowe do szaf, przechowywane są w metalowej kasecie na klucze i mogą być wydawane w sytuacjach awaryjnych.

§ 19

  1. Kartoteki przechowywane są w przeznaczonych do tego szafach, do których dostęp mają wyłącznie użytkownicy.
  2. Użytkownicy, o których mowa w ust. 1, odpowiedzialni są za rzetelne prowadzenie kartotek, ich kompletność oraz ochronę.

§ 20

  1. W celu ograniczenia dostępu osób postronnych do pomieszczeń, w których zlokalizowano przetwarzanie danych osobowych, wydzielono odrębne pomieszczenie dla potrzeb spotkań z osobami trzecimi, które są nieuprawnione do przebywania w pomieszczeniach w których odbywa się przetwarzanie danych.
  2. Pracownicy Administratora Danych obowiązani są do przestrzegania zasad określających dopuszczalne sposoby przemieszczania się osób trzecich w obrębie pomieszczeń w których przetwarzane są dane osobowe,
  3. Przebywanie osób trzecich w pomieszczeniach, gdzie przechowuje się lub odbywa się przetwarzanie danych może odbywać się wyłącznie w obecności użytkowników lub za zgodą Administratora Danych.

§ 21

  1. Stały dostęp do pomieszczeń, w których przetwarzane są dane osobowe, mają tylko użytkownicy.
  2. Dostęp do pomieszczeń, w których przetwarzane są dane osobowe, osób innych, niż wymienione w ust. 1, jest możliwy wyłącznie w obecności, co najmniej jednego użytkownika lub za zgodą Administratora Danych.
  3. Zakaz wyrażony w ust. 2 dotyczy innych niż określeni w ust. 1, pracowników Administratora Danych oraz pracowników służb technicznych, porządkowych, itp.
  4. Przebywanie użytkownika po godzinach pracy w pomieszczeniach, w których przetwarzane są dane osobowe jest dopuszczalne jedynie za zgodą ABI.

§ 22

Dopuszczalne jest przetwarzanie danych w trakcie prac technicznych wykonywanych przez osoby trzecie w pomieszczeniu przetwarzania danych, jeśli osoby trzecie są pod nadzorem użytkownika.

§ 23

Opis struktury zbiorów danych osobowych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposób przepływu danych określa załącznik do Polityki.

§ 24

  1. Przed przystąpieniem do pracy użytkownik obowiązany jest dokonać sprawdzenia stanu urządzeń komputerowych oraz oględzin swojego stanowiska pracy, w tym zwrócić szczególną uwagę, czy nie zaszły okoliczności wskazujące na naruszenie lub próby naruszenia ochrony danych osobowych.
  2. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych, użytkownik zobowiązany jest do bezzwłocznego powiadomienia o tym fakcie Administratora Bezpieczeństwa Informacji lub upoważnioną przez niego osobę.
  3. Obowiązek określony w ust. 2 ciąży również na pozostałych pracownikach Administratora Danych.
  4. Postanowienia ust. 2 i 3 mają zastosowanie zarówno w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych gromadzonych w systemach informatycznych, jak i w kartotekach.

§ 25

  1. Do czasu przybycia Administratora Bezpieczeństwa Informacji lub upoważnionej przez niego osoby, w przypadku podejrzenia naruszenia danych osobowych zgłaszający:
    1. powstrzymuje się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności, mogących spowodować zatarcie śladów naruszenia bądź innych dowodów,
    2. zabezpiecza elementy systemu informatycznego lub kartotek, przede wszystkim poprzez uniemożliwienie dostępu do nich osób nieupoważnionych,
    3. podejmuje, stosownie do zaistniałej sytuacji, wszelkie niezbędne działania zapobiegające dalszym zagrożeniom, które mogą skutkować utratą danych osobowych.
  2. Postanowienia ust. 1 mają zastosowanie zarówno w przypadku naruszenia, jak i w przypadku podejrzenia naruszenia ochrony danych.

§ 26

  1. Administrator Bezpieczeństwa Informacji lub upoważniona przez niego osoba sporządza z przebiegu zdarzenia raport, w którym powinny się znaleźć w szczególności informacje o:
    1. dacie i godzinie powiadomienia,
    2. godzinie pojawienia się w pomieszczeniach, w których przetwarzane są dane,
    3. sytuacji, jaką zastał,
    4. podjętych działaniach i ich uzasadnieniu.

§ 27

  1. Administrator Bezpieczeństwa Informacji lub osoba przez niego upoważniona podejmuje kroki zmierzające do likwidacji naruszeń zabezpieczeń danych osobowych i zapobiegania wystąpieniu ich w przyszłości. W tym celu:
    1. w miarę możliwości przywraca stan zgodny z zasadami zabezpieczenia systemu,
    2. relacjonuje Właścicielowi przedsięwzięte działania zaradcze,
    3. o ile taka potrzeba zachodzi, postuluje wprowadzenie nowych form zabezpieczenia, a w razie ich wprowadzenia nadzoruje zaznajamianie z nimi osób zatrudnionych przy przetwarzaniu danych osobowych.
  2. W przypadku, gdy naruszenie ochrony danych osobowych jest wynikiem uchybienia obowiązującej u Administratora Danych dyscypliny pracy, Administrator Bezpieczeństwa Informacji lub upoważniona przez niego osoba wnioskuje do Właściciela o wyjaśnienie wszystkich okoliczności incydentu i o podjęcie stosownych działań wobec osób, które dopuściły się tego uchybienia.

§ 28

  1. W przypadku zaginięcia komputera lub nośników danych, na których były zgromadzone dane osobowe, użytkownik posługujący się komputerem niezwłocznie powiadamia ABI lub upoważnioną przez niego osobę, a w przypadku kradzieży występuje o powiadomienie jednostki policji.
  2. W sytuacji, o której mowa w ust. 1 ABI lub upoważniona przez niego osoba podejmuje niezbędne kroki do wyjaśnienia okoliczności zdarzenia, sporządza protokół ze zdarzenia, który powinna podpisać także osoba, której skradziono lub której zaginął sprzęt oraz powiadamia ABI.
  3. W przypadku kradzieży komputera razem z nośnikiem danych ABI lub upoważniona przez niego osoba podejmuje działania zmierzające do odzyskania utraconych danych oraz nadzoruje proces przebiegu wyjaśnienia sprawy.

§ 29

Osoba zatrudniona przy przetwarzaniu danych osobowych za naruszenie obowiązków wynikających z niniejszej Polityki bezpieczeństwa oraz przepisów o ochronie danych osobowych ponosi odpowiedzialność przewidzianą w Kodeksie Cywilnym, Kodeksie Pracy oraz wynikając z Ustawy o ochronie danych osobowych.

§ 30

Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.

§ 31

  1. ABI jest obowiązany zapoznać z treścią Polityki każdego użytkownika.
  2. Użytkownik zobowiązany jest złożyć oświadczenie, o tym, iż został zaznajomiony z przepisami ustawy o ochronie danych osobowych, wydanymi na jej podstawie aktami wykonawczymi, obowiązującą Polityką bezpieczeństwa oraz Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

§ 32

  1. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy ustawy o ochronie danych osobowych oraz wydanych na jej podstawie aktów wykonawczych.
  2. Użytkownicy zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce.

Powiązane posty