Polityka ochrony danych osobowych

          § 1

Celem Polityki ochrony danych osobowych, zwanej dalej „Polityką” w Stowarzyszeniu Latarnia ul. Zarzecze 114a, 30-134 Kraków, jest uzyskanie zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe.

§ 2

  • Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.
  • Administratorem danych osobowych jest Stowarzyszenie Latarnia.

§ 3

Zastosowane zabezpieczenia mają zapewnić:

  • poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
  • integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
  • rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
  • integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
  • dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
  • zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
  • Realizację powyższych zamierzeń powinny zagwarantować następujące założenia:
  • wdrożenie procedur określających postępowanie osób dopuszczonych do przetwarzania danych osobowych oraz ich odpowiedzialność za ochronę tych danych.
  • przeszkolenie użytkowników w zakresie bezpieczeństwa i ochrony danych osobowych.
  • przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (hasła, identyfikatory).
  • podejmowanie niezbędnych działań w celu likwidacji słabych ogniw w systemie zabezpieczeń,
  • okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych osobowych.

§ 4

Przez użyte w Polityce określenia należy rozumieć:

  • administrator danych osobowych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
  • ustawa  ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych ( Dz.U. z 2018 r., poz. 1000)
  • RODO – rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str. 1/,
  • dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
  • przetwarzane danych – operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itd.,
  • system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
  • system tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,
  • zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
  • odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe w oparciu m. in. o umowę powierzenia,
  • strona trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe,
  • użytkownik –osoba upoważniona do przetwarzania danych osobowych.

§ 5

  • Stowarzyszenie Latarnia przetwarza dane osobowe klientów, partnerów biznesowych, pracowników i kandydatów do pracy.
  • Informacje te są przetwarzane zarówno w postaci dokumentacji papierowej, jak i elektronicznej.  
  • Polityka zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
  • W przedsiębiorstwie Stowarzyszenia Latarnia wyznaczono inspektora ochrony danych osobowych z którym można skontaktować się za pośrednictwem adresu email: malemiastoww@gmail.com lub poczty tradycyjnej na adres siedziby Stowarzyszenia Latarnia.

§ 6

Politykę stosuje się w szczególności do:

  • danych osobowych przetwarzanych w systemie:  Microsoft Office,
  • wszystkich informacji dotyczących danych klientów, pracowników, kandydatów do pracy, partnerów biznesowych
  • odbiorców danych osobowych, którym przekazano dane osobowe do przetwarzania w oparciu o umowy powierzenia
  • informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
  • innych dokumentów zawierających dane osobowe.

§ 7

Zakresy ochrony danych osobowych określone przez Politykę oraz inne z nią związane dokumenty mają zastosowanie do:

  • wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie,
  • wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
  • wszystkich pracowników, stażystów, i innych osób mających dostęp do informacji podlegających ochronie.
  • Do stosowania zasad określonych przez Politykę oraz innych z nią związanych dokumentów zobowiązane są wszystkie osoby mające dostęp do danych osobowych podlegających ochronie.

§ 8

Dane osobowe są przetwarzane z poszanowaniem następujących zasad:

  • w oparciu o podstawę prawną i zgodnie z prawem (legalizm)
  • rzetelnie i uczciwie (rzetelność)
  • w sposób przejrzysty dla osoby, której dane dotyczą (transparentność)
  • w konkretnych celach i nie „na zapas” (minimalizacja)
  • nie więcej niż potrzeba (adekwatność)
  • z dbałością o prawidłowość (prawidłowość)
  • nie dłużej niż potrzeba (czasowość)
  • zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo)

§ 9

 Dane osobowe gromadzone są w zbiorach:

  • Umowy cywilno-prawne,- dokumentacja papierowa
  • Umowy zawierane z klientami – dokumentacja papierowa
  • Umowy o pracę – dokumentacja papierowa
  • Rejestr klientów – forma elektroniczna
  • Dokumenty archiwalne – dokumentacja papierowa
  • Dokumenty księgowe – dokumentacja papierowa i elektroniczna

§ 10

Za naruszenie ochrony danych osobowych uważa się w szczególności:

  • nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń, w których się one znajdują
  • naruszenie lub próby naruszenia integralności danych rozumiane jako wszelkie modyfikacje, zniszczenia lub próby ich dokonania przez osoby nieuprawnione lub uprawnione działające w złej wierze lub jako błąd w działaniu osoby uprawnionej (np. zmianę zawartości danych, utratę całości lub części danych),
  • naruszenie lub próby naruszenia integralności systemu
  • zmianę lub utratę danych zapisanych na kopiach zapasowych,
  • naruszenie lub próby naruszenia poufności danych,
  • nieuprawniony dostęp (sygnał o nielegalnym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu),
  • udostępnienie osobom nieupoważnionym danych osobowych
  • zniszczenie, uszkodzenie lub wszelkie próby nieuprawnionej ingerencji w system informatyczny zmierzające do zakłócenia jego działania bądź pozyskania w sposób niedozwolony lub w celach niezgodnych z przeznaczeniem danych zawartych w systemie,
  • inny stan systemu informatycznego lub pomieszczeń, niż pozostawiony przez użytkownika po zakończeniu pracy.
  • za naruszenie ochrony danych osobowych uważa się również włamanie do budynku lub pomieszczeń, w których przetwarzane są dane osobowe lub próby takich działań
  • W przypadku stwierdzenia naruszenia:
  • zabezpieczenia systemu informatycznego,
  • technicznego stanu urządzeń,
  • zawartości zbioru danych osobowych,
  • ujawnienia metody pracy lub sposobu działania programu,
  • jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych,
  • innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, itp.) każda osoba zatrudniona przy przetwarzaniu danych jest obowiązana niezwłocznie powiadomić o tym fakcie Administratora danych.
  • Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami wszczyna się postępowanie dyscyplinarne lub porządkowe.
  • Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych.

§ 11

Każdej osobie, której dane osobowe są przetwarzane przysługuje prawo do kontroli przetwarzania jej danych osobowych, a w szczególności prawo do:

    • uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane oraz do otrzymania informacji o pełnej nazwie i adresie siedziby administratora danych;
    • uzyskania informacji o celu, zakresie i sposobie przetwarzania danych osobowych;
    • uzyskania informacji, od kiedy są przetwarzane jej dane osobowe, oraz podania w powszechnie zrozumiałej formie treści tych danych;
    • uzyskania informacji o źródle, z którego pochodzą dane osobowe jej dotyczące;
    • uzyskania informacji o sposobie udostępniania danych osobowych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe są udostępniane;
    • żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem

§ 12

Dane osobowe przetwarzane są w budynku położonym w Krakowie przy ul. Wileńskiej 4 lok. 1U.

§ 13

  • Na terenie Bawialni MAłe Miasto Wielka Wyobraźnia funkcjonuje monitoring wizyjny.
  • Dane pozyskane z monitoringu wizyjnego przechowywane są przez okres nie dłuższy niż 3 miesiące od dnia nagrania.
  • Teren monitorowany jest odpowiednio oznaczony, zgodnie z art. 222 § 9 i 10 Kodeksu Pracy.

§ 14

  • Polityka została opracowana w oparciu o wymagania zawarte w:
  • Rozporządzeniu Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str.1/,
  • Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000),
  • Polityka jest dokumentem wewnętrznym i nie może być udostępniana osobom postronnym w żadnej formie.
  • Użytkownicy są zobowiązani zapoznać się z treścią Polityki.
  • Użytkownik zobowiązany jest złożyć oświadczenie o tym, iż został zaznajomiony z przepisami RODO, ustawy o ochronie danych osobowych oraz wydanych na jej podstawie aktów wykonawczych, z niniejszą Polityką, a także zobowiązać się do ich przestrzegania.
  • W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie aktualnie obowiązujące przepisy prawa w zakresie ochrony danych osobowych.
  • Użytkownicy zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych postanowień zawartych w niniejszej Polityce. W wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących u administratora danych, użytkownicy mają obowiązek stosowania unormowań dalej idących, których stosowanie zapewni wyższy poziom ochrony informacji.