1. Źródła prawa:
Niniejsza polityka bezpieczeństwa danych osobowych została opracowana w oparciu o powszechnie obowiązujące przepisy prawa z zakresu ochrony danych osobowych i jej treść odpowiada wymaganiom stawianym w szczególności przez przepisy:
- rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej RODO;
- ustawy z dnia 10 maja 2018 r o ochronie danych osobowych (Dz.U.2018.1000), zwanej dalej UODO.
2. Cel polityki
Niniejsza polityka określa zasady, procedury oraz środki techniczne i organizacyjne niezbędne w celu zapewnienia ochrony danych osobowych przetwarzanych w Fran Mar Magdalena Mazur z siedzibą w Krakowie, przed wszelkiego rodzaju zagrożeniami.
Stosowanie zasad oraz wdrożenie procedur, określonych w niniejszej polityce ma na celu zapewnienie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe oraz utrzymania bezpieczeństwa ich przetwarzania.
Dane osobowe przetwarza się z zachowaniem zasad:
- zgodności z prawem, rzetelność i przejrzystości;
- ograniczenia celu;
- minimalizacji danych;
- prawidłowości;
- ograniczenia przechowywania;
- integralności i poufności.
3. Definicje
Użyte w treści niniejszej polityki bezpieczeństwa informacji określenia oznaczają:
- administrator danych osobowych – podmiot, który decyduje o środkach i celach przetwarzania danych osobowych – Fran Mar Magdalena Mazur z siedzibą w Krakowie , ul. Rakowicka 20/23, 31-510 Kraków; pełni jednocześnie funkcje Inspektora ochrony danych (IOD),
- dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
- zbiór danych osobowych – każdy posiadający strukturę zestaw danych osobowych, dostępnych według określonych kryteriów;
- przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, w tym zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie;
- osoba upoważniona – osoba posiadająca upoważnienie do przetwarzania danych osobowych wydane przez administratora danych osobowych lub inny podmiot do tego umocowany;
- system informatyczny – zespół współpracujących urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych w celu przetwarzania danych;
- urządzenie przenośne – urządzenie elektroniczne, pozwalające na przetwarzanie, odbieranie i wysyłanie danych bez konieczności utrzymywania przewodowego połączenia z siecią (m.in. notebook, smartfon);
- nośnik danych – przedmiot, na którym możliwe jest zapisanie oraz późniejsze odczytanie informacji, nośnik danych może być odczytany na dowolnym urządzeniu wyposażonym w odpowiedni napęd lub slot;
- użytkownik – osoba upoważniona do bezpośredniego dostępu do danych osobowych przetwarzanych w systemie informatycznym;
- incydent – każde zdarzenie, które zagraża lub może zagrozić bezpieczeństwu danych osobowych, w tym ich poufności, dostępności lub integralności.
4. Zakres stosowania
Niniejszą politykę stosuje się do wszelkich operacji przetwarzania danych osobowych, w tym do przetwarzania danych w systemach informatycznych oraz zapisanych w postaci elektronicznej na zewnętrznych nośnikach informacji. Dopuszcza się możliwość przyjęcia i stosowania obok niniejszej polityki regulacji szczególnych.
5. Obowiązki administratora danych osobowych
Administrator danych osobowych obowiązany jest do zabezpieczenia danych osobowych przed ich udostępnieniem osobom nieupoważnionym lub zabraniem przez te osoby oraz przetwarzaniem z naruszeniem prawa, a w tym przed ich nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator danych osobowych ( pełniący również funkcje Inspektora Ochrony Danych )
- zapewnia legalność procesów przetwarzania danych osobowych,
- sprawuje nadzór nad zabezpieczeniem danych osobowych,
- na bieżąco identyfikuje i analizuje zagrożenia oraz ryzyko związane z bezpieczeństwem przetwarzanych danych osobowych,
- kontroluje i monitoruje funkcjonowanie zabezpieczeń, wdrożonych w celu ochrony danych osobowych w systemach informatycznych oraz przetwarzanych poza systemami informatycznymi;
- podejmuje działania służące zapobieganiu naruszeń procedur z zakresu ochrony danych osobowych oraz usunięciu skutków tych naruszeń
6. Sposób odnotowania informacji o udostępnieniu danych osobowych odbiorcom
Za odbiorcę danych uznaje się każdy podmiot, któremu udostępnia się dane osobowe, z wyłączeniem:
- osoby, której dane dotyczą;
- osoby upoważnionej do przetwarzania danych osobowych;
- podmiotu przetwarzającego dane na zlecenie administratora danych osobowych w oparciu o umowę powierzenia przetwarzania danych osobowych;
- organów państwowych lub samorządowych, którym dane udostępniane są w związku z prowadzonym postępowaniem.
7. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych
Elektroniczne nośniki informacji zawierające dane osobowe, w tym pamięci flash, dyski optyczne, taśmy magnetyczne i dyski twarde przechowywane są w siedzibie Fran Mar w Krakowie.
8. Identyfikuje się następujące kategorie zagrożeń bezpieczeństwa przetwarzania danych osobowych oraz towarzyszących tym zagrożeniom ryzyk:
- zagrożenia losowe zewnętrzne, obejmujące w szczególności klęski żywiołowe i przerwy w dostawie energii elektrycznej niezależne od administratora danych osobowych, mogą prowadzić do utraty danych lub naruszenia ich integralności;
- zagrożenia losowe wewnętrzne, obejmujące w szczególności błędy ludzkie, awarie sprzętowe, błędy oprogramowania, mogą prowadzić do utraty danych lub naruszenia ich integralności oraz do naruszenia poufności przetwarzanych danych osobowych;
- zagrożenia związane z działaniem zamierzonym osób trzecich, obejmujące wszelkie działania osób trzecich, w tym pracowników administratora danych osobowych, nakierowane na dokonanie czynności naruszających bezpieczeństwo danych osobowych, mogą prowadzić do utraty danych lub naruszenia ich integralności oraz do naruszenia poufności przetwarzanych danych osobowych.
9. Niszczenie nośników danych osobowych
Nośniki zawierające nieaktualne dane osobowe oraz nośniki uszkodzone niszczy się w sposób uniemożliwiający odzyskanie zawartych na nich danych z wykorzystaniem przeznaczonych do tego urządzeń specjalistycznych (niszczarki) lub poprzez przekazanie nośników do wyspecjalizowanego podmiotu trzeciego.
Przekazywanie nośników informacji służących do przetwarzania danych osobowych podmiotowi trzeciemu odbywa się na podstawie protokołu podpisanego przez IOD.
10. Postanowienia końcowe
Niniejsza polityka wchodzi w życie z dniem 25 maja 2018 r.
Do zapoznania się z niniejszą polityką i jej stosowania zobowiązany jest administrator danych osobowych, IOD oraz wszyscy pracownicy, w tym osoby świadczące usługi na podstawie umów cywilnoprawnych oraz podmioty świadczące usługi na rzecz Fran Mar na podstawie umów cywilnoprawnych.
Administrator danych osobowych oraz IOD mają prawo do kontroli stosowania określonych niniejszą polityką zasad ochrony danych osobowych w każdym czasie.