Polityka ochrony danych osobowych
Niniejsza polityka opisuje reguły i zasady ochrony danych osobowych przetwarzanych w ramach działalności Stowarzyszenia Sportowe Pasje, ul. Kościuszki 27C, 19-300 Straduny.
Rozdział I
Postanowienia ogólne
§ 1
Celem niniejszej polityki jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych sposobu przetwarzania informacji zawierających dane osobowe, w tym zapewnienie ochrony danych osobowych przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.
§ 2
Niniejsza polityka została wdrożona w związku z treścią art. 24 ust. 2 RODO jako dowód dołożenia należytej staranności w zakresie ochrony danych osobowych.
§ 3
Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe oraz samych użytkowników.
§ 4
- Utrzymanie bezpieczeństwa przetwarzanych danych osobowych rozumiane jest jako zapewnienie ich poufności, integralności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych.
- Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
- poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom,
- integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany
- rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie
- integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej
- dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne
- zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
§ 5
- Administratorem danych osobowych jest Stowarzyszenie Sportowe Pasje, ul. Kościuszki 27C, 19-300 Straduny.
- Administrator danych osobowych nie wyznaczył inspektora ochrony danych osobowych świadomie, stwierdzając, że nie ciąży na nim taki obowiązek na podstawie art. 37 RODO.
- Administrator danych osobowych nie wyznaczył administratora systemów informatycznych i wszelkie jego obowiązki wykonuje samodzielnie.
Rozdział II
Zakres stosowania
§ 6
Polityka bezpieczeństwa zawiera informacje dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
§ 7
Politykę bezpieczeństwa stosuje się w szczególności do:
- danych osobowych przetwarzanych w formie papierowej,
- danych osobowych przetwarzanych w systemach informatycznych,
- informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
- rejestru osób dopuszczonych do przetwarzania danych osobowych,
- innych dokumentów zawierających dane osobowe.
§ 8
- Zakresy ochrony danych osobowych określone przez niniejszą politykę mają zastosowanie do systemów informatycznych, w których są przetwarzane dane osobowe, a w szczególności do:
- wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych, w których przetwarzane są dane osobowe podlegające ochronie,
- wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
- wszystkich pracowników, zleceniobiorców, wykonawców umów o dzieło, wykonawców umów o świadczenie usług, praktykantów, stażystów i innych osób mających dostęp do informacji podlegających ochronie.
- Do stosowania zasad określonych przez Politykę bezpieczeństwa zobowiązani są wszyscy pracownicy, zleceniobiorcy, wykonawcy umów o dzieło, wykonawcy umów o świadczenie usług, praktykanci, stażyści i inne osoby mające dostęp do informacji podlegających ochronie.
- Polityka bezpieczeństwa nie dotyczy podmiotów zewnętrznych, które przetwarzają dane osobowe powierzone im do przetwarzania przez administratora danych osobowych na podstawie stosownych umów powierzenia. Podmioty te stosują własne procedury i środki bezpieczeństwa związane z ochroną danych osobowych wymagane przez przepisy prawa, do czego zobowiązały się w ramach zawartych umów powierzenia przetwarzania danych osobowych.
Rozdział III
Opis działalności administratora danych osobowych, obszar przetwarzania danych osobowych i sprzęt wykorzystywany do przetwarzania danych osobowych
§ 9
- Administrator danych osobowych prowadzi działalność gospodarczą, w związku z czym dochodzi do przetwarzania danych osobowych.
- Dane osobowe przetwarzane są zarówno w formie elektronicznej, jak i papierowej.
§ 10
- Dane osobowe przetwarzane są w siedzibie Stowarzyszenia tj. w lokalu przy ul. Kościuszki 27C, 19-300 Straduny. Jest to lokal użytkowy o powierzchni ________ m2 iskłada się z _________ pomieszczeń.
- Dane osobowe w formie papierowej przechowywane są w obrębie tego lokalu określonego w pkt. 1.
- Dane osobowe w formie elektronicznej przetwarzane są w obrębie lokalu określonego w pkt 1 oraz siedziby administratora danych osobowych, ale mogą być przetwarzane z dowolnego miejsca i w dowolnym czasie, ponieważ przetwarzanie odbywa się z wykorzystaniem komputerów oraz innych urządzeń przenośnych. Ponadto, przetwarzanie odbywa się w ramach systemów informatycznych, do których dostęp następuje on-line, a systemy te nie są zainstalowane lokalnie na komputerach.
- Odpowiednie środki ochrony danych osobowych zostały wdrożone w lokalizacji, o której mowa w pkt. 1 powyżej oraz na urządzeniach wykorzystywanych do przetwarzania danych osobowych.
§ 11
- Dane osobowe przetwarzane są przy wykorzystaniu komputerów przenośnych.
- Przetwarzanie danych przy wykorzystaniu wskazanych powyżej urządzeń polega na tym, że następuje z nich logowanie do systemów, w ramach których przetwarzane są dane osobowe. Dane są również przechowywane na dyskach komputerów.
Rozdział IV
Środki techniczne i organizacyjne zabezpieczenia danych
§ 12
- W celu zapewnienia odpowiedniego poziomu ochrony danych osobowych wprowadzono zabezpieczenia organizacyjne i techniczne.
- Zabezpieczenia organizacyjne:
- sporządzono i wdrożono politykę ochrony danych osobowych,
- do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych osobowych,
- osoby upoważnione do przetwarzania danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych,
- osoby upoważnione do przetwarzania danych obowiązane zostały do zachowania ich w tajemnicy,
- dane osobowe przetwarzane są w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
- dane osobowe w formie papierowej przechowywane są w zamkniętej szafie,
- dokumenty zawierające dane osobowe są po ustaniu przydatności niszczone z wykorzystaniem niszczarek,
- lokalizacja, w której przechowywane są zbiory danych osobowych w formie papierowej zabezpieczona jest na wypadek pożaru poprzez wyposażenie pomieszczenia w gaśnice,
- monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
- Zabezpieczenia techniczne:
- zastosowano środki ochrony przed szkodliwym oprogramowaniem,
- zastosowano uwierzytelnienie z wykorzystaniem identyfikatora użytkownika oraz hasła przy starcie systemu operacyjnego komputera,
- zastosowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe,
- zastosowano mechanizm automatycznego wylogowania użytkownika po określonym czasie braku aktywności.
- Wskazane powyżej środki techniczne i organizacyjne zabezpieczenia danych dotyczą wyłącznie środków wdrożonych bezpośrednio przez administratora danych osobowych. W zakresie, w jakim administrator danych osobowych powierzył przetwarzanie danych osobowych innym podmiotom, podmioty te zobowiązały się utrzymywać odpowiednie środki ochrony danych osobowych wymagane przez przepisy prawa.
Rozdział V
Zadania administratora danych osobowych i administratora systemu informatycznego
§ 13
- Do najważniejszych obowiązków administratora danych osobowych należy:
- organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami obowiązujących przepisów prawa,
- zapewnienie przetwarzania danych zgodnie z uregulowaniami niniejszej polityki,
- wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
- prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
- prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych i zgłoszenie faktu naruszenia organowi nadzorczemu oraz zawiadomienie o tym osobę, której dane dotyczą,
- nadzór nad bezpieczeństwem danych osobowych,
- przeprowadzanie szkoleń dla osób upoważnionych do przetwarzania danych osobowych zgodnie z § 12 pkt 2.3.
Rozdział VI
Zgłaszanie i zawiadamianie o naruszeniu ochrony danych osobowych
§ 14
- Każde naruszenie ochrony danych osobowych powinno być niezwłocznie zgłaszane przez użytkowników administratorowi danych osobowych.
- Administrator danych osobowych dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte środki zaradcze.
- W przypadku naruszenia ochrony danych osobowych, na administratorze danych osobowych ciąży obowiązek zgłoszenia tego faktu do organu nadzorczego zgodnie z postanowieniami art. 33 RODO oraz zawiadomienia osoby, której dane dotyczą, zgodnie z postanowieniami art. 34 RODO.
Rozdział VII
Postanowienia końcowe
§ 15
- Administrator danych osobowych ma obowiązek zapoznać z treścią niniejszej polityki każdego użytkownika.
- Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej polityce.