Ochrona danych osobowych
POLITYKA OCHRONY DANYCH OSOBOWYCH (PODO)
Mając na uwadze przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanymi dalej RODO, wprowadza się
następujące zasady dotyczące pozyskiwania, przetwarzania i przechowywania danych osobowych w Lubartowskim Ośrodku Kultury w Lubartowie (LOK), będącym Administratorem Danych
osobowych w rozumieniu RODO.
§1 Zasady organizacyjne
1. Odpowiedzialność za prawidłowe i zgodne z przepisami prawa obowiązującego w Polsce prowadzenie czynności związane z pozyskiwaniem i przetwarzaniem danych osobowych
spoczywa na każdym pracowniku LOK.
2. Kierownicy poszczególnych komórek organizacyjnych w imieniu Dyrektora LOK sprawują nadzór nad zatrudnionymi w nich pracownikami w zakresie bezpieczeństwa przetwarzania
danych osobowych, prawidłowego ich przechowywania oraz wykonywaniem przez nich czynności w zgodzie z procedurami wewnętrznymi obowiązującymi w LOK, w szczególności
zgodnie z udzielonymi im upoważnieniami do przetwarzania danych osobowych.
3. Upoważnienia do przetwarzania danych osobowych udzielane są przez Dyrektora LOK, na wniosek.
4. Treść upoważnień przygotowuje oraz ich rejestr prowadzi Inspektor Ochrony Danych Osobowych.
5. Dane osobowe podlegają przetwarzaniu i przechowywaniu w zakresach opisanych w rejestrze czynności przetwarzania danych osobowych prowadzonym przez dział organizacyjny LOK oraz
na zasadach opisanych w niniejszej PODO i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
6. Pracownicy, którym udzielone zostaną upoważnienia do przetwarzania danych osobowych, a w szczególności kierownicy komórek organizacyjnych obowiązani są do stałego podnoszenia
swojej wiedzy z zakresu ochrony danych osobowych.
7. Dział administracyjny LOK odpowiada za weryfikowanie zawieranych przez LOK umów, zwłaszcza w zakresie przekazywania danych osobowych innym podmiotom do przetwarzania
pod kątem ich zgodności z przepisami prawa w tym zakresie w tym z RODO.
8. Administrator danych osobowych zapewnia regularne i zgodne z potrzebami poszczególnych pracowników szkolenia z zakresu ochrony danych osobowych.
§2 Zasady dotyczące sposobu pozyskiwania danych osobowych
1. Zakres zbieranych przez LOK danych osobowych wynika wprost z celów dla jakich są one gromadzone i co do zasady nie zawierają tych dotyczących wiary i wyznania, preferencji
seksualnych, przekonań politycznych i światopoglądowych oraz przynależności do grup etnicznych i rasowych.
2. Dane osobowe gromadzone przez LOK zbierane są wyłącznie za zgodą ich właścicieli i przetwarzane są w zakresie udzielonych zgód lub na podstawie upoważnienia ustawowego.
3. Co do zasady zgody dla LOK udzielane są na piśmie, a w przypadku danych pozyskiwanych drogą elektroniczną poprzez zgodę udzielaną za pośrednictwem narzędzi, które służą ich
przekazywaniu. W uzasadnionych przypadkach dopuszcza się przetwarzanie danych na podstawie zgody udzielonej ustnie.
4. LOK nie uzależnia świadczenia usług dostępnych jako oferta kulturalna od udzielenia zgody na przetwarzanie danych osobowych, chyba, że charakter świadczonych usług wskazuje, że
bez udzielenia takiej zgody świadczenie to byłoby niemożliwe.
5. Pozyskane dane osobowe chronione są od momentu ich pozyskania do usunięcia, zniszczenia, bądź przekazanie do Archiwum Państwowego.
6. LOK zapewnia osobom, których dane gromadzi i przetwarza pełną przejrzystość zasad przetwarzania ich danych oraz pełen dostęp do informacji o sposobie ich przetwarzania, przechowywania i udostępniania od momentu ich pozyskania do usunięcia bądź zniszczenia.
7. LOK co do zasady nie zbiera danych osobowych w celu przekazywania ich podmiotom trzecim, chyba że przepisy prawa do go do tego obligują lub jest to niezbędne do prawidłowej realizacji umowy, której stroną jest LOK
8. LOK może udostępnić dane innym podmiotom o ile jest to niezbędne do realizacji zadań statutowych LOK i wyłącznie za zgodą i wiedzą osób, których te dane dotyczą.
9. Publikowanie danych osobowych przez LOK odbywa się z poszanowaniem prawa do prywatności osób, których one dotyczą oraz za ich wiedzą i zgodą, chyba że dotyczą danych
osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.
10. W przypadku osób poniżej 16-go roku życia LOK pozyskuje i przetwarza dane osobowe tych osób wyłącznie za wiedzą i zgodą ich opiekunów prawnych.
11. Dane osobowe pozyskane przez LOK, które są zbędne dla celu dla jakiego zostały pozyskane bądź zostały pozyskane przypadkowo, są niezwłocznie kasowane, a w przypadku gdy ich nośnikiem jest dokument papierowy- niszczone.
§3 Zasady dotyczące przetwarzania danych osobowych
1. Przetwarzanie danych osobowych w LOK dokonywane jest wyłącznie przez osoby upoważnione i odpowiednio przygotowane do zastosowania środków zapewniających ich odpowiednią ochronę.
2. Przetwarzanie danych osobowych w LOK odbywa się w warunkach zapewniających ich bezpieczeństwo i w sposób uniemożliwiający dostęp do nich przez osoby postronne.
3. Dane osobowe przetwarzane są głównie na komputerach będących w posiadaniu LOK oraz przy użyciu oprogramowania gwarantującego ograniczenie dostępu do nich przez osoby postronne i nieupoważnione.
4. Przekazywanie danych utrwalonych w formie papierowej odbywa się za pośrednictwem sekretariatu i zgodnie z zasadami obiegu dokumentów, w sposób gwarantujący ich bezpieczeństwo i uniemożliwiający zapoznawanie się z nimi przez osoby niepowołane oraz pozwala na identyfikację wszystkich osób, które mają do nich dostęp.
5. Przekazywanie danych osobowych utrwalonych w formie elektronicznej dopuszczone jest wyłącznie za pośrednictwem poczty elektronicznej służącej jako oficjalna poczta elektroniczna LOK z wykorzystaniem adresów służbowych z przypisaniem osób mających uprawnienia do dostępu do korzystania z tej poczty.
6. Przenoszenie zbiorów danych osobowych możliwe jest tylko przez osobę odpowiedzialną za system informatyczny w LOK z wyłączeniem możliwości samodzielnego przenoszenia danych
przez pracowników za pomocą nośników zewnętrznych.
7. W trakcie przetwarzania danych osobowych, pracownik dokonujący tych czynności dba by dane te były niedostępne do zapoznania się przez osoby do tego nieupoważnione, w
szczególności osoby niezatrudnione w LOK.
8. Pomieszczenia, w których przetwarzane są dane osobowe są zabezpieczone w sposób zapewniający kontrolę dostępu do tych pomieszczeń by uniemożliwić swobodny do nich dostęp przez osoby nieuprawnione.
9. Przetwarzanie danych gromadzonych przez LOK na komputerach nie będących w posiadaniu LOK jest zabronione.
10. Przetwarzanie danych gromadzonych przez LOK poza siedzibą Administratora danych odbywa się wyłącznie na komputerach za wiedzą i zgodą Dyrektora LOK .
11. Dokumenty zawierające dane osobowe poddawane dalszemu przetwarzaniu bądź udostępnianiu są animizowane, bądź pseudonimizowane, chyba że ich pozostawienie jest niezbędne do prawidłowego ich przetwarzania.
12. Zasady pozyskiwania i przetwarzania danych osobowych w zamówieniach publicznych określa Regulamin udzielania zamówień publicznych.
§4 Zasady dotyczące przechowywania danych osobowych
1. Dane osobowe utrwalone na nośnikach papierowych lub innych drukowanych nośnikach przechowywane są wyłącznie w pomieszczeniach do tego przeznaczonych zgodnie z rejestrem czynności przetwarzania danych osobowych.
2. Przechowywanie dokumentów zawierających dane osobowe odbywa się w sposób uniemożliwiający dostęp do nich osób niepowołanych oraz zapewniających ich bezpieczeństwo
przechowywania.
3. Przechowywanie danych osobowych utrwalonych w formie elektronicznej odbywa się na dyskach sieciowych do tego dedykowanych, odpowiednio zabezpieczonych z pełną kontrolą dostępu do
tych zasobów.
4. W przypadku przechowywania danych na dyskach twardych komputerów służbowych LOK, ich kopia musi być bezwzględnie dokonywana na odpowiednim dysku sieciowym.
5. Przechowywanie danych na nośnikach elektronicznych odbywa się wyłącznie w lokalizacjach wskazanych w rejestrze czynności przetwarzania danych osobowych odpowiednich dla danego rodzaju czynności.
6. Przechowywanie na nośnikach zewnętrznych możliwe jest wyłącznie w celach archiwizacyjnych oraz w przypadku, gdy ich przechowywanie na dyskach sieciowych LOK jest technicznie
niemożliwe, bądź zagrożona jest integralność i bezpieczeństwo tych danych.
§5 Rejestr czynności przetwarzania danych osobowych
1. Rejestr czynności przetwarzania danych osobowych określa zakres czynności przewidzianych do
dokonywania dla danego rodzaju danych osobowych pozyskanych w określonym celu.
2. Rejestr zawiera w szczególności:
a. nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a
także inspektora ochrony danych;
b. cele przetwarzania- kategorie zbiorów;
c. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
e. planowane terminy usunięcia poszczególnych kategorii danych;
f. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa;
3. Rejestr poszczególnych operacji przetwarzania danych osobowych prowadzony jest w celu
rejestrowania czynności przetwarzania i kategoryzuje poszczególne zbiory danych określając
przewidziany dla osiągnięcia danego celu czynności jakim będą podlegały dane osobowe w
procesie ich przetwarzania.
4. Każdy nowy rodzaj rejestrowanych operacji określa informacje zawierające:
a. Cel pozyskania danych
b. Określenie kategorii zbioru danych pozyskiwanych w danym celu
c. Osoby upoważnione do pozyskania danych
d. Osoby upoważnione do ich przetwarzania
e. Zakres przetwarzania danych
f. Sposób ich udostępniania lub upubliczniania- o ile dotyczy
g. Odpowiedzialny pracownik LOK i zadanie dla którego pozyskuje się dane osobowe
h. Miejsce i sposób ich przechowywania
i. Czas przewidziany do ich przechowywania
j. Wzór zgody na pozyskanie i przetwarzanie danych osobowych dla danego rodzaju
czynności.
5. Rejestr czynności przetwarzania oraz rejestr poszczególnych operacji prowadzi upoważniony
pracownik LOK.
6. Każdorazowe pozyskiwanie danych osobowych przez LOK w określonym celu, poprzedzone
jest rejestracją przewidywanych czynności u upoważnionego pracownika.
7. Upoważniony pracownik w procesie rejestracji czynności przetwarzania danych osobowych
określa każdorazowo zakres oraz sposób pozyskiwania i przetwarzania danych osobowych w
sposób opisany w ust 4 niniejszego paragrafu i przekazuje te informacje wnioskodawcy oraz
jeśli potrzeba przygotowuje stosowne upoważnienie.
8. Osoba pozyskująca dane osobowe, przechowująca je oraz przetwarzająca postępuje w
sposób określony w rejestrze poszczególnych czynności przetwarzania danych osobowych.
9. Rejestr upoważnień do przetwarzania danych osobowych prowadzony jest odrębnie przez
osobę odpowiedzialną za sprawy kadrowe, a poszczególne upoważnienia przechowywane są
w aktach osobowych pracowników.
§ 6 Gromadzenie i przetwarzanie danych pozyskiwanych w sposób zautomatyzowany w ramach
realizacji usług społeczeństwa informacyjnego
a. Serwisy internetowe LOK nie zbierają w sposób automatyczny żadnych informacji, z
wyjątkiem informacji zawartych w plikach cookies.
b. Pliki cookies (tzw. „ciasteczka”) stanowią dane informatyczne, w szczególności pliki tekstowe,
które przechowywane są w urządzeniu końcowym Użytkownika Serwisów i przeznaczone są
do korzystania ze stron internetowych danego Serwisu. Cookies zazwyczaj zawierają nazwę
strony internetowej, z której pochodzą, czas przechowywania ich na urządzeniu końcowym
oraz unikalny numer.
c. Podmiotem zamieszczającym na urządzeniu końcowym Użytkownika Serwisu pliki cookies
oraz uzyskującym do nich dostęp jest LOK jako Operator Serwisu
d. Pliki cookies wykorzystywane są w celu:
– dostosowania zawartości stron internetowych Serwisu do preferencji Użytkownika oraz
optymalizacji korzystania ze stron internetowych; w szczególności pliki te pozwalają
rozpoznać urządzenie Użytkownika Serwisu i odpowiednio wyświetlić stronę internetową,
dostosowaną do jego indywidualnych potrzeb;
– tworzenia statystyk, które pomagają zrozumieć, w jaki sposób Użytkownicy Serwisu
korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości;
– utrzymanie sesji Użytkownika Serwisu (po zalogowaniu), dzięki której Użytkownik nie musi
na każdej podstronie Serwisu ponownie wpisywać loginu i hasła;
§ 7 Realizacja praw osób, których dane osobowe zostały pozyskane w celu przetwarzania w LOK
1. Dostęp do informacji o danych osobowych zapewnia Asystent ds. bezpieczeństwa danych.
2. Informacje o danych osobowych udzielane są na wniosek osoby, której dane dotyczą na
piśmie lub drogą elektroniczną, chyba że osoba której dane dotyczą zażąda informacji w innej
formie.
3. Udzielenie informacji, o których mowa w art. 15-22 RODO udzielane są w ciągu miesiąca od
wpływu do LOK wniosku osoby, której dane dotyczą.
4. LOK ma prawo odmówić w/w informacji lub pobrać opłatę w wysokości 30,00 zł za wniosek,
jeżeli żądania osoby, której dane dotyczą są ewidentnie nieuzasadnione lub nadmierne, albo
ze względu na ich ustawiczny charakter stanowią utrudnienie dla realizacji wniosku.
5. W przypadku, gdy nie można w posiadanych przez LOK zasobach zidentyfkować danych
osoby, której dane dotyczą wnioskodawca informowany jest o tym fakcie i odmawia realizacji
żądania.
6. Jeżeli wniosek z żądaniem, o którym mowa w ust 1 lit a. niniejszego paragrafu pozostawia
wątpliwości co do tożsamości osoby składającej wniosek, wnioskodawca zobowiązany jest do
przedstawienia dodatkowych informacji niezbędnych do potwierdzenia tożsamości tej osoby.
7. W przypadku żądań o skomplikowanym charakterze czas realizacji żądania, o którym mowa w
ust. 3, czas odpowiedzi na nie może być wydłużony o kolejne 2 miesiące.
8. Asystent ds. bezpieczeństwa danych odpowiedzialny jest za informowanie osób, których
dane dotyczą o każdym przypadku, zmiany, usunięcia lub innej formy zmiany przetwarzania
danych osobowych, jeżeli zakres przetwarzania odbiega od zakresu udzielonej LOK zgody
przez osobę której dane dotyczą.
9. Sprostowanie i usuwanie danych realizowane jest zgodnie z następującymi zasadami:
a. Każda osoba, której dane osobowe przetwarzane są przez LOK, na wniosek ma prawo do
ich sprostowania oraz usunięcia.
b. Usunięcie danych osobowych nie może pozostawać w sprzeczności z obowiązkami
dotyczącymi przechowywania danych osobowych wynikającymi z odrębnych ustaw.
c. Za sprostowanie i usunięcie danych osobowych odpowiada Dział Organizacyjny.
d. Sprostowanie lub usunięcie danych osobowych następuje niezwłocznie, nie później niż w
ciągu 30 dni od daty wpłynięcia wniosku w tej sprawie od osoby, której dane dotyczą.
10. Ograniczenie udzielania informacji, o których mowa w art. 15-22 RODO następuje jedynie w
przypadkach przewidzianych w przepisach prawa powszechnie obowiązującego.
11. Asystent ds. bezpieczeństwa danych jest odpowiedzialny za informowanie o sprostowaniu
lub usunięciu danych lub ograniczeniu przetwarzania osób, każdego odbiorcę, któremu
ujawniono dane osobowe, chyba że jest to niemożliwe lub wymaga niewspółmiernie dużego
nakładu pracy i kosztów.
12. Przenoszenie danych osobowych zgromadzonych przez LOK do innych podmiotów może być
zrealizowane jedynie przez osoby, których te dane dotyczą, chyba że osoba ta zażądała
przesłania tych danych bezpośrednio innemu administratorowi. Przekazanie danych przez
LOK następuje w terminie do 30 dni od daty wpłynięcia żądania.
§8 Ochrona danych osobowych osób zatrudnionych w LOK
1. Dane osobowe pracowników LOK pozyskiwane są i przetwarzane wyłącznie w celach określonych ustawą, w szczególnością Kodeksem Pracy.
2. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a. swoją tożsamość i dane kontaktowe oraz, gdy jest to konieczne, tożsamość i dane kontaktowe swojego przedstawiciela;
b. dane kontaktowe inspektora ochrony danych, jeżeli został powołany;
c. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania; jeżeli
podstawą przetwarzania jest prawnie uzasadniony interes administratora to
powinien on także zostać wykazany;
d. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli
istnieją;
e. jeżeli dane mają być przekazywane do państwa trzeciego: informację jakie będzie to
państwo, o podstawie przekazania danych (czy państwo to zapewnia odpowiedni
poziom ochrony), o możliwości uzyskania kopii danych oraz o miejscu ich
udostępniania;
f. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe,
kryteria ustalania tego okresu (w przypadku pracownika okres zatrudnienia oraz
przechowywania dokumentacji związanej z zatrudnieniem);
g. informacje o uprawnieniach osoby, której dane mają być przetwarzane: o prawie do
żądania od administratora dostępu do danych osobowych dotyczących osoby, której
dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o
prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do
przenoszenia danych, jeżeli dane są przetwarzane na podstawie zgody – o prawie do
cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem
przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
h. prawie wniesienia skargi do organu nadzorczego;
i. czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub
warunkiem zawarcia umowy, oraz czy osoba, której dane dotyczą, jest zobowiązana
do ich podania i jakie są ewentualne konsekwencje niepodania danych;
j. zautomatyzowanym podejmowaniu decyzji, w tym o proflowaniu.
§9
1. Przechowywanie danych osobowych odbywa się przez okres wskazany w uzgodnionej w trybie art. 6 ustawy z dnia 14 lipca 1983 r. o Narodowym zasobie archiwalnym i archiwach Instrukcji w sprawie organizacji i zakresu działania archiwum zakładowego oraz innych ustawach.
2. Jeżeli przetwarzane dane nie wymagają przekazania do Archiwum Państwowego lub przepisy szczególne nie stanowią inaczej, dane osobowe zbierane i przetwarzane przez LOK są przechowywane przez okres do lat 5.
§10 Umowy o przetwarzanie i powierzenie danych osobowych
1. Każde przekazanie danych osobowych w celu przetwarzania lub powierzenia danych osobowych odbywa się wyłącznie na podstawie stosownej umowy podmiotowi przetwarzającemu.
2. Podmiotami dopuszczonymi do przetwarzania danych są oprócz administratora danych, współadministratora i podmiotu przetwarzającego, są także osoby fizyczne upoważnione przez administratora lub podmiot przetwarzający.
3. Każda ze stron umowy, o której mowa w ust. 1 zobowiązuje się w dobrej wierze do negocjacji i dokonania uzgodnień, o których mowa w art. 26 RODO.
4. Każda ze stron będzie ponosiła koszty związane z jej pracami nad uzgodnieniami oraz koszty dotyczące wdrożenia zmian w jej systemach informatycznych oraz inne koszty związane ze
współadministrowaniem lub przetwarzaniem danych osobowych.
5. Podmiot przetwarzający i współadministrator jest samodzielnie odpowiedzialny za spełnienie przesłanek przetwarzania danych osobowych oraz wdrożenie odpowiednich środków
ochrony danych osobowych.
§11 Środki techniczne stosowane w ochronie danych osobowych
1. Administrator stosuje następujące środki organizacyjne:
a. Każda z osób zatrudnionych przy przetwarzaniu danych osobowych została upoważniona do przetwarzania danych. Jest prowadzona ewidencja upoważnień do przetwarzania danych.
b. Osoby upoważnione do przetwarzania danych zostały pouczone o obowiązku zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia.
c. Wyznaczono inspektora ochrony danych.
d. Osoby upoważnione do przetwarzania danych zostały zapoznane z przepisami o ochronie danych osobowych poprzez szkolenie przeprowadzone przez inspektora ochrony danych.
e. Osoby trzecie przebywają w obszarze przetwarzania danych wyłącznie w obecności osoby upoważnionej. Osoby trzecie mogą w wyjątkowych okolicznościach przebywać w obszarze przetwarzania danych po uprzednim wydaniu na to zgody przez administratora.
2 W związku z tym, że system informatyczny LOK ma dostęp do sieci publicznej, administrator wdrożył następujące środki techniczne:
a. Obszar przetwarzania danych jest zabezpieczony przed dostępem osób nieupoważnionych poprzez zastosowanie drzwi z zamkami patentowymi.
b. Dane osobowe w formie papierowej oraz kopie zapasowe danych w formie elektronicznej przechowywane są w zamykanych szafach.
c. Każdy użytkownik systemu informatycznego ma odrębny identyfkator.
d. Dostęp do danych w systemie informatycznym jest możliwy wyłącznie po wprowadzeniu identyfkatora oraz udanym uwierzytelnieniu użytkownika.
e. Stosuje się rozwiązania, które polegają na szyfrowaniu danych osobowych, lub zabezpieczaniu hasłem plików zawierających te dane, a przesyłanych przez sieć Internet.
f. Hasła do systemów informatycznych służących do przetwarzania danych osobowych składają się z co najmniej 8 znaków (małe, wielkie litery, przynajmniej jedna cyfra lub znak specjalny); hasła są zmieniane co 30 dni; jeżeli system nie wymusza zmiany hasła, użytkownik jest zobowiązany do zmiany hasła z własnej inicjatywy przed upływem 30 dni.
g. Na komputerach, za pomocą których są przetwarzane dane osobowe, zainstalowano oprogramowanie antywirusowe automatycznie ściągające najnowsze sygnatury wirusów.
h. Dostęp do danych osobowych z sieci publicznej ograniczony jest poprzez zastosowanie sprzętowej zapory ogniowej (Firewall) – chroni ona wszystkie systemy informatyczne przed nieuprawnionym dostępem i atakami z zewnątrz.
i. Co najmniej raz na trzy miesiące wykonywane są kopie zapasowe danych.
j. Kopie zapasowe przechowywane są w innym pomieszczeniu niż to, w którym znajduje się komputer na którym dane osobowe przetwarzane są na bieżąco.
k. Kopie zapasowe są usuwane niezwłocznie po ustaniu ich użyteczności.
l. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:
• likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku
gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;
• przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;
• naprawy – pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.
3 Szczegółowe zasady bezpieczeństwa danych w sieci informatycznej zawiera Instrukcja zarządzania systemem informatycznym.
§12 Analiza ryzyk bezpiecznego przetwarzania danych osobowych
1. Analizy ryzyk związanych z bezpieczeństwem przetwarzania danych osobowych w LOK dokonuje się w sposób systematyczny.
2. W celu realizacji analizy ryzyk powołuje się Zespół d.s. szacowania ryzyk bezpieczeństwa
danych osobowych (dalej Zespół), któremu przewodniczy Dyrektor LOK.
3. W skład Zespołu, o którym mowa powyżej wchodzą kierownicy poszczególnych komórek organizacyjnych LOK.
4. Zespół spotyka się nie rzadziej niż raz w miesiącu.
5. Ze spotkań zespołu sporządza się protokół, za który odpowiada Sekretarz Zespołu, którym jest Asystent ds. bezpieczeństwa danych.
6. W spotkania Zespołu uczestniczy Inspektor Ochrony Danych.
7. Zespół identyfikuje i szacuje ryzyka związane z bezpieczeństwem danych osobowych.
§13 Instrukcja postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych
1. Każdy pracownik LOK jest zobowiązany powiadomić inspektora ochrony danych, jeśli stwierdzi, że doszło do naruszenia ochrony danych osobowych lub będzie miał podejrzenie, że mogło dojść do takiego zdarzenia.
2. Typowe sytuacje, o których użytkownik powinien powiadomić inspektora ochrony danych:
a. ślady na drzwiach, oknach i szafach wskazują na próbę włamania,
b. zniszczenie dokumentacji zawierającej dane osobowe bez użycia niszczarki,
c. fzyczna obecność w budynku lub pomieszczeniach osób zachowujących się podejrzanie,
d. otwarte drzwi do pomieszczeń, szaf, w których przechowywane są dane osobowe,
e. ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe,
f. wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz frmy bez
upoważnienia inspektora ochrony danych,
g. udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej,
elektronicznej i ustnej,
h. telefoniczne próby wyłudzenia danych osobowych,
i. kradzież komputerów lub CD, twardych dysków, pendrive z danymi osobowymi,
j. e-maile zachęcające do ujawnienia identyfkatora i/lub hasła,
k. pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów,
l. przechowywanie haseł do systemów w pobliżu komputera.
3. W przypadku stwierdzenia zagrożenia bezpieczeństwa danych osobowych inspektor ochrony
danych prowadzi postępowanie wyjaśniające, w toku którego:
a. ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki,
b. inicjuje ewentualne działania dyscyplinarne,
c. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości,
d. dokumentuje prowadzone postępowania.
4. W przypadku stwierdzenia incydentu (naruszenia) bezpieczeństwa danych osobowych inspektor ochrony danych prowadzi postępowanie wyjaśniające, w toku którego:
a. ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały,
b. zabezpiecza ewentualne dowody,
c. ustala osoby odpowiedzialne za naruszenie,
d. podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody),
e. inicjuje działania dyscyplinarne,
f. wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości, g. dokumentuje prowadzone postępowania.
Inspektor ochrony danych w Lubartowskim Ośrodku Kultury: Sławomir Zagojski e-mail: zaslaw @ doradztwo – lubartow . pl