RODO - Polska Izba Ekologii

POLITYKA OCHRONY DANYCH OSOBOWYCH W POLSKIEJ IZBIE EKOLOGII

CZĘŚĆ OGÓLNA

Art. 1
1. Dane osobowe w Polskiej Izbie Ekologii, zwanej dalej „PIE” przetwarzane są z poszanowaniem obowiązujących w tym zakresie przepisów prawa, a w szczególności:
1) przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity z 2002 r., Dz.U. Nr 101, poz.926 z późniejszymi zmianami) oraz przepisów wykonawczych z nią związanych,
2) przepisów art.221 §1 – 5 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity z 1998 r., Dz.U. Nr 21, poz.94 z późniejszymi zmianami) i przepisów wykonawczych z nią związanych,
3) przepisów rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”);
4) innych przepisów normujących przetwarzanie danych osobowych określonych kategorii.

Art. 2
Polityka ochrony danych osobowych w PIE, zwana dalej: „Polityką” stanowi dokument, którego celem jest określenie podstawowych reguł dotyczących zapewnienia bezpieczeństwa w zakresie danych osobowych przetwarzanych w zbiorach danych:
1) tradycyjnych, w szczególności w księgach, wykazach, kartotekach, skorowidzach, w innych zbiorach ewidencyjnych;
2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych osobowych.

Art. 3
1. PIE realizując Politykę dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były:
1) przetwarzane zgodnie z prawem,
2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu
przetwarzaniu niezgodnemu z tymi celami,
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej
niż jest to niezbędne do osiągnięcia celu przetwarzania.
2.PIE realizując Politykę stosuje odpowiednie środki informatyczne, techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza dane przed:
1) ich udostępnieniem osobom nieupoważnionym,
2) zabraniem przez osobę nieuprawnioną,
3) przetwarzaniem z naruszeniem ustawy,
4) zmianą, utratą, uszkodzeniem lub zniszczeniem.
3. PIE realizując Politykę dąży do systematycznego unowocześniania stosowanych na jego terenie informatycznych, technicznych i organizacyjnych środków ochrony tych danych. W szczególności PIE zapewnia aktualizację informatycznych środków ochrony danych osobowych pozwalającą na zabezpieczenie przed wirusami, nieuprawnionym dostępem oraz innymi zagrożeniami danych, płynącymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych.

Art.4
1. PIE realizując Politykę sprawuje kontrolę i nadzór nad niszczeniem zbędnych danych osobowych lub ich zbiorów.
2. Niszczenie zbędnych danych osobowych lub ich zbiorów polegać powinno w szczególności na:
1) trwałym, fizycznym zniszczeniu danych osobowych lub ich zbiorów wraz z ich nośnikami w stopniu uniemożliwiającym ich późniejsze odtworzenie przez osoby
niepowołane przy zastosowaniu powszechnie dostępnych metod;
2) anonimizacji danych osobowych lub ich zbiorów, polegającej na pozbawieniu danych osobowych lub ich zbiorów cech pozwalających na identyfikacje osób fizycznych, których
anonimizowane dane dotyczą.
3. Osoby przetwarzające dane osobowe w PIE mają obowiązek stosowania oddanych im do dyspozycji narzędzi i technik niszczenia zbędnych danych osobowych lub ich zbiorów.
4. Naruszanie przez pracowników PIE, upoważnionych do dostępu lub przetwarzania danych osobowych norm postępowania obowiązujących w PIE dotyczących niszczenia zbędnych danych osobowych lub ich zbiorów traktowane będzie, jako ciężkie naruszenie podstawowych obowiązków pracowniczych z wszystkimi wynikającym stąd konsekwencjami, z rozwiązaniem stosunku pracy z winy pracownika włącznie.
5. Kontrola i nadzór nad niszczeniem zbędnych danych osobowych lub ich zbiorów może w
szczególności polegać na wprowadzeniu odpowiednich norm postępowania dotyczących niszczenia danych, a także zlecaniu niszczenia ich, wyspecjalizowanym podmiotom zewnętrznym, gwarantującym bezpieczeństwo procesu niszczenia danych odpowiednie do rodzaju nośnika tych danych.

Art. 5
Dane osobowe w PIE przetwarzane są w systemie informatycznym znajdującym się w lokalu na IV piętrze przy ul. Warszawskiej 3 w Katowicach. Dodatkowo dane te przetwarzane są również w siedzibie podmiotów zewnętrznych, które zostały upoważnione do przetwarzania tych danych – w tym biura rachunkowego Pro Fimex Adam Ficek w Chorzowie (Plac Osiedlowy 2/1 ) – na podstawie zawartej umowy.

Art. 6
Szczegółowe zasady ochrony danych osobowych przetwarzanych w systemach informatycznych przez PIE określa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Art. 7
1. PIE udostępnia przetwarzane na jego obszarze dane osobowe wyłącznie osobom do tego upoważnionym na mocy uregulowań wewnętrznych obowiązujących w tym zakresie na jego obszarze oraz ewentualnie na podstawie umów o powierzanie przetwarzania danych zawartych z podmiotami zewnętrznymi.
2. Upoważnienie, o którym mowa w art. 7 ust. 1 niniejszej Polityki, wynikać może w szczególności:
1) z charakteru pracy wykonywanej na danym stanowisku pracy, lub
2) z dokumentu określającego zakres obowiązków (zakres czynności) wykonywanych na danym stanowisku pracy, lub
3) z odrębnego dokumentu zawierającego imienne upoważnienie do dostępu do danych osobowych.

Art. 8
1. Dostęp do danych osobowych i ich przetwarzanie bez odrębnego upoważnienia administratora danych osobowych lub upoważnionej przezeń osoby może mieć miejsce wyłącznie w przypadku działań podmiotów upoważnionych na mocy odpowiednich przepisów prawa do dostępu i przetwarzania danych określonej kategorii.
2. Dostęp do danych osobowych zgodnie z ust. 1, mogą mieć w szczególności: Państwowa Inspekcja Pracy, Zakład Ubezpieczeń Społecznych, organy skarbowe, Policja, Agencja Bezpieczeństwa Wewnętrznego, Centralne Biuro Antykorupcyjne, sądy powszechne, Najwyższa Izba Kontroli, Generalny Inspektor Ochrony Danych Osobowych/Prezes Urzędu Ochrony Danych Osbowych i inne podmioty na podstawie upoważnienia wynikającego z przepisów prawa.

Art. 9
Administrator reaguje na incydenty naruszenia bezpieczeństwa danych osobowych w sposób określony w Instrukcji Postępowania z Incydentami, stanowiącej Załącznik nr 1 do niniejszej Polityki.

CZĘŚĆ SZCZEGÓŁOWA

Art. 10
1. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe:
1) ul. Warszawska 3, IV piętro, Katowice
2. Dostęp do budynków i pomieszczeń wskazanych ust.1, w których przetwarzane są dane osobowe podlega kontroli. Kontrola dostępu polega w szczególności na umożliwianiu dostępu do tych pomieszczeń jedynie osobom upoważnionym bądź innym osobom ale w towarzystwie osób upoważnionych oraz prowadzeniu ewidencji osób pobierających lub zdających klucze do tychże budynków i pomieszczeń. Obszar, o którym mowa w ust. 1 niniejszej Polityki zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. Przebywanie osób nieuprawnionych na tym obszarze jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.
3. Administrator stosuje procedurę postępowania z kluczami, stanowiącą Załącznik nr 2 do Polityki (”Polityka kluczy”).

Art. 11
1. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych:
1) Wykaz zbiorów danych osobowych przetwarzanych w systemach informatycznych:
a. skrzynka mailowa – wymiana informacji z klientami
b. dane pracowników
d. dane rekrutacyjne
e. dane ekspertów
f. dane uczestników konferencji/szkoleń/konkursów
g. dane członków
h. zleceniobiorcy
i. kontrahenci

2) Wykaz zbiorów prowadzonych manualnie:
a. Dokumentacja kadrowa pracowników
b. Dokumentacja płacowa pracowników/zleceniobiorców/kontrahentów
c. Dokumentacja podatkowa
d. Druki ZUS ZLA
e. Dokumenty osób ubiegających się o zatrudnienie,
f. Dokumentacja zgłoszeniowa do konferencji/szkoleń/konkursów
g. Dokumentacja potwierdzająca wykonanie obowiązku recyklingu

Art. 12
1. Opis struktury zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych i powiązania między nimi:
1) Struktura Danych:
Dane osobowe:
a) imię i nazwisko, nazwisko rodowe;
b) data i miejsce urodzenia;
c) stan cywilny;
d) PESEL, NIP;
e) dokumenty tożsamości
f) wykształcenie
g) dane osobowe członków rodziny (imię, nazwisko, data urodzenia, stopień pokrewieństwa, PESEL, adres, stopień niepełnosprawności – tylko w przypadku oświadczenia pracownika, dla celów ZUS)
h) adres (miejsce zameldowania, zamieszkania, adres do korespondencji)
i) urząd skarbowy
j) nr konta bankowego
k) poprzednie miejsca i okresy zatrudnienia
l) stopień niepełnosprawności (tylko w przypadku oświadczenia pracownika, dla celów ZUS)
Dane związane z zatrudnieniem:
a) stanowisko i miejsce wykonywania pracy, przyporządkowanie organizacyjne
b) wynagrodzenie

Art. 13
Sposób przepływu danych pomiędzy poszczególnymi systemami.
1) Poczta elektroniczna (e-mail) (poprzez łącze kodowane MPLS)

Art. 14
Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych.
1. PIE przetwarza dane osobowe na podstawie przepisów prawa.
2. Podejmowane są działania służące zachowaniu ich integralności i rozliczalności przy przetwarzaniu danych osobowych. W celu zapewnienia ochrony danych osobowych stosuje się odpowiednie rozwiązania organizacyjne i techniczne, a w szczególności:
a) Budynek PIE objęty jest systemem kontroli dostępu – system ten dotyczy wszystkich podmiotów, które zamierzają wejść na teren zakładu, w tym w szczególności pracowników, dostawców, odbiorców, podmiotów świadczących usługi na rzecz PIE i ich pracowników.
b) Każdy pracownik PIE przed dopuszczeniem do przetwarzania danych osobowych zobowiązany jest do zapoznania się oraz stosowania przepisów o ochronie danych osobowych.
c) Nieaktualne lub błędne wydruki zawierające dane osobowe niszczone są w niszczarkach.
d) Podłączenie sprzętu komputerowego do sieci teleinformatycznej wykonuje informatyk współpracujący na stałe z PIE.
e) W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.
f) W systemie informatycznym rejestrowany jest dla każdego użytkownika odrębny identyfikator.
g) Dostęp do danych w systemie informatycznym jest możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.
h) Zasady przetwarzanie danych na komputerach i laptopach służbowych oraz korzystania z nich uregulowane są w Regulaminie, stanowiącym Załącznik nr 3 do niniejszej Polityki.
i) Dane przechowywane na nośnikach zewnętrznych powinny być zabezpieczone w następujący sposób: laptopy – logowanie na min. dwa hasła; pendrive, USB, flashdrive, itp. – szyfrowanie danych albo hasło dostępowe.
3. System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed:
1) nieautoryzowanym dostępem do nich (hasło, użytkownik);
2) działaniem oprogramowania, którego celem jest zabezpieczenie przed uzyskaniem nieuprawnionego dostępu do systemu informatycznego;
3) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.
4. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.
5. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
6. Kopie zapasowe:
1) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;
2) usuwa się niezwłocznie po ustaniu ich użyteczności.
8. Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w art. 10 niniejszej Polityki, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.
9. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:
1) likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;
2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;
3) naprawy – pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.
10. Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego.
11. Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przekazywane poza obszar, o którym mowa w art. 10 niniejszej Polityki, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.
12. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
13. Logiczne zabezpieczenia, o których mowa w ust.12, obejmują:
1) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;
2) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.
14.Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.
15. Administrator danych gwarantuje osobom, których dane dotyczą, prawo do dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania (jeżeli przetwarzanie odbywa się na podstawie zgody), którego dokonano na podstawie zgody przed jej cofnięciem;
16. Administrator danych gwarantuje osobom, których dane dotyczą, prawo do zapomnienia. Prawo to jednakże może być ograniczone wobec pracowników Administratora, a także innych osób, w przypadku konieczności przetwarzania danych w związku z obowiązkami wynikającymi z przepisów prawa lub usprawiedliwionej uzasadnionym interesem Administratora.

Art. 15
Szkolenia
1. Każda osoba przed dopuszczeniem do pracy z danymi osobowymi winna być poddana przeszkoleniu i zapoznana z przepisami dotyczącymi ochrony danych osobowych.
2. Za przeprowadzenie szkolenia odpowiada Administrator.