Postanowienia ogólne

1. Polityka ochrony danych osobowych w Fundacji Ciało/Umysł (dalej: „FUNDACJA”) jest zbiorem zasad i procedur obowiązujących przy przetwarzaniu i wykorzystywaniu danych osobowych we wszystkich zbiorach i procesach przetwarzania danych osobowych przetwarzanych przez FUNDACJĘ, w tym zbiorach przetwarzanych w systemie informatycznym.
2. W FUNDACJI przetwarzane są informacje stanowiące dane osobowe w rozumieniu art. 4 Rozporządzenie Parlamentu Europejskiego I Rady (Ue) 2016/679 Z Dnia 27 Kwietnia 2016 R. W Sprawie Ochrony Osób Fizycznych W Związku Z Przetwarzaniem Danych Osobowych I W Sprawie Swobodnego Przepływu Takich Danych Oraz Uchylenia Dyrektywy 95/46/We (Ogólne Rozporządzenie O Ochronie Danych) z dnia 27 Kwietnia 2016 R. (Dz.Urz.Ue.L Nr 119, Str. 1) – dalej Rozporządzenie RODO.
3. FUNDACJA przetwarza dane osobowe znajdujące się w administrowanych przez niego zbiorach w określonych celach i w określonym zakresie, jeżeli istnieje ku temu podstawa prawna określona w art. 6 lub 9 RODO lub innych regulacjach.

4. Niniejszy dokument ma na celu realizację założeń ochrony danych osobowych określonych w:
   1. Konstytucja Rzeczypospolitej Polskiej,
   2. Rozporządzenie RODO,
   3. innych przepisach wydanych i przyjętych w celu realizacji ochrony danych osobowych w tym aktach wewnętrznych.
5. FUNDACJA dąży do realizacji zasad, które wskazują, iż dane osobowe muszą być:
   1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
   2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
   3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
   4. prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
   5. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 Rozporządzenia RODO, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
   6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
6. FUNDACJA przestrzegając zasad wskazanych w ust. 4 wykazuje ich przestrzeganie („rozliczalność”) m.in. poprzez prowadzoną dokumentacją mającą na celu realizację niniejszej Polityki ochrony danych osobowych.

• 2

Definicje

Przez użyte w treści Polityk ochrony danych sformułowania należy rozumieć:

• Rozporządzenie RODO – Rozporządzenie Parlamentu Europejskiego i Rady (Ue) 2016/679 Z Dnia 27 Kwietnia 2016 R. W Sprawie Ochrony Osób Fizycznych W Związku Z Przetwarzaniem Danych Osobowych I W Sprawie Swobodnego Przepływu Takich Danych Oraz Uchylenia Dyrektywy 95/46/We (Ogólne Rozporządzenie O Ochronie Danych) Z Dnia 27 Kwietnia 2016 R. (Dz.Urz.Ue.L Nr 119, Str. 1).
• Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
• Zbiór danych osobowych – dane osobowe zgromadzone w usystematyzowany sposób według kryterium rodzaju danych, celu albo osoby/działu przetwarzającej w jednostce.
• Przetwarzanie danych osobowych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
• Administrator Danych Osobowych – FUNDACJA, a w jej imieniu Prezes.
• Administrator Systemu Informatycznego – osoba wyznaczana przez Administratora Danych Osobowych odpowiedzialna za przestrzeganie zasad ochrony danych osobowych w systemie informatycznym i nadzorująca przetwarzanie danych osobowych w systemie informatycznym.
• System informatyczny – zespół środków technicznych (urządzenia: komputerowe, drukujące, łączności, wraz z okablowaniem i oprogramowaniem), zespół zabezpieczeń środków technicznych, użytkownicy tych urządzeń i programów, a także sieć informatyczna i udostępniane przez nią zasoby.
• Osoby zatrudnione przy przetwarzaniu danych osobowych – wszystkie osoby, w tym użytkownicy systemu informatycznego, mające z racji wykonywanych obowiązków dostęp do danych osobowych. Osobą zatrudnioną przy przetwarzaniu danych osobowych może być pracownik FUNDACJI, a także osoba wykonująca usługi na podstawie umowy zlecenia lub innej umowy cywilno-prawnej pod warunkiem, iż wykonuje te prace osobiście.
• Poufność – zapewnienie dostępu do informacji wyłącznie osobom upoważnionym.
• Integralność – spójność danych osobowych, zapewnienie, że dane nie zostaną zmienione, dodane lub usunięte w nieautoryzowany sposób.

• 3

Zarządzanie przetwarzaniem i bezpieczeństwem danych osobowych

1. Administratorem danych osobowych przetwarzanych w FUNDACJI jest FUNDACJA, reprezentowana przez Prezesa.
2. Przepisy RODO nie zobowiązują FUNDACJI do wyznaczenia Inspektora ochrony danych, obowiązki nałożone RODO będą wykonywane w ramach odpowiedzialności Zarządu oraz wyznaczonych pracowników.
3. Zarząd jest odpowiedzialny za:
   1. zarządzenie zasobem danych osobowych w ramach komórki organizacyjnej;
   2. występowanie z wnioskiem do Administratora Systemu Informatycznego o nadanie, zmianę lub cofnięcie uprawnień pracownikom do określonego zasobu danych osobowych przetwarzanego w systemie informatycznym w tym aplikacjach;
   3. bieżącą kontrolę nad realizacją zasad przetwarzania danych osobowych przez podległych pracowników;
   4. zabezpieczenie obszaru przetwarzania danych osobowych;
   5. nadzór nad nowymi czynnościami przetwarzania danych osobowych w tym w szczególności zamiaru powierzenia przetwarzania danych osobowych podmiotom zewnętrznym;
   6. wyjaśnianie incydentów przetwarzania danych osobowych;
   7. realizację procesu udostępniania danych osobowych;
   8. realizację zapisów umów powierzenia przetwarzania danych osobowych;
   9. przygotowanie upoważnień do przetwarzania danych osobowych;
   10. przechowywanie nadanych upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu poufności (i innych w aktach osobowych pracowników;
4. Administrator Systemu Informatycznego jest odpowiedzialny za zabezpieczenie i prawidłowe funkcjonowanie systemów informatycznych (w tym aplikacji).
   1. prowadzenie aktualnego wykazu systemów informatycznych (w tym aplikacji);
   2. prowadzenie aktualnego wykazu osób wraz z loginami do systemów informatycznych i określonych aplikacji;
   3. fizyczne nadawanie dostępu do systemu (w tym aplikacji) osobom upoważnionym do przetwarzania danych osobowych na wniosek Zarządu;
   4. fizyczne odbieranie lub modyfikację uprawnień do systemów (w tym aplikacji);
   5. nadanie identyfikatorów (login) w systemie (w tym aplikacji);
   6. nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych;
   7. ustalenia zasad ochrony danych w systemie informatycznym oraz akceptowanie wdrażania rozwiązań przygotowywanych w tym celu;
   8. przeciwdziałanie dostępowi osób nieupoważnionych do systemu (w tym aplikacji), w którym przetwarzane są dane osobowe, a także nieautoryzowanych modyfikacji w tym zakresie;
   9. informowanie Zarządu o wszelkich incydentach i zdarzeniach w systemie informatycznym mającym wpływ na poufność, integralność i ciągłość przetwarzania danych osobowych;
   10. wykonywanie kopii zapasowych systemów (w tym aplikacji), zabezpieczenie ich przechowywania i okresowe sprawdzenie pod kątem odtwarzalności;
   11. zgłaszania Zarządowi informacji niezbędnych do aktualizacji dokumentów dotyczących przetwarzania danych osobowych;
   12. tworzenie w porozumieniu z Zarządem procedur zarządzania kontami użytkowników, procedur wykonywania kopii zapasowych i innych;
   13. zapewnienie bezpiecznej wymiany danych w sieci wewnętrznej i nadzór nad przesyłaniem danych za pośrednictwem urządzeń teletransmisji;
   14. nadzór nad poprawnym działaniem awaryjnego zasilania urządzeń w szczególności serwerów;
   15. składanie do Zarządu FUNDACJI propozycji zakupu oprogramowania lub sprzętu w celu podniesienia poziomu bezpieczeństwa systemu;
   16. opiniowanie bezpieczeństwa stosowanych lub planowanych systemów zabezpieczających system informatyczny;
   17. składanie na wniosek Zarządu wyjaśnień, raportów, sprawozdań w zakresie obowiązków wskazanych w lit. powyżej.

• 4

Osoby przetwarzające dane osobowe

1. Dostęp do zbioru danych osobowych oraz ich przetwarzania mają tylko osoby posiadające upoważnienie i wpisane do ewidencji prowadzonej przez Zarząd lub wyznaczoną przez niego osobę (według wzoru ustalonego w FUNDACJI).
2. Zarząd lub wyznaczona przez niego osoba wystawia odpowiednie upoważnienia wraz z niezbędnymi informacjami. Uprawnienia do systemów informatycznych są nadawane przez Administratora Systemów Informatycznych.
3. Administrator wydaje i ewidencjonuje upoważnienia do przetwarzania danych osobowych oraz anuluje upoważnienia w przyjęty w jednostce sposób. Upoważnienie może zostać wydane na czas określony lub do odwołania. Anulowanie upoważnienia jest konieczne wyłącznie w przypadku uprzedniego wydania upoważnienia na czas do odwołania. Proces powyższy może regulować odrębna procedura.
4. Administrator Danych Osobowych zbiera, ewidencjonuje i przechowuje oświadczenia osób przetwarzających dane osobowe o zachowaniu w tajemnicy oraz ochronie przed dostępem osób nieupoważnionych danych osobowych, z którymi mają styczność oraz o zobowiązaniu do przestrzegania przepisów o ochronie danych osobowych, w tym postanowień niniejszego regulaminu (wzór oświadczenia stanowi załącznik do niniejszego regulaminu). Proces powyższy realizowany jest według zasad przyjętych w FUNDACJI.
5. Brak ważnego upoważnienia, o którym mowa w ust. 1, lub podpisanego oświadczenia, o którym mowa w ust. 2, uniemożliwia powierzenie osobom wykonywania zadań i obowiązków związanych z przetwarzaniem danych osobowych.

• 5

Obowiązki osób przetwarzających dane osobowe

1. Obowiązki osób przetwarzających dane osobowe zostały określone w odrębnym Regulaminie.
2. Nieprzestrzeganie wskazanych tam obowiązków stanowi przedmiot analizy Administratora Danych Osobowych. Administrator Danych Osobowych podejmuje decyzję o konsekwencjach mających być wyciągniętych wobec osoby naruszającej Regulamin, o którym mowa w ust. 1
3. Poza Regulaminem Administrator Danych Osobowych może także wydawać procedury i instrukcje obowiązujące osoby przetwarzające dane osobowe.

• 6

Umowy powierzenia danych osobowych

1. W przypadku powierzenia przetwarzania danych osobowych podmiotom trzecim, niewykonujących przetwarzania osobiście lub wykonujących przetwarzanie danych wspólnie z innymi osobami powierzenie następuje w drodze umowy powierzenia danych osobowych lub innego równorzędnego dokumentu dopuszczonego przez Rozporządzenie RODO.
2. Umowa powierzenia przetwarzania danych lub inny równorzędny dokument powinien zawierać elementy wskazane w Rozporządzeniu RODO.
3. Powierzenie przetwarzania danych osobowych jest konsultowane z Zarządem.
4. Administrator Danych Osobowych ewidencjonuje umowy powierzenia danych osobowych.

• 7

Udostępnianie danych osobowych odbiorcom

Udostępnienie danych osobowych odbiorcą niebędącymi podmiotami przetwarzającymi może nastąpić wyłącznie w przypadku istnienia przesłanki legalizującej udostępnienie danych osobowych. Wyznaczona przez Zarząd Komórka organizacyjna (lub osoba zajmująca samodzielne stanowisko) udostępniająca dane, ewidencjonuje ich udostępnienie.

• 8

Incydenty

1. Osoby zatrudnione przy przetwarzaniu danych osobowych są zobowiązane powiadomić Zarząd o ewentualnych naruszeniach bezpieczeństwa systemu ochrony danych osobowych w każdym zbiorze danych lub systemie.
2. Za zdarzenia naruszające bezpieczeństwo danych osobowych uważa się w szczególności:

• nieupoważniony dostęp do danych osobowych,
• ujawnienie bądź utrata danych osobowych,
• nieupoważniona modyfikacja danych osobowych, kopiowanie lub niszczenie dokumentów zawierających dane osobowe,
• inne naruszenie postanowień Rozporządzenia RODO.

3. Administrator Danych Osobowych informuje w przypadkach wskazanych w Rozporządzeniu RODO Urząd Ochrony Danych Osobowych i osoby, których przetwarzanie danych osobowych zostało naruszone.
4. Administrator Danych Osobowych może wydać odrębną szczegółową procedurę postępowania w takich przypadkach.

• 9

Gromadzenie danych osobowych

1. Dane osobowe przetwarzane w FUNDACJI mogą być uzyskiwane:

1. bezpośrednio od osób, których te dane dotyczą,
2. z innych źródeł, w granicach dozwolonych przepisami prawa.
   
   2. Przetwarzanie danych osobowych może odbywać się wyłącznie w sytuacjach przewidzianych w art. 6 oraz 9 Rozporządzenia RODO oraz stosownych regulacjach wydanych na tej podstawie.
   3. Dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
   4. Zbierane dane są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”)
   5. Zebrane dane osobowe mogą być wykorzystane wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane. Po wykorzystaniu dane osobowe powinny być przechowywane w postaci uniemożliwiającej identyfikację osób, których dotyczą lub niszczone, chyba że przepis prawa stanowi inaczej.
   6. W przypadku konieczności udostępnienia dokumentów i danych osobowych, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie dokonać zmiany tych danych osobowych w sposób zapewniający anonimowość osób, których dane te dotyczą.
   7. W przypadku, gdy dane osoby są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem Rozporządzenia RODO, albo są zbędne do realizacji celu, dla którego zostały zebrane, Administrator Danych Osobowych jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia.

• 10

Obowiązek informacyjny

1. Zarząd FUNDACJI lub osoby zatrudnione przez niego, które zbierają i przetwarzają dane osobowe, są odpowiedzialni udzielić, osobom których dane przetwarzają, wszelkich informacji, o których mowa w art. 13 i 14 Rozporządzenia RODO, oraz z ewentualnym udziałem Administratora Systemów Informatycznych prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania ich prawach. Obowiązek informacyjny prowadzony jest zgodnie z ustaloną klauzulą informacyjna ich dotyczącą. Klauzula informacyjna zawiera informacje wskazane w art. 12 Rozporządzenia RODO.

• 11

Prawa osób, których dotyczą dane osobowe

1. Osobom, których dane przetwarza się w zbiorze danych osobowych FUNDACJI, przysługuje:
   1. prawo dostępu do danych osobowych, w tym prawo do uzyskania kopii tych danych,
   2. prawo do żądania sprostowania (poprawienia) danych,
   3. prawo do żądania usunięcia danych osobowych (tzw. „prawo do bycia zapomnianym”),
   4. prawo do żądania ograniczenia przetwarzania danych osobowych,
   5. prawo do przenoszenia danych do Pani/ Pana lub do innego administratora danych,
   6. prawo do sprzeciwu wobec przetwarzania danych osobowych.

1. Prezes lub wyznaczona przez Zarząd osoba opiniuje zasadność żądania i wraz z komórką organizacyjną w której przetwarzane są dane osobowe udziela odpowiedzi.

• 12

Czynności przetwarzania i zbiory danych

1. W FUNDACJI prowadzi się rejestr czynności przetwarzania danych osobowych i ewentualnie rejestr kategorii przetwarzania danych. Rejestry są aktualizowane przez wyznaczoną przez Zarząd osobę na podstawie własnych ustaleń oraz informacji uzyskanych od pracowników. Czynności przetwarzania mogą być grupowane w ramach zbiorów danych osobowych wedle kryterium komórki przetwarzającej dane osobowe lub innego przyjętego w FUNDACJI takiego jak kategoria osób lub cel przetwarzania danych.
2. Zarząd FUNDACJI lub osoby zatrudnione przez niego, w których komórkach organizacyjnych przetwarzane są dane osobowe, są zobowiązani do zgłoszenia wyznaczonej przez Zarząd osobie informacji na temat:
3. a) planowanego założenia nowych czynności przetwarzania i zbiorów danych osobowych,
4. b) wnoszonych zmian do istniejących czynności przetwarzania i zbiorów danych osobowych.

• 13

Ocena ryzyka

W celu prawidłowego wyznaczenia poziomu ochrony Administrator Danych Osobowych dokonuje okresowej analizy ryzyka, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania. Brana jest ona pod uwagę zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania, a na jej podstawie wdraża się odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

• 14

Zabezpieczenia fizyczne, informatyczne i organizacyjne

1. Dostęp do pomieszczeń FUNDACJI, w których przetwarzane są dane osobowe, podlega kontroli.
2. Kontrola dostępu polegać może w szczególności na ewidencjonowaniu wszystkich przypadków pobierania i zwrotu kluczy do budynków i pomieszczeń. W ewidencji uwzględnia się: imię i nazwisko osoby pobierającej lub zdającej klucz, numer lub inne oznaczenie pomieszczenia oraz godzinę pobrania lub zdania klucza.
3. Klucze do pomieszczeń, w których przetwarzane są dane osobowe wydawane być mogą wyłącznie osobom upoważnionym.
4. FUNDACJA, realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, może wprowadzać inne formy monitorowania dostępu do obszarów przetwarzania danych osobowych.
5. W FUNDACJI stosowane są następujące dodatkowe środki techniczne i organizacyjne oraz przedsięwzięcia niezbędne do zapewnienia poufności, integralności przetwarzanych danych osobowych:

1. środki ochrony fizycznej – urządzenia służące do przetwarzania danych osobowych znajdują się wyłącznie w pomieszczeniach zabezpieczonych zamkami,
2. dostęp do pomieszczenia, w którym znajdują się urządzenia serwerowe ma tylko Administrator Danych Osobowych oraz Administrator Systemu Informatycznego,
3. zbędne dokumenty papierowe zawierające dane osobowe mogą być niszczone wyłącznie w niszczarkach,
4. urządzenia na których znajdują się bazy danych osobowych – serwery powinny być podłączone do lokalnych awaryjnych zasilaczy UPS, zabezpieczających przed skokami napięcia i zanikiem zasilania,
5. sieć lokalna podłączona jest do Internetu poprzez router spełniający jednocześnie funkcję sprzętowego, zewnętrznego firewall filtrującego dane przechodzące pomiędzy siecią lokalną i siecią publiczną,
6. codzienne kopie zapasowe są wykonywane automatycznie poprzez odpowiednie ustawienia w systemach informatycznych,
7. okresowo są wykonywane kopie zapasowe na nośniki zewnętrzne.
8. W FUNDACJI stosowane są następujące środki ochrony w ramach narzędzi informatycznych i innych narzędzi programowych oraz środki ochrony w ramach systemu użytkowego:
9. identyfikator i hasło dostępu do danych na poziomie aplikacji – dla każdego użytkownika systemu wyznaczony jest odrębny identyfikator, użytkownicy mają dostęp do aplikacji umożliwiający dostęp tylko do tych danych osobowych, do których mają uprawnienia,
10. komputer, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem, stosowane jest wygaszenie ekranu w przypadku dłuższej nieaktywności użytkownika, stosowana jest blokada hasłem podczas dłuższej nieaktywności użytkownika,
11. na komputerach stosuje się hasło administracyjne oraz hasło użytkownika;
12. hasła są konstruowane w następujący sposób:

1. hasło dostępu do stacji roboczej lub oprogramowania powinno składać się z co najmniej z 8 znaków (dużych i małych liter oraz z cyfr lub znaków specjalnych).
2. dokonywać zmiany hasła, w przypadku, gdy nie jest to wymuszone przez system, nie rzadziej niż co 30 dni oraz niezwłocznie w przypadku podejrzenia, że hasło mogło zostać ujawnione.
3. hasła nie mogą być powszechnie używanymi słowami. W szczególności nie należy jako haseł wykorzystywać: imion, nazwisk, inicjałów, dat, numerów rejestracyjnych samochodów, numerów telefonów. Hasło nie może być identyczne z loginem.
4. zobowiązana jest do zachowania hasła w poufności, nawet po utracie przez nie ważności i odpowiada za wszystkie działania wykonane z wykorzystaniem osobistego loginu i hasła.
5. zabronione jest przekazywanie haseł innym osobom oraz zapisywanie haseł w sposób jawny (np. na karteczkach samoprzylepnych, w komputerze); pierwsze hasło nadane przez administratora danych osobowych jest przekazywane użytkownikowi systemu w sposób uniemożliwiający zapoznanie się z nim osób postronnych i niezwłocznie przez niego zmieniane.
   1. wszystkie elementy sieci informatycznej są zabezpieczone hasłami, elementy takie jak routery, drukarki z dyskami, stacje robocze w zakresie hasła administracyjnego i podobne są zabezpieczone przez Administratora Systemów Informatycznych znanemu jemu oraz deponowane w kopercie u Administratora Danych Osobowych;
   2. Nośniki informatyczne zawierające dane osobowe lub kopie systemów informatycznych służących do przetwarzania danych osobowych są przechowywane w sposób uniemożliwiający ich utratę, uszkodzenie lub dostęp osób nieuprawnionych.
   3. W przypadku likwidacji nośników informatycznych zawierających Dane Osobowe lub kopie zapasowe Systemów Informatycznych służących do przetwarzania Danych Osobowych należy przed ich likwidacją usunąć Dane Osobowe lub uszkodzić je w sposób uniemożliwiający odczyt danych osobowych.
   4. Nie przechowuje się zbędnych nośników informacji zawierających zbędne Dane Osobowe oraz kopie zapasowe, a także wydruków i innych dokumentów zawierających Dane Osobowe, których przechowywanie nie jest uzasadnione celem ich przetwarzania.
   5. Nośniki informacji zawierające Dane Osobowe oraz Kopie Zapasowe, a także wydruki i inne dokumenty zawierające Dane Osobowe przechowywane są w zamykanych szafach w pomieszczeniach stanowiących obszar przetwarzania Danych Osobowych, w sposób zabezpieczający je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem i zniszczeniem.
   6. Po upływie użyteczności Danych Osobowych, o ile przepis szczególny nie stanowi inaczej, Dane Osobowe są kasowane lub niszczone tak, aby nie było możliwe ich odtworzenie. Dozwolona jest również ich anonimizacja polegająca na pozbawieniu danych umożliwiających identyfikację określonej osoby fizycznej.
   7. W przypadku uszkodzenia lub zużycia nośników informacji zwierających Dane Osobowe są one fizycznie niszczone (we własnym zakresie lub przez podmiot profesjonalnie zajmujący się takimi czynnościami) tak, aby nie było możliwe odczytanie danych osobowych. Ze zniszczenia sporządzany jest raport.
   8. Do ochrony przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego stosowane jest oprogramowanie antywirusowe. Oprogramowanie obejmuje każdy element systemu informatycznego wymagający ochrony. Konieczność ochrony poszczególnych elementów systemu informatycznego określa Administrator Systemów Informatycznych.
   9. Każdy zbiór wczytywany do komputera, podłączane urządzenie, w tym także wiadomość e-mail, musi być przeskanowany programem antywirusowym.
   10. Na każdym stanowisku wyposażonym w dostęp do sieci publicznej (Internet) musi być zainstalowanie oprogramowanie antywirusowe oraz program firewall. Niedopuszczalne jest stosowanie dostępu do sieci publicznej (Internet) bez aktywnej ochrony antywirusowej oraz zabezpieczenia przed dostępem szkodliwego oprogramowania.
   11. w przypadku przekazywania do naprawy sprzętu komputerowego z zainstalowanym systemem informatycznym służącym do przetwarzania danych osobowych lub nośnikiem informacji służących do przetwarzania danych osobowych, powinien on zostać pozbawiony danych osobowych przez fizyczne wymontowanie dyskulub skasowanie danych lub naprawa powinna zostać przeprowadzona w obecności Administratora Systemu Informatycznego.
   12. przeglądy techniczne sprzętu komputerowego są dokonywane przy każdej czynności w toku codziennych prac jednakże nie rzadziej niż raz w roku.
   13. w systemie informatycznym instalowane są zalecane przez producentów oprogramowania poprawki i uaktualnienia. Poprawki i uaktualnienia służą do wyeliminowania błędów w działaniu lub poprawienia wydajności działania.
   14. w przypadku powierzenia określonego składnika systemu informatycznego w postaci programu komputerowego dostarczanego przez licencjodawcę programu komputerowego, postanowienia dotyczące poufności oraz przetwarzania danych osobowych będą regulowane na podstawie umowy licencyjnej lub umowy dotyczącej przetwarzania danych osobowych będącej uzupełnieniem umowy licencyjnej.

• 15

Postanowienia końcowe

1. Integralną częścią niniejszego regulaminu są następujące załączniki:

• procedura nadawania upoważnień,
• procedura opiniowania zagadnień prawnych związanych z danymi osobowymi,
• procedura reagowania i oceny naruszeń bezpieczeństwa danych osobowych(incydenty),
• procedura realizowania uprawnień osób, których dane są przetwarzane,
• procedura udzielania informacji podawanej w przypadku pozyskiwania danych,
• lista dokumentów przyjętych w jednostce.

2. W celu wykonania niniejszej Polityki ochrony danych osobowych wydawane będą dodatkowe dokumenty takie jak procedury, instrukcje czy zarządzenia. W tym celu mogą być prowadzone także listy i wykazy (każdorazowo umieszczane na liście o której mowa w ust. 1 pkt. 4 powyżej).
3. W celu wykonania niniejszej Polityki ochrony danych osobowych prowadzone będą w osobnych dokumentach rejestry czynności przetwarzania danych osobowych w jednostce.