Przejdź do treści strony Przejdź do menu Przejdź do wyszukiwarki Przejdź do mapy biuletynu
Kontrast:
Rozmiar czcionki:
Odstępy:
Reset:
Lektor:

Polityka bezpieczeństwa danych osobowych

Cel dokumentu

Celem Polityki jest ustanowienie zasad i reguł postępowania zabezpieczających przetwarzanie danych osobowych w Gminie Łask. Polityka reguluje sposób upoważniania, powierzania i udostępniania danych, jak również wskazuje na sposób realizacji obowiązków wynikających z RODO oraz nadzoru i prowadzonej w związku z tymi działaniami dokumentacją.

 

Zasady przetwarzania danych osobowych

  1. Administratorem przetwarzanych danych osobowych jest Burmistrz Łasku.
  2. Podział obowiązków w zakresie bezpieczeństwa informacji zostały opisane w Polityce Bezpieczeństwa Informacji.
  3. Dostęp do danych osobowych oraz możliwość ich przetwarzania mają tylko osoby posiadające upoważnienie do przetwarzania danych osobowych.
  4. Informacje o nowej osobie, przekazuje pracownik ds. kadrowych do IOD. 
  5. Upoważnienie do przetwarzania przygotowuje KKO. Przez przygotowanie upoważnienia należy rozumieć wypełnienie upoważnienia procesami (celami przetwarzania) jakie zostały zawarte w Rejestrze Czynności Przetwarzania stanowiącego załącznik nr 6 do niniejszej Polityki.
  6. Nadawanie uprawnień do systemów informatycznych opisuje Instrukcja zarządzania systemem informatycznym.
  7. Przygotowane upoważnienie, KKO kieruje do Burmistrza w celu jego zatwierdzenia. Z momentem podpisania upoważnienia przez Burmistrza, osoba, której dokument dotyczy zostaje upoważniona do przetwarzania danych osobowych.
  8. Podpisane upoważnienie w momencie przekazania osobie upoważnionej, zostaje przez nią podpisane, a następnie oryginał zostaje zabezpieczony przez Wydział Ogólno-Organizacyjny, a kopia zostaje przekazana osobie upoważnionej.
  9. IOD wpisuje nową osobę do ewidencji osób upoważnionych, zgodnie ze wzorem w załączniku nr 5, informacje z upoważnienia oraz informacje przekazane od ASI.
  10. W przypadku zmian w zakresie zatrudnienia i związanymi z tym zmianami w zakresie upoważnienia, wymagane jest wydanie nowego upoważnienia, anulując obecne.
  11. W przypadku zakończenia zatrudnienia nadane upoważnienie wygasa automatycznie.
  12. Dane osobowe mogą zostać udostępnione podmiotom zewnętrznym jedynie na podstawie przepisów prawa.
  13. Każda sytuacja przekazania danych osobowych do przetwarzania w zakresie realizowanym przez Gminę Łask, odbywa się na podstawie zawartej umowy powierzenia danych osobowych.
  14. Naruszenia bezpieczeństwa danych osobowych muszą być zgłaszane niezwłocznie po ich stwierdzeniu lub podejrzeniu ich wystąpienia do KKO, zgodnie z Procedurą zarządzania incydentami.
  15. Zgodność przetwarzania danych osobowych podlega monitorowaniu realizowanemu przez IOD.
  16. Nadzór nad zgodnością przetwarzania danych osobowych względem przyjętych zasad bezpieczeństwa realizuje każdy przełożony względem podległych pracowników.

 

3.Obowiązek informacyjny

  1. Osoby przetwarzające dane osobowe są odpowiedzialne za spełnienie obowiązku informacyjnego względem osób, których dane przetwarzają.
  2. Obowiązek informacyjny z artykułu 13 RODO, należy spełnić w momencie pozyskiwania danych od osoby, której one dotyczą.
  3. Zakres przekazywanych informacji obejmuje:
    1. nazwę i dane kontaktowe;
    2. dane kontaktowe inspektora ochrony danych;
    3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
    4. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
    5. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
    6. okres, przez który dane osobowe będą przechowywane lub kryteria ustalania tego okresu;
    7. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
    8. jeżeli przetwarzanie odbywa się na podstawie wyrażonej zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
    9. informacje o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych;
    10. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
    11. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
  4. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, zgodnie z artykułem 14 RODO należy jej przekazać:
  5. pełne dane administratora danych i dane kontaktowe;
  6. dane kontaktowe inspektora ochrony danych;
  7. cele przetwarzania oraz podstawę prawną przetwarzania;
  8. kategorie odnośnych danych osobowych;
  9. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
  10. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
  11. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  12. prawnie uzasadnione interesu, jeśli są podstawą przetwarzania;
  13. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  14. jeżeli przetwarzanie odbywa się na podstawie wyrażonej zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  15. informacje o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych;
  16. źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
  17. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
  18. Informacje, o których mowa w punkcie 3.4 (przy pozyskiwaniu danych z innego źródła) podaje się:
    1. w rozsądnym terminie po pozyskaniu danych osobowych – do 30 dni, lub
    2. najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą, lub
    3. jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
  19. Spełnianie obowiązku informacyjnego odbywa się poprzez:
    1. umieszczanie na wzorach dokumentów (wniosków, kwestionariuszy, umów, itp.) klauzul informacyjnych;
    2. umieszczenie klauzul w ogólnodostępnym miejscu, gdzie przyjmowani są interesariusze;
    3. umieszczenie klauzul na stronie internetowej;
    4. przesyłanie w formie wiadomości elektronicznych lub tradycyjnych, w odpowiedzi na kontakt osoby;
    5. przekazywanie słowne informacji, jeśli nie jest możliwe zapoznanie się osoby z powyższymi klauzulami.
  20. Sposób realizacji obowiązku informacyjnego ustala Burmistrz wraz z KKO. Przyjęty sposób oraz jego późniejsze aktualizacje znajdują się przy każdym z procesów w Rejestrze Czynności Przetwarzania.

Postępowanie z danymi nadmiarowymi i anonimizacja danych

  1. Względem celu w jakim przetwarzane są dane osobowe określony został maksymalny zakres danych niezbędny do jego realizacji.
  2. Niezależnie od podstaw prawnych dla realizowanych celów osoby mogą kierować do Gminy Łask pisma zawierające dane nadmiarowe względem tych celów.
  3. Dopuszcza się niezwłoczne zastosowanie anonimizacji lub usunięcia przekazanych dokumentów z zasobów Gminy Łask, aby nie naruszać zasady minimalizacji danych.
  4. Powyższe dokonuje się poprzez:
    1. zamazanie danych nadmiarowych na dokumencie zawierającym również dane niezbędne do realizacji celu, przy czym zamazanie musi zapewniać brak możliwości odtworzenia danych;
    2. usunięcie danych poprzez zniszczenie w niszczarce dokumentu lub usunięcie plików z komputera lub poczty elektronicznej, w tym również z „kosza”;
    3. odesłanie nadmiarowych danych – jeśli są one w formie oryginału.
  5. W przypadku stwierdzenia powtarzających się sytuacji przekazywania nadmiarowych danych w konkretnych celach, KKO podejmuje wybrane działania:
    1. opracowuje formularze ograniczające podawanie nadmiarowych danych;
    2. wskazuje w formie komunikatu na jasne warunki podejmowania decyzji w ramach realizacji celu, tak aby bezpośrednio z nich wynikał brak zasadności podawania dodatkowych danych;
    3. zwraca się do osób z prośbą o nieprzekazywanie danych nadmiarowych.

 

Realizacja praw osób, których dane dotyczą

  1. Osobom, których dane są przetwarzane przysługują prawa wynikające z rozdziału III RODO. Są to prawa do żądania od Gminy Łask dostępu do swoich danych osobowych oraz informacji o ich przetwarzaniu, prawa do ich sprostowania, usunięcia, przeniesienia, ograniczenia przetwarzania lub prawa do wniesienia sprzeciwu wobec przetwarzania.
  2. Każda osoba, która wystąpi z wnioskiem o skorzystanie z przysługującego jej prawa należy zrealizować w oparciu o „Procedurę realizacji praw osób”.
  3. W przypadku wątpliwości co do zakresu udzielanych informacji lub ich zasadności, wniosek należy skonsultować z KKO lub IOD.

 

Zasady udostępniania danych osobowych

  1. Gmina Łask udostępnia przetwarzane dane osobowe tylko osobom upoważnionym lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
  2. Dane osobowe udostępnia się na pisemny, umotywowany wniosek chyba, że odrębne przepisy prawa stanowią inaczej.
  3. Wniosek powinien zawierać informacje, umożliwiające wyszukanie żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie.
  4. Wniosek jest rozpatrywany przez KKO oraz w razie wątpliwości z IOD.
  5. W sytuacjach spornych, decyzję w sprawie udostępnienia podejmuje Burmistrz.
  6. Udostępnienia danych osobowych należy odmówić, jeżeli spowodowałoby to istotne naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób.

 

Zasady powierzenia danych osobowych

  1. Gmina Łask, jako administrator danych, może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej lub na podstawie przepisów prawa.
  2. Umowa powierzenia jest wymagana w każdym przypadku, kiedy występuje przekazanie danych osobowych lub ich gromadzenie przez podmiot zewnętrzny.
  3. W przypadkach, kiedy pracownik pomiotu zewnętrznego uzyskuje dostęp do danych osobowych, jednak przetwarzanie nie odbywa się na zasobach zewnętrznych, możliwe jest wydanie upoważnienia.
  4. Zawarta z Podmiotem Przetwarzającym (PP) umowa, musi zawierać poniższe elementy:
    1. cel przetwarzania, z zastrzeżeniem zakazu wykorzystania danych w innym celu;
    2. zakres, kategorie oraz charakter powierzanych danych;
    3. odpowiedzialność stron, w tym za przestrzeganie postanowień umownych oraz przestrzeganie obowiązujących przepisów prawa – zwłaszcza w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych zabezpieczających dane osobowe;
    4. konieczność upoważnienia przez PP, osób przetwarzających dane w jego imieniu oraz zobowiązanie ich do zachowania poufności;
    5. zakaz korzystania z podwykonawców bez pisemnej zgody lub aneksu do umowy;
    6. konieczność uczestniczenia PP w wypełnianiu obowiązków ciążących na Gminie Łask jako administratorze danych, w tym realizacji praw osób, których dane dotyczą oraz przekazywania informacji o sposobach przetwarzania oraz informacji potrzebnych do szacowania ryzyka i oceny skutków naruszeń;
    7. zgłaszanie wszelkich incydentów lub podejrzeń incydentów, z zapewnieniem wszystkich niezbędnych informacji do poprawnej realizacji zgłaszania incydentów zgodnie z przepisami prawa;
    8. sposób potwierdzania przestrzegania przepisów prawa i zasad bezpieczeństwa, w tym umożliwienie monitorowania, audytowania PP;
    9. konieczność usunięcia lub zwrócenia powierzonych danych osobowych w przypadku wygaśnięcia umowy lub jej rozwiązania.
  5. Wzór umowy powierzenia danych osobowych stanowi Załącznik nr 4 do Polityki.
  6. Każdy podmiot przetwarzający oraz ewentualni podwykonawcy zostają wpisani do rejestru podmiotów przetwarzających prowadzonego przez IOD, zgodnie z Załącznikiem nr 3 do Polityki.

 

8.Ewidencjonowanie procesów przetwarzania danych osobowych

  1. KKO są zobowiązani do zgłaszania do IOD:
    1. planowanego utworzenia nowych procesów danych osobowych lub usunięcia istniejących;
    2. wnoszenia zmian w procesach już istniejących, np. rozszerzenia lub zmniejszenia zakresu przetwarzanych danych, co może wynikać z przepisów prawa;
    3. planowanych zmianach w zakresie procesów przetwarzania danych, w tym utworzenia nowych lub zakończenia istniejących.
  2. Na podstawie powyższych informacji IOD dokonuje aktualizacji prowadzonego Rejestru Czynności Przetwarzania lub opiniuje planowane zmiany pod kątem wdrożenia dodatkowych zabezpieczeń.
  3. Ewidencja jest prowadzona w formie elektronicznej zgodnie ze wzorem z Załącznika nr 6 do niniejszej Polityki.

 

Ochrona pomieszczeń

  1. Wszystkie pomieszczenia, w których przetwarzane są dane osobowe zostały wyposażone w drzwi z zamkiem oraz posiadają środki ochrony przeciwpożarowej.
  2. Przetwarzanie danych osobowych odbywa się we wszystkich pomieszczeniach biurowych oraz archiwach i serwerowni, które są zlokalizowane w budynku Urzędu Miejskiego, przy ul. Warszawska 14 w Łasku.
  3. Przetwarzanie danych osobowych odbywa się również w innych miejscach, w szczególności siedzibach Podmiotów Przetwarzających, co wynika z zawartych umów powierzenia.
  4. Ze względu na możliwość wykonywania pracy zdalnej, przy użyciu laptopów, nie jest możliwe wskazanie na wszystkie miejsca przetwarzania, w związku z czym obowiązują zasady bezpieczeństwa dla pracy zdalnej i urządzeń mobilnych opisane w Instrukcji Zarządzania Systemem Informatycznym.
  5. Przebywanie w pomieszczeniach, w których przetwarzane są dane osobowe, osób trzecich jest możliwe tylko w obecności osoby upoważnionej. W szczególności niedozwolone jest pozostawianie bez nadzoru osób trzecich w tych pomieszczeniach.
  6. Pomieszczenia te, powinny być zamykane na czas nieobecności w nich osób upoważnionych, w sposób uniemożliwiający uzyskanie dostępu do nich osób trzecich.
  7. Przy opuszczaniu pomieszczeń i budynku, osoba ostatnia powinna się upewnić, że zostały zamknięte drzwi oraz okna, a przy opuszczaniu budynku dodatkowo, że został uzbrojony system alarmowy.

 

Postępowanie z  dokumentacją tradycyjną

  1. Drukarki nie mogą być pozostawione bez kontroli, jeśli są lub wkrótce będą drukowane na nich dane osobowe, o ile dostęp osób postronnych do pomieszczeń drukarek nie jest odpowiednio ograniczony.
  2. Zbędne wydruki, tj. zawierające błędne dane lub dokumenty, których ważność ustała, nie powinny być gromadzone.
  3. Dokumentacja zawierająca dane osobowe powinna być chroniona przed wglądem osób trzecich.
  4. Na koniec pracy dokumentacja powinna zostać zabezpieczona w zamykanych szafach, szufladach lub archiwach.
  5. Wydruki, notatki, kserokopie dokumentów itp. niewykorzystane, a zawierające dane osobowe, muszą być bezwzględnie niszczone w sposób uniemożliwiający odtworzenie ich treści.

 

Sankcje

Nieprzestrzeganie zasad bezpieczeństwa opisanych w dokumentacji SZBI oraz przepisów prawa określających ochronę danych osobowych stanowi naruszenie obowiązków pracowniczych i może być przyczyną postępowania dyscyplinarnego lub wiązać się z konsekwencjami określonymi przepisami Ustawy o ochronie danych osobowych lub RODO.