Polityka bezpieczeństwa danych osobowych
Cel dokumentu
Celem Polityki jest ustanowienie zasad i reguł postępowania zabezpieczających przetwarzanie danych osobowych w Gminie Łask. Polityka reguluje sposób upoważniania, powierzania i udostępniania danych, jak również wskazuje na sposób realizacji obowiązków wynikających z RODO oraz nadzoru i prowadzonej w związku z tymi działaniami dokumentacją.
Zasady przetwarzania danych osobowych
- Administratorem przetwarzanych danych osobowych jest Burmistrz Łasku.
- Podział obowiązków w zakresie bezpieczeństwa informacji zostały opisane w Polityce Bezpieczeństwa Informacji.
- Dostęp do danych osobowych oraz możliwość ich przetwarzania mają tylko osoby posiadające upoważnienie do przetwarzania danych osobowych.
- Informacje o nowej osobie, przekazuje pracownik ds. kadrowych do IOD.
- Upoważnienie do przetwarzania przygotowuje KKO. Przez przygotowanie upoważnienia należy rozumieć wypełnienie upoważnienia procesami (celami przetwarzania) jakie zostały zawarte w Rejestrze Czynności Przetwarzania stanowiącego załącznik nr 6 do niniejszej Polityki.
- Nadawanie uprawnień do systemów informatycznych opisuje Instrukcja zarządzania systemem informatycznym.
- Przygotowane upoważnienie, KKO kieruje do Burmistrza w celu jego zatwierdzenia. Z momentem podpisania upoważnienia przez Burmistrza, osoba, której dokument dotyczy zostaje upoważniona do przetwarzania danych osobowych.
- Podpisane upoważnienie w momencie przekazania osobie upoważnionej, zostaje przez nią podpisane, a następnie oryginał zostaje zabezpieczony przez Wydział Ogólno-Organizacyjny, a kopia zostaje przekazana osobie upoważnionej.
- IOD wpisuje nową osobę do ewidencji osób upoważnionych, zgodnie ze wzorem w załączniku nr 5, informacje z upoważnienia oraz informacje przekazane od ASI.
- W przypadku zmian w zakresie zatrudnienia i związanymi z tym zmianami w zakresie upoważnienia, wymagane jest wydanie nowego upoważnienia, anulując obecne.
- W przypadku zakończenia zatrudnienia nadane upoważnienie wygasa automatycznie.
- Dane osobowe mogą zostać udostępnione podmiotom zewnętrznym jedynie na podstawie przepisów prawa.
- Każda sytuacja przekazania danych osobowych do przetwarzania w zakresie realizowanym przez Gminę Łask, odbywa się na podstawie zawartej umowy powierzenia danych osobowych.
- Naruszenia bezpieczeństwa danych osobowych muszą być zgłaszane niezwłocznie po ich stwierdzeniu lub podejrzeniu ich wystąpienia do KKO, zgodnie z Procedurą zarządzania incydentami.
- Zgodność przetwarzania danych osobowych podlega monitorowaniu realizowanemu przez IOD.
- Nadzór nad zgodnością przetwarzania danych osobowych względem przyjętych zasad bezpieczeństwa realizuje każdy przełożony względem podległych pracowników.
3.Obowiązek informacyjny
- Osoby przetwarzające dane osobowe są odpowiedzialne za spełnienie obowiązku informacyjnego względem osób, których dane przetwarzają.
- Obowiązek informacyjny z artykułu 13 RODO, należy spełnić w momencie pozyskiwania danych od osoby, której one dotyczą.
- Zakres przekazywanych informacji obejmuje:
- nazwę i dane kontaktowe;
- dane kontaktowe inspektora ochrony danych;
- cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
- okres, przez który dane osobowe będą przechowywane lub kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie wyrażonej zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych;
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
- W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, zgodnie z artykułem 14 RODO należy jej przekazać:
- pełne dane administratora danych i dane kontaktowe;
- dane kontaktowe inspektora ochrony danych;
- cele przetwarzania oraz podstawę prawną przetwarzania;
- kategorie odnośnych danych osobowych;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- prawnie uzasadnione interesu, jeśli są podstawą przetwarzania;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie wyrażonej zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych;
- źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
- Informacje, o których mowa w punkcie 3.4 (przy pozyskiwaniu danych z innego źródła) podaje się:
- w rozsądnym terminie po pozyskaniu danych osobowych – do 30 dni, lub
- najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą, lub
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
- Spełnianie obowiązku informacyjnego odbywa się poprzez:
- umieszczanie na wzorach dokumentów (wniosków, kwestionariuszy, umów, itp.) klauzul informacyjnych;
- umieszczenie klauzul w ogólnodostępnym miejscu, gdzie przyjmowani są interesariusze;
- umieszczenie klauzul na stronie internetowej;
- przesyłanie w formie wiadomości elektronicznych lub tradycyjnych, w odpowiedzi na kontakt osoby;
- przekazywanie słowne informacji, jeśli nie jest możliwe zapoznanie się osoby z powyższymi klauzulami.
- Sposób realizacji obowiązku informacyjnego ustala Burmistrz wraz z KKO. Przyjęty sposób oraz jego późniejsze aktualizacje znajdują się przy każdym z procesów w Rejestrze Czynności Przetwarzania.
Postępowanie z danymi nadmiarowymi i anonimizacja danych
- Względem celu w jakim przetwarzane są dane osobowe określony został maksymalny zakres danych niezbędny do jego realizacji.
- Niezależnie od podstaw prawnych dla realizowanych celów osoby mogą kierować do Gminy Łask pisma zawierające dane nadmiarowe względem tych celów.
- Dopuszcza się niezwłoczne zastosowanie anonimizacji lub usunięcia przekazanych dokumentów z zasobów Gminy Łask, aby nie naruszać zasady minimalizacji danych.
- Powyższe dokonuje się poprzez:
- zamazanie danych nadmiarowych na dokumencie zawierającym również dane niezbędne do realizacji celu, przy czym zamazanie musi zapewniać brak możliwości odtworzenia danych;
- usunięcie danych poprzez zniszczenie w niszczarce dokumentu lub usunięcie plików z komputera lub poczty elektronicznej, w tym również z „kosza”;
- odesłanie nadmiarowych danych – jeśli są one w formie oryginału.
- W przypadku stwierdzenia powtarzających się sytuacji przekazywania nadmiarowych danych w konkretnych celach, KKO podejmuje wybrane działania:
- opracowuje formularze ograniczające podawanie nadmiarowych danych;
- wskazuje w formie komunikatu na jasne warunki podejmowania decyzji w ramach realizacji celu, tak aby bezpośrednio z nich wynikał brak zasadności podawania dodatkowych danych;
- zwraca się do osób z prośbą o nieprzekazywanie danych nadmiarowych.
Realizacja praw osób, których dane dotyczą
- Osobom, których dane są przetwarzane przysługują prawa wynikające z rozdziału III RODO. Są to prawa do żądania od Gminy Łask dostępu do swoich danych osobowych oraz informacji o ich przetwarzaniu, prawa do ich sprostowania, usunięcia, przeniesienia, ograniczenia przetwarzania lub prawa do wniesienia sprzeciwu wobec przetwarzania.
- Każda osoba, która wystąpi z wnioskiem o skorzystanie z przysługującego jej prawa należy zrealizować w oparciu o „Procedurę realizacji praw osób”.
- W przypadku wątpliwości co do zakresu udzielanych informacji lub ich zasadności, wniosek należy skonsultować z KKO lub IOD.
Zasady udostępniania danych osobowych
- Gmina Łask udostępnia przetwarzane dane osobowe tylko osobom upoważnionym lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
- Dane osobowe udostępnia się na pisemny, umotywowany wniosek chyba, że odrębne przepisy prawa stanowią inaczej.
- Wniosek powinien zawierać informacje, umożliwiające wyszukanie żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie.
- Wniosek jest rozpatrywany przez KKO oraz w razie wątpliwości z IOD.
- W sytuacjach spornych, decyzję w sprawie udostępnienia podejmuje Burmistrz.
- Udostępnienia danych osobowych należy odmówić, jeżeli spowodowałoby to istotne naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób.
Zasady powierzenia danych osobowych
- Gmina Łask, jako administrator danych, może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej lub na podstawie przepisów prawa.
- Umowa powierzenia jest wymagana w każdym przypadku, kiedy występuje przekazanie danych osobowych lub ich gromadzenie przez podmiot zewnętrzny.
- W przypadkach, kiedy pracownik pomiotu zewnętrznego uzyskuje dostęp do danych osobowych, jednak przetwarzanie nie odbywa się na zasobach zewnętrznych, możliwe jest wydanie upoważnienia.
- Zawarta z Podmiotem Przetwarzającym (PP) umowa, musi zawierać poniższe elementy:
- cel przetwarzania, z zastrzeżeniem zakazu wykorzystania danych w innym celu;
- zakres, kategorie oraz charakter powierzanych danych;
- odpowiedzialność stron, w tym za przestrzeganie postanowień umownych oraz przestrzeganie obowiązujących przepisów prawa – zwłaszcza w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych zabezpieczających dane osobowe;
- konieczność upoważnienia przez PP, osób przetwarzających dane w jego imieniu oraz zobowiązanie ich do zachowania poufności;
- zakaz korzystania z podwykonawców bez pisemnej zgody lub aneksu do umowy;
- konieczność uczestniczenia PP w wypełnianiu obowiązków ciążących na Gminie Łask jako administratorze danych, w tym realizacji praw osób, których dane dotyczą oraz przekazywania informacji o sposobach przetwarzania oraz informacji potrzebnych do szacowania ryzyka i oceny skutków naruszeń;
- zgłaszanie wszelkich incydentów lub podejrzeń incydentów, z zapewnieniem wszystkich niezbędnych informacji do poprawnej realizacji zgłaszania incydentów zgodnie z przepisami prawa;
- sposób potwierdzania przestrzegania przepisów prawa i zasad bezpieczeństwa, w tym umożliwienie monitorowania, audytowania PP;
- konieczność usunięcia lub zwrócenia powierzonych danych osobowych w przypadku wygaśnięcia umowy lub jej rozwiązania.
- Wzór umowy powierzenia danych osobowych stanowi Załącznik nr 4 do Polityki.
- Każdy podmiot przetwarzający oraz ewentualni podwykonawcy zostają wpisani do rejestru podmiotów przetwarzających prowadzonego przez IOD, zgodnie z Załącznikiem nr 3 do Polityki.
8.Ewidencjonowanie procesów przetwarzania danych osobowych
- KKO są zobowiązani do zgłaszania do IOD:
- planowanego utworzenia nowych procesów danych osobowych lub usunięcia istniejących;
- wnoszenia zmian w procesach już istniejących, np. rozszerzenia lub zmniejszenia zakresu przetwarzanych danych, co może wynikać z przepisów prawa;
- planowanych zmianach w zakresie procesów przetwarzania danych, w tym utworzenia nowych lub zakończenia istniejących.
- Na podstawie powyższych informacji IOD dokonuje aktualizacji prowadzonego Rejestru Czynności Przetwarzania lub opiniuje planowane zmiany pod kątem wdrożenia dodatkowych zabezpieczeń.
- Ewidencja jest prowadzona w formie elektronicznej zgodnie ze wzorem z Załącznika nr 6 do niniejszej Polityki.
Ochrona pomieszczeń
- Wszystkie pomieszczenia, w których przetwarzane są dane osobowe zostały wyposażone w drzwi z zamkiem oraz posiadają środki ochrony przeciwpożarowej.
- Przetwarzanie danych osobowych odbywa się we wszystkich pomieszczeniach biurowych oraz archiwach i serwerowni, które są zlokalizowane w budynku Urzędu Miejskiego, przy ul. Warszawska 14 w Łasku.
- Przetwarzanie danych osobowych odbywa się również w innych miejscach, w szczególności siedzibach Podmiotów Przetwarzających, co wynika z zawartych umów powierzenia.
- Ze względu na możliwość wykonywania pracy zdalnej, przy użyciu laptopów, nie jest możliwe wskazanie na wszystkie miejsca przetwarzania, w związku z czym obowiązują zasady bezpieczeństwa dla pracy zdalnej i urządzeń mobilnych opisane w Instrukcji Zarządzania Systemem Informatycznym.
- Przebywanie w pomieszczeniach, w których przetwarzane są dane osobowe, osób trzecich jest możliwe tylko w obecności osoby upoważnionej. W szczególności niedozwolone jest pozostawianie bez nadzoru osób trzecich w tych pomieszczeniach.
- Pomieszczenia te, powinny być zamykane na czas nieobecności w nich osób upoważnionych, w sposób uniemożliwiający uzyskanie dostępu do nich osób trzecich.
- Przy opuszczaniu pomieszczeń i budynku, osoba ostatnia powinna się upewnić, że zostały zamknięte drzwi oraz okna, a przy opuszczaniu budynku dodatkowo, że został uzbrojony system alarmowy.
Postępowanie z dokumentacją tradycyjną
- Drukarki nie mogą być pozostawione bez kontroli, jeśli są lub wkrótce będą drukowane na nich dane osobowe, o ile dostęp osób postronnych do pomieszczeń drukarek nie jest odpowiednio ograniczony.
- Zbędne wydruki, tj. zawierające błędne dane lub dokumenty, których ważność ustała, nie powinny być gromadzone.
- Dokumentacja zawierająca dane osobowe powinna być chroniona przed wglądem osób trzecich.
- Na koniec pracy dokumentacja powinna zostać zabezpieczona w zamykanych szafach, szufladach lub archiwach.
- Wydruki, notatki, kserokopie dokumentów itp. niewykorzystane, a zawierające dane osobowe, muszą być bezwzględnie niszczone w sposób uniemożliwiający odtworzenie ich treści.
Sankcje
Nieprzestrzeganie zasad bezpieczeństwa opisanych w dokumentacji SZBI oraz przepisów prawa określających ochronę danych osobowych stanowi naruszenie obowiązków pracowniczych i może być przyczyną postępowania dyscyplinarnego lub wiązać się z konsekwencjami określonymi przepisami Ustawy o ochronie danych osobowych lub RODO.