531-387-521 siewna@czyzyk.org.pl

POLITYKA BEZPIECZEŃSTWADANYCH OSOBOWYH

w Maciejkowo Sp. z o.o.

prowadzącej:

Niepubliczny Żłobek przy Centrum Zdrowego Rozwoju „Czyżyk”

oraz

Niepubliczne Przedszkole z Oddziałami Integracyjnymi przy Centrum Zdrowego Rozwoju „Czyżyk”

  1. Polityka reguluje:
  1. zasady przetwarzania danych osobowych w Spółce;
  2. bezpieczeństwo przetwarzania danych osobowych w Spółce;
  3. procedury związane z naruszeniem ochrony danych osobowych w Spółce;
  4. zasady odpowiedzialności za wykonanie i naruszenie Polityki.
  1. Politykę stosuje się do wszelkich czynności związanych z przetwarzaniem danych w Spółce, w tym w szczególności do przetwarzania danych osobowych:

a. uzyskanych w związku z wykonywaniem zadań dydaktycznych, wychowawczych i opiekuńczych przez Spółkę – dane dzieci będących pod opieką wychowawczo – dydaktyczną prowadzonych przez Spółkę: Niepublicznego Żłobka przy Centrum Zdrowego Rozwoju „Czyżyk” oraz Niepublicznego Przedszkola z Oddziałami Integracyjnymi przy Centrum Zdrowego Rozwoju „Czyżyk”, dane opiekunów prawnych dzieci oraz dane innych kontrahentów; 

b.  osób zatrudnionych przez Spółkę na podstawie umowy o pracę ;

c. osób, z którymi Spółka współpracuje na podstawie umów cywilnoprawnych; 

  1. Politykę stosuje się niezależnie od tego czy w związku z przetwarzaniem danych osobowych można przypisać Spółce funkcję Administratora, Podmiotu przetwarzającego czy Odbiory danych osobowych.

 

 

§ 2

Polityka została opracowana w oparciu o :

  1. ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). 
  2. ustawę z dnia 10 maja 2018 roku o ochronie danych osobowych,
  3. ustawę z dnia 14.12.2016 roku Prawo oświatowe,
  4. ustawę z dnia 7.09.1991 roku o systemie oświaty,
  5. ustawę z dnia 15.04.2011 roku o systemie informacji oświatowej,
  6. ustawę z dnia 26.01.1982 roku Karta Nauczyciela,
  7. ustawę z dnia 4.02.2011 roku o opiece nad dziećmi w wieku do lat 3,
  8. aktów wykonawczych do ustaw wymiennych w pkt. 2-7. 

 

§ 3

  1. Ilekroć używane są w niniejszej Polityce następujące pojęcia, nadaje się im poniższe znaczenie:
    1. Polityka – niniejsza Polityka bezpieczeństwa danych osobowych 
    2. Administrator danychMaciejkowo Sp. z o.o. z siedzibą w Krakowie, przy ulicy Moczydło 7A, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, Wydział XI Gospodarczy KRS  pod numerem KRS 414679, zwaną dalej również Spółką, prowadząca:  Niepubliczny Żłobek przy Centrum Zdrowego Rozwoju „Czyżyk” oraz Niepubliczne Przedszkole z Oddziałami Integracyjnymi przy Centrum Zdrowego Rozwoju „Czyżyk
    3. RODO – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
    4. Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej 
    5. Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych, lub zbiorach danych osobowych w szczególności zbieranie, utrwalanie, porządkowanie, przechowywanie, ujawnianie, usuwanie danych osobowych
    6. Pracownik – osoba zatrudniona w Spółce na podstawie umowy o pracę lub innej umowy cywilnoprawnej o podobnym charakterze.

 

§ 4

1. Spółka jako administrator danych zobowiązana jest do zapewnienia, aby dane osobowe były:

    1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”); 
    2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”); 
    3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”); 
    4. prawidłowe i w razie potrzeby uaktualniane; z obowiązkiem podjęcia wszelkich rozsądnych działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
    5. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”); 
    6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
  1. Administrator danych może powierzyć przetwarzanie danych osobowych podmiotowi zewnętrznemu – w takim przypadku Administrator danych zawiera z tym podmiotem umowę o powierzenie przetwarzania danych osobowych, zgodnie z art. 28 RODO. 
  2. Administrator nie przekazuje danych osobowych przetwarzanych w Spółce do państw trzecich ani organizacji międzynarodowych w rozumieniu RODO. Jeżeli jednakże okaże się to konieczne, Administrator danych przekaże dane osobowe zgodnie z postanowieniami działu V RODO. 
  3. Do przetwarzania danych osobowych Administrator danych dopuszcza wyłącznie osoby posiadające upoważnienie nadane przez Administratora. Wzór upoważnienia stanowi załącznik nr 1 do Polityki. Osoby te są zobowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczania.

 

 

§ 5

  1. Administrator danych w celu zapewnienia realizacji zasad opisanych w § 4  ust. 1 niniejszej Polityki zobowiązany jest wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych uwzględniając poziom ryzyka naruszenia danych osobowych. Administrator danych zapewnia środki organizacyjne i techniczne w celu nadania operacjom przetwarzania danych osobowych niezbędnych zabezpieczeń, tak by spełnić wymagania wynikające z RODO i z innych przepisów oraz chronić prawa i wolności osób, których dane dotyczą. 
  2. Administrator danych zobowiązany jest zabezpieczyć dane przed ich udostępnianiem osobom nieupoważnionym, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 
  3. Administrator zapewnia minimalizację przetwarzania danych osobowych, w szczególności poprzez:
  1. ograniczenie zakresu i ilości przetwarzanych danych w stopniu adekwatnym do celów przetwarzania,
  2. ograniczenie dostępności do danych osobowych, wyłącznie do osób posiadających stosowane upoważnienie od Administratora oraz zobowiązanych do zachowania poufności,
  3. ograniczenie miejsc, w których wykonywane są czynności przetwarzania danych osobowych,
  4. ograniczenie czasu przetwarzania danych osobowych wyłącznie do czasu wymaganego przepisami RODO oraz innymi przepisami prawa.
  1. Dane osobowe są przetwarzane w siedzibie Spółce tj. pod adresem: Moczydło 7A w Krakowie oraz w miejscach prowadzenia Żłobka i Przedszkola: ul. Moczydło 7A w Krakowie i ul. Siewna 10 w Krakowie, wyłącznie w pomieszczeniach, do których nie mają dostępu osoby nieupoważnione przez Administratora do przetwarzania danych osobowych. 
  2. Spółka, jako administrator danych odpowiada za bezpieczeństwo systemu informatycznego, w którym przetwarzane są dane osobowe. 
  3. Szczegółowe zasady i bezpieczeństwo przetwarzania danych osobowych w systemie informatycznym Spółki reguluje „Instrukcja zarządzania systemem informatycznym” będąca Załącznikiem nr 2  do niniejszej Polityki.

 

 

§ 6

  1. Do obowiązków Administratora danych należy w szczególności:
    1. informowanie podmiotu przetwarzającego dane oraz pracowników o obowiązkach wynikających z RODO 
    2. monitorowanie przestrzegania zasad ochrony danych osobowych wynikających z RODO  i z niniejszej Polityki 
    3. współpraca z organem nadzorczym  – Prezesem Urzędu Ochrony Danych Osobowych 
    4. nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w których przetwarzane są dane osobowe, 
    5. nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, zawierających dane osobowe,
    6. przeciwdziałanie dostępowi do systemu, w którym przetwarzane są dane osobowe przez osoby nieuprawnione ,
    7. podejmowanie odpowiednich działań w celu właściwego zabezpieczania danych,
    8. badanie ewentualnych naruszeń w systemie zabezpieczeń danych osobowych,
    9. wykonywanie kopii zapasowych, ich przechowywanie oraz okresowe sprawdzanie pod kątem ich dalszej przydatności,
    10. sporządzanie raportów z naruszenia bezpieczeństwa systemu informatycznego oraz systemu przechowywania i zabezpieczenia danych osobowych zgromadzonych i utrwalonych w innej formie, niż elektroniczna,
    11. przeprowadzenie szkoleń  z zakresu przepisów dotyczących ochrony danych osobowych oraz zapewnienie środków technicznych i organizacyjnych przy przetwarzaniu danych w systemach informatycznych,
    12. zapewnienie ochrony i bezpieczeństwa danych osobowych znajdujących się w systemie informatycznym  oraz w papierowych zbiorach danych, 
    13. podejmowanie, zgodnie z Polityką, stosownych działań w przypadku wykrycia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych znajdujących się w systemie informatycznym oraz danych osobowych zgromadzonych i utrwalonych w innej formie, niż elektroniczna,
    14. zapewnienie fizycznego bezpieczeństwa systemu informatycznego oraz systemu przechowywania i zabezpieczenia danych osobowych zgromadzonych i utrwalonych w innej formie, niż elektroniczna,
    15. zapewnienie dostępu do zbioru danych osobowych wyłącznie dla osób uprawnionych.
  1. Administrator danych tworzy Rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 ust. 1 RODO. Rejestr ma formę pisemną oraz formę elektroniczną.
  2. Administrator danych tworzy Rejestr wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO. Rejestr ma formę pisemną oraz elektroniczną.

     

§7

  1. Wszyscy pracownicy mają obowiązek przestrzegać postanowień zawartych w Polityce.
  2. Przed dopuszczeniem do  pracy każdy pracownik zobowiązany jest do zapoznania się z  niniejszą Polityką. Fakt zapoznania się zostaje potwierdzony pisemnym oświadczeniem    oświadczenie podlega włączeniu do akt pracownika lub dokumentów związanych z inną podstawą świadczenia usług w Spółce.
  3. Pracownicy zobowiązani są dbać o bezpieczeństwo danych powierzonych im do przetwarzania,  w tym między innymi:
  1. chronić dane przed dostępem osób nieupoważnionych,
  2. chronić dane przed przypadkowym zniszczeniem, utratą lub modyfikacją,
  3. chronić wszelkie nośniki (papierowe i elektroniczne) zawierające dane osobowe, przed dostępem osób nieupoważnionych oraz przed przypadkowym zniszczeniem,
  4. utrzymywać w tajemnicy hasła, częstotliwość ich zmiany oraz szczegóły technologiczne, 
  1. Pracownicy zobowiązani są do przestrzegania zakazu:
    1. ujawniania danych osobowych osobom nieupoważnionym,
    2. kopiowania bazy danych lub ich części bez wyraźnego upoważnienia,
    3. przetwarzania danych osobowych w sposób sprzeczny z posiadanym upoważnieniem.

 

§ 8. 

  1. Polityka dotyczy przetwarzania wszystkich danych osobowych, przetwarzanych przez Administratora danych we wszelkiego rodzaju kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, a także w systemach informatycznych będących w dyspozycji Administratora danych.
  2. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych osobowych), stanowi załącznik nr 3 do Polityki.
  3. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów komputerowych zastosowanych do przetwarzania danych (w przypadku zbiorów danych prowadzonych w wersji elektronicznej), stanowi załącznik nr 4 do Polityki.

 

§ 9

    1. Podstawowym sposobem zabezpieczenia danych osobowych przetwarzanych w systemie informatycznym i dostępu do nich jest system definiowania loginów i haseł osób upoważnionych do przetwarzania danych osobowych. 
    2. Podstawowym sposobem zabezpieczenia danych przetwarzanych w formie tradycyjnej, tj. na papierowych nośnikach danych, jest ograniczenie dostępu do niej za pomocą elementów zabezpieczeń fizycznych (ograniczenie dostępu do pomieszczeń i szaf lub innego wyposażenia biurowego, w których przechowywane są te dokumenty) oraz organizacyjnych (nadawanie, weryfikowanie i kontrolowanie dostępu do tych danych przez upoważnionych pracowników).
    3. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
    4. Przed rozpoczęciem pracy Pracownik ma obowiązek sprawdzić, czy stan urządzenia (komputer) lub stan pomieszczenia, w którym przechowywane są dane osobowe nie wskazuje na naruszenie lub próbę naruszenia danych osobowych.
    5. Pracownicy mogą zakończyć pracę po wylogowaniu się z systemu. Obowiązek wylogowania się dotyczy także sytuacji, gdy Pracownik czasowo opuszcza stanowisko pracy.

§ 10. 

  1. Administrator oraz wszystkie osoby przetwarzające dane na jego polecenie są zobowiązane do podjęcia wszelkich zgodnych z prawem środków zaradczych aby nie dopuścić do naruszenia ochrony danych osobowych.
  2. Naruszeniem ochrony danych osobowych jest:
    1. przypadkowe lub niezgodne z prawem zniszczenie, utracenie lub zmodyfikowanie danych osobowych,
    2. nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.  

3.  W przypadku wykrycia naruszenia ochrony danych osobowych, jak również w przypadku próby lub ryzyka takiego naruszenia osoba przetwarzająca dane jest zobowiązana do natychmiastowego podjęcia niezbędnych działań zaradczych oraz do zawiadomienia Administratora, nie później niż w terminie 2 godzin od wykrycia naruszenia albo próby lub ryzyka takiego naruszenia. Zawiadomienie Administratora następuje poprzez wypełnienie Raportu z naruszenia ochrony danych osobowych, który stanowi załącznik nr 5 do Polityki. 

  1. W przypadku naruszenia ochrony danych osobowych, Administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin  po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu, chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. 
  2. Jeżeli naruszenie ochrony danych osobowych może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, Administrator danych bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą o takim naruszeniu, chyba, że zachodzą okoliczności opisane w art. 34 ust. 3 i 4 RODO lub innych przepisach prawa.
  3. Administrator danych prowadzi w formie pisemnej Rejestr Naruszeń Ochrony Danych Osobowych (według wzoru określonego w załączniku nr 6 do niniejszej Polityki), w którym szczegółowo opisuje okoliczności naruszenia ochrony danych osobowych, skutki ich naruszenia i podjęte działania zaradcze. 

§ 11.

1. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

    1. likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku, gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie,
    2. przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie,
    3. naprawy – pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie, albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora lub w inny sposób gwarantujący zachowanie poufności tych danych.

2. Wydruki zawierające dane osobowe po ich wykorzystaniu są niszczone w sposób uniemożliwiający odczytanie znajdujących się na nich danych.

 

§ 12.

1. Administrator ponosi odpowiedzialność za przetwarzane w Spółce dane osobowe oraz za wdrożenie i przestrzeganie Polityki w Spółce. 

2. Za naruszenie Polityki osoby przetwarzające dane osobowe mogą ponosić odpowiedzialność na zasadach określonych w odrębnych przepisach. W szczególności naruszenie Polityki może stanowić:

a) przyczynę uzasadniającą wypowiedzenie umowy o pracę, 

b) ciężkie naruszenie podstawowych obowiązków pracowniczych uzasadniające rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika, 

c) ważny powód wypowiedzenia umowy zlecenia lub umowy o świadczenie usług. 

 

§ 13.

  1. W sprawach nieuregulowanych w Polityce stosuje się Instrukcję oraz powszechnie obowiązujące przepisy prawa, w tym w szczególności przepisy RODO.
  2. Polityka została sporządzona w jednym egzemplarzu. Podpisany egzemplarz Polityki przechowywany jest w siedzibie Spółki, natomiast jej kserokopia została przekazana do każdej z placówek prowadzonych przez Spółkę. 
  3. Polityka wchodzi w życie z dniem 25 maja 2018 roku. 
  4. Polityka obowiązuje do czasu jej zmiany lub uchylenia. W razie potrzeby, nie rzadziej niż raz w ciągu 6 miesięcy, Administrator dokonuje przeglądu Polityki, uwzględniając w szczególności analizę skutków jej obowiązywania dla ochrony danych osobowych oraz ochronę praw i wolności osób, których dane dotyczą. Administrator danych dokona zmiany Polityki w szczególności w przypadku, gdy zmianie ulegną obowiązujące regulacje prawne w zakresie ochrony danych osobowych.