POLITYKA BEZPIECZEŃSTWADANYCH OSOBOWYH
w Maciejkowo Sp. z o.o.
prowadzącej:
Niepubliczny Żłobek przy Centrum Zdrowego Rozwoju „Czyżyk”
oraz
Niepubliczne Przedszkole z Oddziałami Integracyjnymi przy Centrum Zdrowego Rozwoju „Czyżyk”
- Polityka reguluje:
- zasady przetwarzania danych osobowych w Spółce;
- bezpieczeństwo przetwarzania danych osobowych w Spółce;
- procedury związane z naruszeniem ochrony danych osobowych w Spółce;
- zasady odpowiedzialności za wykonanie i naruszenie Polityki.
- Politykę stosuje się do wszelkich czynności związanych z przetwarzaniem danych w Spółce, w tym w szczególności do przetwarzania danych osobowych:
a. uzyskanych w związku z wykonywaniem zadań dydaktycznych, wychowawczych i opiekuńczych przez Spółkę – dane dzieci będących pod opieką wychowawczo – dydaktyczną prowadzonych przez Spółkę: Niepublicznego Żłobka przy Centrum Zdrowego Rozwoju „Czyżyk” oraz Niepublicznego Przedszkola z Oddziałami Integracyjnymi przy Centrum Zdrowego Rozwoju „Czyżyk”, dane opiekunów prawnych dzieci oraz dane innych kontrahentów;
b. osób zatrudnionych przez Spółkę na podstawie umowy o pracę ;
c. osób, z którymi Spółka współpracuje na podstawie umów cywilnoprawnych;
- Politykę stosuje się niezależnie od tego czy w związku z przetwarzaniem danych osobowych można przypisać Spółce funkcję Administratora, Podmiotu przetwarzającego czy Odbiory danych osobowych.
§ 2
Polityka została opracowana w oparciu o :
- ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
- ustawę z dnia 10 maja 2018 roku o ochronie danych osobowych,
- ustawę z dnia 14.12.2016 roku Prawo oświatowe,
- ustawę z dnia 7.09.1991 roku o systemie oświaty,
- ustawę z dnia 15.04.2011 roku o systemie informacji oświatowej,
- ustawę z dnia 26.01.1982 roku Karta Nauczyciela,
- ustawę z dnia 4.02.2011 roku o opiece nad dziećmi w wieku do lat 3,
- aktów wykonawczych do ustaw wymiennych w pkt. 2-7.
§ 3
- Ilekroć używane są w niniejszej Polityce następujące pojęcia, nadaje się im poniższe znaczenie:
- Polityka – niniejsza Polityka bezpieczeństwa danych osobowych
- Administrator danych – Maciejkowo Sp. z o.o. z siedzibą w Krakowie, przy ulicy Moczydło 7A, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, Wydział XI Gospodarczy KRS pod numerem KRS 414679, zwaną dalej również Spółką, prowadząca: Niepubliczny Żłobek przy Centrum Zdrowego Rozwoju „Czyżyk” oraz Niepubliczne Przedszkole z Oddziałami Integracyjnymi przy Centrum Zdrowego Rozwoju „Czyżyk
- RODO – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
- Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej
- Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych, lub zbiorach danych osobowych w szczególności zbieranie, utrwalanie, porządkowanie, przechowywanie, ujawnianie, usuwanie danych osobowych
- Pracownik – osoba zatrudniona w Spółce na podstawie umowy o pracę lub innej umowy cywilnoprawnej o podobnym charakterze.
§ 4
1. Spółka jako administrator danych zobowiązana jest do zapewnienia, aby dane osobowe były:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
- prawidłowe i w razie potrzeby uaktualniane; z obowiązkiem podjęcia wszelkich rozsądnych działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
- Administrator danych może powierzyć przetwarzanie danych osobowych podmiotowi zewnętrznemu – w takim przypadku Administrator danych zawiera z tym podmiotem umowę o powierzenie przetwarzania danych osobowych, zgodnie z art. 28 RODO.
- Administrator nie przekazuje danych osobowych przetwarzanych w Spółce do państw trzecich ani organizacji międzynarodowych w rozumieniu RODO. Jeżeli jednakże okaże się to konieczne, Administrator danych przekaże dane osobowe zgodnie z postanowieniami działu V RODO.
- Do przetwarzania danych osobowych Administrator danych dopuszcza wyłącznie osoby posiadające upoważnienie nadane przez Administratora. Wzór upoważnienia stanowi załącznik nr 1 do Polityki. Osoby te są zobowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczania.
§ 5
- Administrator danych w celu zapewnienia realizacji zasad opisanych w § 4 ust. 1 niniejszej Polityki zobowiązany jest wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych uwzględniając poziom ryzyka naruszenia danych osobowych. Administrator danych zapewnia środki organizacyjne i techniczne w celu nadania operacjom przetwarzania danych osobowych niezbędnych zabezpieczeń, tak by spełnić wymagania wynikające z RODO i z innych przepisów oraz chronić prawa i wolności osób, których dane dotyczą.
- Administrator danych zobowiązany jest zabezpieczyć dane przed ich udostępnianiem osobom nieupoważnionym, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
- Administrator zapewnia minimalizację przetwarzania danych osobowych, w szczególności poprzez:
- ograniczenie zakresu i ilości przetwarzanych danych w stopniu adekwatnym do celów przetwarzania,
- ograniczenie dostępności do danych osobowych, wyłącznie do osób posiadających stosowane upoważnienie od Administratora oraz zobowiązanych do zachowania poufności,
- ograniczenie miejsc, w których wykonywane są czynności przetwarzania danych osobowych,
- ograniczenie czasu przetwarzania danych osobowych wyłącznie do czasu wymaganego przepisami RODO oraz innymi przepisami prawa.
- Dane osobowe są przetwarzane w siedzibie Spółce tj. pod adresem: Moczydło 7A w Krakowie oraz w miejscach prowadzenia Żłobka i Przedszkola: ul. Moczydło 7A w Krakowie i ul. Siewna 10 w Krakowie, wyłącznie w pomieszczeniach, do których nie mają dostępu osoby nieupoważnione przez Administratora do przetwarzania danych osobowych.
- Spółka, jako administrator danych odpowiada za bezpieczeństwo systemu informatycznego, w którym przetwarzane są dane osobowe.
- Szczegółowe zasady i bezpieczeństwo przetwarzania danych osobowych w systemie informatycznym Spółki reguluje „Instrukcja zarządzania systemem informatycznym” będąca Załącznikiem nr 2 do niniejszej Polityki.
§ 6
- Do obowiązków Administratora danych należy w szczególności:
- informowanie podmiotu przetwarzającego dane oraz pracowników o obowiązkach wynikających z RODO
- monitorowanie przestrzegania zasad ochrony danych osobowych wynikających z RODO i z niniejszej Polityki
- współpraca z organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych
- nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w których przetwarzane są dane osobowe,
- nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, zawierających dane osobowe,
- przeciwdziałanie dostępowi do systemu, w którym przetwarzane są dane osobowe przez osoby nieuprawnione ,
- podejmowanie odpowiednich działań w celu właściwego zabezpieczania danych,
- badanie ewentualnych naruszeń w systemie zabezpieczeń danych osobowych,
- wykonywanie kopii zapasowych, ich przechowywanie oraz okresowe sprawdzanie pod kątem ich dalszej przydatności,
- sporządzanie raportów z naruszenia bezpieczeństwa systemu informatycznego oraz systemu przechowywania i zabezpieczenia danych osobowych zgromadzonych i utrwalonych w innej formie, niż elektroniczna,
- przeprowadzenie szkoleń z zakresu przepisów dotyczących ochrony danych osobowych oraz zapewnienie środków technicznych i organizacyjnych przy przetwarzaniu danych w systemach informatycznych,
- zapewnienie ochrony i bezpieczeństwa danych osobowych znajdujących się w systemie informatycznym oraz w papierowych zbiorach danych,
- podejmowanie, zgodnie z Polityką, stosownych działań w przypadku wykrycia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych znajdujących się w systemie informatycznym oraz danych osobowych zgromadzonych i utrwalonych w innej formie, niż elektroniczna,
- zapewnienie fizycznego bezpieczeństwa systemu informatycznego oraz systemu przechowywania i zabezpieczenia danych osobowych zgromadzonych i utrwalonych w innej formie, niż elektroniczna,
- zapewnienie dostępu do zbioru danych osobowych wyłącznie dla osób uprawnionych.
- Administrator danych tworzy Rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 ust. 1 RODO. Rejestr ma formę pisemną oraz formę elektroniczną.
- Administrator danych tworzy Rejestr wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO. Rejestr ma formę pisemną oraz elektroniczną.
§7
- Wszyscy pracownicy mają obowiązek przestrzegać postanowień zawartych w Polityce.
- Przed dopuszczeniem do pracy każdy pracownik zobowiązany jest do zapoznania się z niniejszą Polityką. Fakt zapoznania się zostaje potwierdzony pisemnym oświadczeniem – oświadczenie podlega włączeniu do akt pracownika lub dokumentów związanych z inną podstawą świadczenia usług w Spółce.
- Pracownicy zobowiązani są dbać o bezpieczeństwo danych powierzonych im do przetwarzania, w tym między innymi:
- chronić dane przed dostępem osób nieupoważnionych,
- chronić dane przed przypadkowym zniszczeniem, utratą lub modyfikacją,
- chronić wszelkie nośniki (papierowe i elektroniczne) zawierające dane osobowe, przed dostępem osób nieupoważnionych oraz przed przypadkowym zniszczeniem,
- utrzymywać w tajemnicy hasła, częstotliwość ich zmiany oraz szczegóły technologiczne,
- Pracownicy zobowiązani są do przestrzegania zakazu:
- ujawniania danych osobowych osobom nieupoważnionym,
- kopiowania bazy danych lub ich części bez wyraźnego upoważnienia,
- przetwarzania danych osobowych w sposób sprzeczny z posiadanym upoważnieniem.
§ 8.
- Polityka dotyczy przetwarzania wszystkich danych osobowych, przetwarzanych przez Administratora danych we wszelkiego rodzaju kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, a także w systemach informatycznych będących w dyspozycji Administratora danych.
- Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych osobowych), stanowi załącznik nr 3 do Polityki.
- Wykaz zbiorów danych osobowych wraz ze wskazaniem programów komputerowych zastosowanych do przetwarzania danych (w przypadku zbiorów danych prowadzonych w wersji elektronicznej), stanowi załącznik nr 4 do Polityki.
§ 9
- Podstawowym sposobem zabezpieczenia danych osobowych przetwarzanych w systemie informatycznym i dostępu do nich jest system definiowania loginów i haseł osób upoważnionych do przetwarzania danych osobowych.
- Podstawowym sposobem zabezpieczenia danych przetwarzanych w formie tradycyjnej, tj. na papierowych nośnikach danych, jest ograniczenie dostępu do niej za pomocą elementów zabezpieczeń fizycznych (ograniczenie dostępu do pomieszczeń i szaf lub innego wyposażenia biurowego, w których przechowywane są te dokumenty) oraz organizacyjnych (nadawanie, weryfikowanie i kontrolowanie dostępu do tych danych przez upoważnionych pracowników).
- Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
- Przed rozpoczęciem pracy Pracownik ma obowiązek sprawdzić, czy stan urządzenia (komputer) lub stan pomieszczenia, w którym przechowywane są dane osobowe nie wskazuje na naruszenie lub próbę naruszenia danych osobowych.
- Pracownicy mogą zakończyć pracę po wylogowaniu się z systemu. Obowiązek wylogowania się dotyczy także sytuacji, gdy Pracownik czasowo opuszcza stanowisko pracy.
§ 10.
- Administrator oraz wszystkie osoby przetwarzające dane na jego polecenie są zobowiązane do podjęcia wszelkich zgodnych z prawem środków zaradczych aby nie dopuścić do naruszenia ochrony danych osobowych.
- Naruszeniem ochrony danych osobowych jest:
- przypadkowe lub niezgodne z prawem zniszczenie, utracenie lub zmodyfikowanie danych osobowych,
- nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
3. W przypadku wykrycia naruszenia ochrony danych osobowych, jak również w przypadku próby lub ryzyka takiego naruszenia osoba przetwarzająca dane jest zobowiązana do natychmiastowego podjęcia niezbędnych działań zaradczych oraz do zawiadomienia Administratora, nie później niż w terminie 2 godzin od wykrycia naruszenia albo próby lub ryzyka takiego naruszenia. Zawiadomienie Administratora następuje poprzez wypełnienie Raportu z naruszenia ochrony danych osobowych, który stanowi załącznik nr 5 do Polityki.
- W przypadku naruszenia ochrony danych osobowych, Administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu, chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
- Jeżeli naruszenie ochrony danych osobowych może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, Administrator danych bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą o takim naruszeniu, chyba, że zachodzą okoliczności opisane w art. 34 ust. 3 i 4 RODO lub innych przepisach prawa.
- Administrator danych prowadzi w formie pisemnej Rejestr Naruszeń Ochrony Danych Osobowych (według wzoru określonego w załączniku nr 6 do niniejszej Polityki), w którym szczegółowo opisuje okoliczności naruszenia ochrony danych osobowych, skutki ich naruszenia i podjęte działania zaradcze.
§ 11.
1. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:
- likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku, gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie,
- przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie,
- naprawy – pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie, albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora lub w inny sposób gwarantujący zachowanie poufności tych danych.
2. Wydruki zawierające dane osobowe po ich wykorzystaniu są niszczone w sposób uniemożliwiający odczytanie znajdujących się na nich danych.
§ 12.
1. Administrator ponosi odpowiedzialność za przetwarzane w Spółce dane osobowe oraz za wdrożenie i przestrzeganie Polityki w Spółce.
2. Za naruszenie Polityki osoby przetwarzające dane osobowe mogą ponosić odpowiedzialność na zasadach określonych w odrębnych przepisach. W szczególności naruszenie Polityki może stanowić:
a) przyczynę uzasadniającą wypowiedzenie umowy o pracę,
b) ciężkie naruszenie podstawowych obowiązków pracowniczych uzasadniające rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika,
c) ważny powód wypowiedzenia umowy zlecenia lub umowy o świadczenie usług.
§ 13.
- W sprawach nieuregulowanych w Polityce stosuje się Instrukcję oraz powszechnie obowiązujące przepisy prawa, w tym w szczególności przepisy RODO.
- Polityka została sporządzona w jednym egzemplarzu. Podpisany egzemplarz Polityki przechowywany jest w siedzibie Spółki, natomiast jej kserokopia została przekazana do każdej z placówek prowadzonych przez Spółkę.
- Polityka wchodzi w życie z dniem 25 maja 2018 roku.
- Polityka obowiązuje do czasu jej zmiany lub uchylenia. W razie potrzeby, nie rzadziej niż raz w ciągu 6 miesięcy, Administrator dokonuje przeglądu Polityki, uwzględniając w szczególności analizę skutków jej obowiązywania dla ochrony danych osobowych oraz ochronę praw i wolności osób, których dane dotyczą. Administrator danych dokona zmiany Polityki w szczególności w przypadku, gdy zmianie ulegną obowiązujące regulacje prawne w zakresie ochrony danych osobowych.