Polityka bezpieczeństwa

PRZETWARZANIE DANYCH (POLITYKA BEZPIECZEŃSTWA) W MIEJSKO- GMINNYM CENTRUM KULTURY W SŁOMNIKACH

I. Definicje

Na użytek niniejszego dokumentu:
1) „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, adres, tel.;
2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
3) „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;
4) „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów;
5) „administrator” oznacza osobę prawną- Centrum Kultury w Słomnikach, 32-090 Słomniki, ul. Wolności 4, NIP: 944-20-05-996
6) „zgoda” osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
7) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

II. Postanowienia ogólne 

1. Celem Polityki Bezpieczeństwa danych osobowych w MGCK w Słomnikach (zwanym dalej: Centrum Kultury), zwanej dalej Polityką Bezpieczeństwa, jest zapewnienie przetwarzania danych osobowych zgodnie z prawem. Podstawę prawną niniejszego dokumentu stanowi Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).

III. Zasady dotyczące przetwarzania danych osobowych

1. Dane osobowe są:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
d) prawidłowe i w razie potrzeby uaktualniane;
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
(art. 3, 4 pkt. 2 RODO)
2.Przetwarzać dane osobowe w Centrum Kultury mogą wyłącznie pracownicy, którzy otrzymali stosowne upoważnienia.
(art. 4 p. 7 i 8 RODO)

IV. Zbieranie danych osobowych

Podstawą prawną przetwarzania danych osobowych w Centrum Kultury są:

a) zgoda osoby, której dane dotyczą,
b) przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby,
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
d) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
(art. 6 i 9 RODO)
2. Centrum Kultury przetwarza wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych.
(art. 5 ust. 1 p. c RODO)
3. Zgoda na przetwarzanie danych osobowych przez Centrum Kultury musi być: dobrowolna, konkretna, świadoma i jednoznaczna w formie pisemnej na formularzu papierowym lub poprzez zaznaczenie odpowiedniego pola w formularzu internetowym.
(art. 6 RODO)
4. Podczas zbierania zgody na przetwarzanie danych osobowych Centrum Kultury poinformuje osoby, której dane dotyczą:
  • o tożsamości administratora danych i o jego danych kontaktowych,
  • o danych kontaktowych IOD,
  • o celach i podstawie przetwarzania danych, a jeżeli przetwarzanie odbywa się na tej podstawie, że jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – o tych prawnie uzasadnionych interesach,
  • o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją
  • o okresie czasu, przez który dane osobowe będą przechowywane,
  • o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • jeżeli przetwarzanie odbywa się na podstawie zgody – o prawie do cofnięcia zgody w dowolnym momencie,
  • o prawie wniesienia skargi do organu nadzorczego,
  • o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
5. Informacja zawarta w p. 4 niniejszego dokumentu zostanie podana w sposób zwięzły, przejrzysty, zrozumiały, językiem jasnym i prostym. Wzory klauzul stosowanych przez Centrum Kultury stanowi zał. 1 do niniejszego dokumentu.
(art. 6, art. 12 i 13 RODO)
6. Centrum Kultury nie zbiera zgody na przetwarzanie danych osobowych, gdy:
a) przetwarzanie danych jest niezbędne do wykonania umowy
b) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
c) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora- marketing produktów i usług Centrum Kultury.
(art. 6, art. 12 i 13 RODO)
7. Centrum Kultury nie będzie bez zgody:
a) przesyłać reklam swoich produktów i usług za pomocą poczty elektronicznej,
b) wysyłać wiadomości SMS o treści reklamowej.
(art. 10 ustawy o świadczeniu usług drogą elektroniczną; art. 172 ustawy Prawo telekomunikacyjne)
8. Odwołanie zgody na przetwarzanie danych osobowych odbywa się w takiej samej formie, jak jej udzielenie
(art. 7 ust. 3 RODO)
9. Dane osobowe są przechowywane:
a) do odwołania zgody;
b) na okres niezbędny do wykonania umowy;
c) zgodnie z przepisami szczególnymi określającymi czas przechowywania akt osobowych, dowodów księgowych, umów i rachunków.
(art. 5 ust. 1 p. e RODO)
10. Centrum Kultury nie profiluje danych osobowych.
 
V. Organizacja przetwarzania danych osobowych

1. Administrator przetwarzania danych osobowych- Centrum Kultury w Słomnikach jest podmiotem sektora publicznego i dlatego też powołuje Inspektora Danych Osobowych, aby zapewnić regularne i systematyczne monitorowanie zgodnego z prawem przetwarzania danych osobowych.
2. Dane osobowe są przetwarzane z Centrum Kultury wyłącznie przez osoby do tego upoważnione.
3. Dane osobowe przetwarzane w Centrum Kultury są analizowane i poddawane ocenie pod względem ryzyka naruszenia praw lub wolności osób fizycznych, aby zapewnić właściwy dobór środków zabezpieczenia, zgodne z aktualnym stanem wiedzy technicznej, własnymi możliwościami technicznymi oraz możliwościami finansowymi.
4. Centrum Kultury przeprowadza systematycznie ocenę skutków dla ochrony danych osobowych, która zawiera:
a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora, b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
(art. 35 RODO)
5. Jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator danych nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. Uprzednie konsultacje są rodzajem postępowania administracyjnego, które należy wszcząć z w oparciu o wynik oceny skutków dla ochrony danych
(art. 36 RODO)
6. W przypadku naruszenia ochrony danych osobowych Centrum Kultury niezwłocznie (tj. nie później niż w ciągu 72 godzin od stwierdzenia naruszenia) informuje o tym incydencie organ nadzorczy (PUOD). Naruszenie to polega na:
a) naruszeniu bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania danych osobowych
b) naruszeniu bezpieczeństwa prowadzącym do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
7. W przypadku, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenie praw i wolności osoby, której dane dotyczą, Centrum Kultury informuje o takim incydencie również osoby, których dane dotyczą.
(art. 34 RODO)
8. Centrum Kultury nie powierza przetwarzania danych osobowych.

VI. Prawo do bycia zapomnianym

1. Centrum Kultury szanuje i przestrzega prawa osób fizycznych do bycia zapomnianym, tj.:
a) możliwości żądania przez osobę, której dane dotyczą, usunięcia jej danych osobowych przez administratora danych,
b) możliwości żądania, aby administrator danych poinformował innych administratorów danych, którym upublicznił dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych lub ich kopie.
2. Prawo do bycia zapomnianym Centrum Kultury wykonuje, gdy spełniona jest chociaż jedna z następujących przesłanek:
a) jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
b) jeżeli osoba, której dane dotyczą, wycofała zgodę na przetwarzanie danych osobowych i nie istnieje inna podstawa przetwarzania danych,
c) jeżeli osoba, której dane dotyczą, zgłosiła sprzeciw wobec przetwarzania swoich danych w związku ze swoją szczególną sytuacją albo wobec przetwarzania danych dla celów marketingowych,
d) jeżeli dane osobowe były przetwarzane niezgodnie z prawem,
e) jeżeli dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie polskim, któremu podlega administrator,
3. Wykonanie prawa do bycia zapomnianym przez Centrum Kultury oznacza, że administrator zaprzestał przetwarzania danych osobowych i usunął je; chyba że zachodzą szczególne przypadki ograniczające prawo do bycia zapomnianym, tj.:
a) istnienie przepisu prawa, który nakazuje przetwarzanie danych osobowych,
b) sytuacja, w której przetwarzanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
4. Obowiązek wykonania prawa do bycia zapomnianym jest w Centrum Kultury ograniczony przez:
a) dostępną technologię,
b) koszty,
c) konieczność ograniczenia do rozsądnych działań.
(art. 17 RODO)
5. Osoby, których dane osobowe są przetwarzane w Centrum Kultury mają prawo do przenoszenia danych, tzn.:
a) otrzymania przez osobę, której dane dotyczą, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, danych osobowych jej dotyczących, które dostarczyła administratorowi,
b) prawo przesłania przez osobę, której dane dotyczą, danych osobowych jej dotyczących, które dostarczyła administratorowi, innemu administratorowi, bez przeszkód ze strony administratora danych.
6. Prawo do przenoszenia danych może być wykonane wyłącznie wtedy, gdy przetwarzanie danych odbywa się na podstawie zgody lub w celu wykonania umowy
7. Prawo do przenoszenia danych obejmuje tylko dane osobowe przetwarzane przy użyciu systemów informatycznych i nie obejmuje tradycyjnych, papierowych zbiorów danych.
(art. 20 RODO)

VII. Wdrożenie RODO w Centrum Kultury w Słomnikach

1. Pierwszym etapem wdrożenia RODO była identyfikacja wszystkich procesów przetwarzania danych.
2. Następnie administrator określił podstawę przetwarzania danych osobowych zgodną z RODO, zweryfikował zakres przetwarzania danych, zgodnie z zasadą minimalizacji i zweryfikował treść obowiązków informacyjnych towarzyszących przetwarzaniu danych. Dokonana została także ważność zgód udzielonych przed wprowadzeniem RODO. 3.Administrator określił poziom ryzyka dla wszystkich procesów przetwarzania danych osobowych, który będzie procesem ciągłym, monitorowanym i aktualizowanym.
4. Wszelkie procedury związane z RODO wchodzą w życie 25 maja 2018 r. Tym samym dotychczasowe dokumenty związane z polityką bezpieczeństwa tracą moc.

This article was updated on 27 czerwca 2019