Polityka bezpieczeństwa

PRZETWARZANIE DANYCH (POLITYKA BEZPIECZEŃSTWA) W MIEJSKO- GMINNYM CENTRUM KULTURY W SŁOMNIKACH

I. Definicje

Na użytek niniejszego dokumentu:
1) „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, adres, tel.;
2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
3) „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;
4) „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów;
5) „administrator” oznacza osobę prawną- Centrum Kultury w Słomnikach, 32-090 Słomniki, ul. Wolności 4, NIP: 944-20-05-996
6) „zgoda” osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
7) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

II. Postanowienia ogólne

1. Celem Polityki Bezpieczeństwa danych osobowych w MGCK w Słomnikach (zwanym dalej: Centrum Kultury), zwanej dalej Polityką Bezpieczeństwa, jest zapewnienie przetwarzania danych osobowych zgodnie z prawem. Podstawę prawną niniejszego dokumentu stanowi Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).

III. Zasady dotyczące przetwarzania danych osobowych

1. Dane osobowe są:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
d) prawidłowe i w razie potrzeby uaktualniane;
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
(art. 3, 4 pkt. 2 RODO)
2.Przetwarzać dane osobowe w Centrum Kultury mogą wyłącznie pracownicy, którzy otrzymali stosowne upoważnienia.
(art. 4 p. 7 i 8 RODO)

IV. Zbieranie danych osobowych

Podstawą prawną przetwarzania danych osobowych w Centrum Kultury są:

a) zgoda osoby, której dane dotyczą,
b) przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby,
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
d) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
(art. 6 i 9 RODO)
2. Centrum Kultury przetwarza wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych.
(art. 5 ust. 1 p. c RODO)
3. Zgoda na przetwarzanie danych osobowych przez Centrum Kultury musi być: dobrowolna, konkretna, świadoma i jednoznaczna w formie pisemnej na formularzu papierowym lub poprzez zaznaczenie odpowiedniego pola w formularzu internetowym.
(art. 6 RODO)
4. Podczas zbierania zgody na przetwarzanie danych osobowych Centrum Kultury poinformuje osoby, której dane dotyczą:

o tożsamości administratora danych i o jego danych kontaktowych,
o danych kontaktowych IOD,
o celach i podstawie przetwarzania danych, a jeżeli przetwarzanie odbywa się na tej podstawie, że jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – o tych prawnie uzasadnionych interesach,
o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją
o okresie czasu, przez który dane osobowe będą przechowywane,
o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
jeżeli przetwarzanie odbywa się na podstawie zgody – o prawie do cofnięcia zgody w dowolnym momencie,
o prawie wniesienia skargi do organu nadzorczego,
o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

5. Informacja zawarta w p. 4 niniejszego dokumentu zostanie podana w sposób zwięzły, przejrzysty, zrozumiały, językiem jasnym i prostym. Wzory klauzul stosowanych przez Centrum Kultury stanowi zał. 1 do niniejszego dokumentu.
(art. 6, art. 12 i 13 RODO)
6. Centrum Kultury nie zbiera zgody na przetwarzanie danych osobowych, gdy:
a) przetwarzanie danych jest niezbędne do wykonania umowy
b) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
c) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora- marketing produktów i usług Centrum Kultury.
(art. 6, art. 12 i 13 RODO)
7. Centrum Kultury nie będzie bez zgody:
a) przesyłać reklam swoich produktów i usług za pomocą poczty elektronicznej,
b) wysyłać wiadomości SMS o treści reklamowej.
(art. 10 ustawy o świadczeniu usług drogą elektroniczną; art. 172 ustawy Prawo telekomunikacyjne)
8. Odwołanie zgody na przetwarzanie danych osobowych odbywa się w takiej samej formie, jak jej udzielenie
(art. 7 ust. 3 RODO)
9. Dane osobowe są przechowywane:
a) do odwołania zgody;
b) na okres niezbędny do wykonania umowy;
c) zgodnie z przepisami szczególnymi określającymi czas przechowywania akt osobowych, dowodów księgowych, umów i rachunków.
(art. 5 ust. 1 p. e RODO)
10. Centrum Kultury nie profiluje danych osobowych.

V. Organizacja przetwarzania danych osobowych

1. Administrator przetwarzania danych osobowych- Centrum Kultury w Słomnikach jest podmiotem sektora publicznego i dlatego też powołuje Inspektora Danych Osobowych, aby zapewnić regularne i systematyczne monitorowanie zgodnego z prawem przetwarzania danych osobowych.
2. Dane osobowe są przetwarzane z Centrum Kultury wyłącznie przez osoby do tego upoważnione.
3. Dane osobowe przetwarzane w Centrum Kultury są analizowane i poddawane ocenie pod względem ryzyka naruszenia praw lub wolności osób fizycznych, aby zapewnić właściwy dobór środków zabezpieczenia, zgodne z aktualnym stanem wiedzy technicznej, własnymi możliwościami technicznymi oraz możliwościami finansowymi.
4. Centrum Kultury przeprowadza systematycznie ocenę skutków dla ochrony danych osobowych, która zawiera:
a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora, b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
(art. 35 RODO)
5. Jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator danych nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. Uprzednie konsultacje są rodzajem postępowania administracyjnego, które należy wszcząć z w oparciu o wynik oceny skutków dla ochrony danych
(art. 36 RODO)
6. W przypadku naruszenia ochrony danych osobowych Centrum Kultury niezwłocznie (tj. nie później niż w ciągu 72 godzin od stwierdzenia naruszenia) informuje o tym incydencie organ nadzorczy (PUOD). Naruszenie to polega na:
a) naruszeniu bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania danych osobowych
b) naruszeniu bezpieczeństwa prowadzącym do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
7. W przypadku, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenie praw i wolności osoby, której dane dotyczą, Centrum Kultury informuje o takim incydencie również osoby, których dane dotyczą.
(art. 34 RODO)
8. Centrum Kultury nie powierza przetwarzania danych osobowych.

VI. Prawo do bycia zapomnianym

1. Centrum Kultury szanuje i przestrzega prawa osób fizycznych do bycia zapomnianym, tj.:
a) możliwości żądania przez osobę, której dane dotyczą, usunięcia jej danych osobowych przez administratora danych,
b) możliwości żądania, aby administrator danych poinformował innych administratorów danych, którym upublicznił dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych lub ich kopie.
2. Prawo do bycia zapomnianym Centrum Kultury wykonuje, gdy spełniona jest chociaż jedna z następujących przesłanek:
a) jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
b) jeżeli osoba, której dane dotyczą, wycofała zgodę na przetwarzanie danych osobowych i nie istnieje inna podstawa przetwarzania danych,
c) jeżeli osoba, której dane dotyczą, zgłosiła sprzeciw wobec przetwarzania swoich danych w związku ze swoją szczególną sytuacją albo wobec przetwarzania danych dla celów marketingowych,
d) jeżeli dane osobowe były przetwarzane niezgodnie z prawem,
e) jeżeli dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie polskim, któremu podlega administrator,
3. Wykonanie prawa do bycia zapomnianym przez Centrum Kultury oznacza, że administrator zaprzestał przetwarzania danych osobowych i usunął je; chyba że zachodzą szczególne przypadki ograniczające prawo do bycia zapomnianym, tj.:
a) istnienie przepisu prawa, który nakazuje przetwarzanie danych osobowych,
b) sytuacja, w której przetwarzanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
4. Obowiązek wykonania prawa do bycia zapomnianym jest w Centrum Kultury ograniczony przez:
a) dostępną technologię,
b) koszty,
c) konieczność ograniczenia do rozsądnych działań.
(art. 17 RODO)
5. Osoby, których dane osobowe są przetwarzane w Centrum Kultury mają prawo do przenoszenia danych, tzn.:
a) otrzymania przez osobę, której dane dotyczą, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, danych osobowych jej dotyczących, które dostarczyła administratorowi,
b) prawo przesłania przez osobę, której dane dotyczą, danych osobowych jej dotyczących, które dostarczyła administratorowi, innemu administratorowi, bez przeszkód ze strony administratora danych.
6. Prawo do przenoszenia danych może być wykonane wyłącznie wtedy, gdy przetwarzanie danych odbywa się na podstawie zgody lub w celu wykonania umowy
7. Prawo do przenoszenia danych obejmuje tylko dane osobowe przetwarzane przy użyciu systemów informatycznych i nie obejmuje tradycyjnych, papierowych zbiorów danych.
(art. 20 RODO)

VII. Wdrożenie RODO w Centrum Kultury w Słomnikach

1. Pierwszym etapem wdrożenia RODO była identyfikacja wszystkich procesów przetwarzania danych.
2. Następnie administrator określił podstawę przetwarzania danych osobowych zgodną z RODO, zweryfikował zakres przetwarzania danych, zgodnie z zasadą minimalizacji i zweryfikował treść obowiązków informacyjnych towarzyszących przetwarzaniu danych. Dokonana została także ważność zgód udzielonych przed wprowadzeniem RODO. 3.Administrator określił poziom ryzyka dla wszystkich procesów przetwarzania danych osobowych, który będzie procesem ciągłym, monitorowanym i aktualizowanym.
4. Wszelkie procedury związane z RODO wchodzą w życie 25 maja 2018 r. Tym samym dotychczasowe dokumenty związane z polityką bezpieczeństwa tracą moc.