R E G U L A M I N ochrony danych osobowych w Powszechnej Spółdzielni Mieszkaniowej,,Przymorze w Gdańsku

Transkrypt

1 R E G U L A M I N ochrony danych osobowych w Powszechnej Spółdzielni Mieszkaniowej,,Przymorze w Gdańsku I. POSTANOWIENIA OGÓLNE 1 1. Ochrona danych osobowych w Spółdzielni mieszkaniowej ma na celu zapewnienie wszystkim członkom Spółdzielni, właścicielom mieszkań niebędących członkami Spółdzielni, najemcom i pracownikom ochrony ich prywatności. Podstawę prawną niniejszego regulaminu stanowią przepisy: - ustawy z dnia 29 sierpnia 1997r. o Ochronie Danych Osobowych (Dz.U nr 133 poz. 883 z późniejszymi zmianami) - ustawy z dnia 16 kwietnia 1993r. o zwalczaniu nieuczciwej konkurencji (Dz. U. nr 47 poz. 211 z późniejszymi zmianami) - ustawy z dnia 06 czerwca 1997r. kodeks karny ( Dz. U nr 88 poz. 553 z póź. zmianami) - ustawy z dnia 23 kwietnia 1964r. kodeks cywilny (Dz. U. nr 16 poz. 93 z póź. zmianami art. 24 1,2,3. - ustawy z dnia 26 czerwca 1974r. kodeks pracy (Dz. U. nr 24 poz.141 z 1998r. z póź. zmianami) w odniesieniu do pracowników Spółdzielni - ustawy z dnia 16 września 1982r. Prawo Spółdzielcze ( Dz.U. nr 30 poz. 210 z póź. zmianami) - rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunkach technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r. Nr 100, poz. 1024) 2. Regulamin niniejszy określa zasady i tryb przetwarzania danych osobowych i sposoby zabezpieczenia zbiorów danych osobowych będących w posiadaniu Spółdzielni, a także określa obowiązki administratora danych osobowych oraz prawa osób, których dane spółdzielnia przetwarza. 3. Ochrona informacji stanowiących tajemnicę służbową w Spółdzielni ma na celu ich zabezpieczenie przed nieuprawnionym ujawnianiem, które mogę spowodować szkodę dla prawnie chronionych interesów Spółdzielni innych osób w tym jednostek organizacyjnychpodmiotów gospodarczych.

2 4. Regulamin określa również zakres ochrony informacji stanowiących tajemnicę służbową, w tym handlową Spółdzielni, do której dostęp mają pracownicy i członkowie organów samorządowych Spółdzielni, w związku z czynnościami służbowymi, pełnioną funkcją lub w związku z działalnością społeczną. 2 Przez użyte w treści regulaminu sformułowania należy rozumieć: 1) dane osobowe - każda informacja dotycząca osoby fizycznej, pozwalająca na określenie tożsamości tej osoby; 2) zbiór danych - każdy posiadający strukturę zestaw danych osobowych dostępny według określonych kryteriów, w którym dane są przetwarzane, w szczególności: w kartotekach, skorowidzach, księgach, wykazach, rejestrach, systemach informatycznych itp.; 3) przetwarzanie danych - wszelkie operacje wykonywane na danych osobowych i ich zbiorach, w szczególności: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych; 4) usuwanie danych - zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą; 5) administrator danych osobowych - podmiot zajmujący się przetwarzaniem danych osobowych. Administratorem danych osobowych Członków Spółdzielni, właścicieli mieszkań niebędących członkami Spółdzielni, najemców i pracowników jest Spółdzielnia mieszkaniowa, a w jej imieniu Zarząd Spółdzielni; 6) administrator bezpieczeństwa informacji - osoba odpowiedzialna za bezpieczeństwo danych osobowych, wyznaczona przez administratora danych osobowych zwany dalej ABI, nadzoruje zasady przestrzegania danych osobowych, w szczególności zabezpieczania danych przed ich udostępnieniem osobom nieupoważnionym; 7) administrator systemu informatycznego - osoba odpowiedzialna za realizację zadań związanych z zarządzaniem systemem informatycznym, wyznaczona przez administratora danych osobowych zwany dalej ASI; 8) system informatyczny - system przetwarzania informacji wraz ze związanymi z nim ludźmi oraz zasobami technicznymi i finansowanymi, który dostarcza i rozprowadza informacje. 9) tajemnica służbowa - informacje dotyczące działalności inwestycyjnej, prowadzonej działalności gospodarczej i innej, stanowiące tajemnicę służbową przedsiębiorstwa

3 Spółdzielni oraz informacje o kontraktach Spółdzielni w związku z czynnościami służbowymi, albo wykonywaniem prac zleconych również społecznych, której ujawnienie mogłoby narazić na szkodę interes Spółdzielni lub prawnie chroniony interes innych osób, albo jednostek organizacyjno-gospodarczych. 3 Celem zabezpieczenia zbiorów danych osobowych Członków Spółdzielni, właścicieli mieszkań nie będących członkami Spółdzielni, najemców i pracowników oraz ich przetwarzania jest uniemożliwienie dostępu do zbioru danych osobom nieuprawnionym, bądź zabierania ich przez osobę nieuprawnioną oraz zabezpieczenie danych przed ich uszkodzeniem lub zniszczeniem. 4 Spółdzielnia mieszkaniowa jako administrator danych osobowych przetwarza dane osobowe dla realizacji celów statutowych oraz celów związanych z działalnością gospodarczą zgodnie z przepisami prawa w zbiorach określonych w zał. -Wykaz Zbiorów Osobowych zał.nr Dostęp do zbioru danych osobowych oraz do ich przetwarzania mogą mieć wyłącznie osoby, które uzyskały pisemne upoważnienie wydane przez Zarząd Spółdzielni. 2. ABI prowadzi ewidencję osób upoważnionych do przetwarzaniu danych osobowych. 3. Dane ujęte w ewidencji, o której mowa w ustępie 2, zawarte są we wzorze zał. nr 2 w podziale na: a. ewidencję pracowników upoważnionych przez Administratora Danych Osobowych b. ewidencję członków organów samorządowych członków Rady Nadzorczej i Rad Osiedli, którzy w związku z pełnioną funkcją uzyskali dostęp do zbioru danych osobowych i do ich przetwarzania. c. ewidencję osób oraz firm upoważnionych przez Administratora Danych Osobowych. Osoby te i firmy zobowiązane są do złożenia oświadczeń. 4. Osoba, która uzyskała upoważnienie dostępu do zbioru danych osobowych i ich przetwarzania, powinna być zapoznana z przepisami dotyczącymi ochrony danych osobowych. 5. Osoba, która uzyskała dostęp do zbioru danych osobowych i ich przetwarzania, zobowiązana jest do złożenia oświadczenia o zachowaniu ich w tajemnicy. Obowiązek ten istnieje również po ustaniu zatrudnienia przy przetwarzaniu danych osobowych, czy po ustaniu pełnionych funkcji przez członków organów samorządowych.

4 6. Upoważnienie, o którym mowa w ustępie 1, oraz oświadczenie osoby upoważnionej o zachowaniu tajemnicy danych osobowych Członków Spółdzielni, właścicieli mieszkań nie będących członkami Spółdzielni, najemców i pracowników znajduje się u ABI. 7. Indywidualny zakres czynności pracownika dopuszczonego do przetwarzania danych osobowych powinien określać jego obowiązki, wynikające z czynności związanych z przetwarzaniem danych osobowych oraz zakres, w jakim pracownik został upoważniony do przetwarzania tych danych. 8. Dział Służb Pracowniczych ma obowiązek informowania ABI o zatrudnieniu i zwolnieniu pracownika. 9. Z dniem ustania zatrudnienia utrata uprawnień następuje na wniosek ABI, który realizuje ASI 6 1. Dane osobowe Członków Spółdzielni, właścicieli mieszkań nie będących członkami Spółdzielni, najemców i pracowników są przechowywane i przetwarzane w wydzielonych pomieszczeniach, określonych przez Zarząd Spółdzielni zgodnie z załącznikiem nr 3 Wykaz Miejsc Przetwarzania Danych Osobowych. 2. Do pomieszczeń, o których mowa w ustępie l, mogą mieć dostęp jedynie pracownicy Spółdzielni lub inne osoby posiadające upoważnienie Zarządu Spółdzielni, zgodnie 5 ust Pomieszczenia, w których przechowywane i przetwarzane są dane osobowe, są zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych osobowych. 4. Zabezpieczeniu podlegają także dane dotyczące kontrahentów Spółdzielni. II. OCHRONA DANYCH OSOBOWYCH PRZETWARZANYCH W SYSTEMIE INFORMATYCZNYM 7 1. Przy obsłudze systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych, mogą być zatrudnieni wyłącznie pracownicy, osoby i firmy posiadające upoważnienie Zarządu Spółdzielni. 2. Zarząd Spółdzielni wyznacza,,administratora systemów informatycznych -ASI odpowiedzialnego za bezpieczeństwo danych osobowych gromadzonych i przechowywanych w systemie informatycznym. 3. Podmioty wymienione w ust. 1 odpowiedzialne są za przeciwdziałanie dostępowi osób

5 niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz podejmowanie odpowiednich działań w przypadkach wykrycia naruszeń w systemie zabezpieczeń Pracownikowi zatrudnionemu przy przetwarzaniu danych osobowych ASI, na wniosek przełożonego tego pracownika i po uzgodnieniu z ABI, przydziela się odrębny identyfikator i hasło. 2. Identyfikator powinien być wpisany do ewidencji pracowników zatrudnionych przy przetwarzaniu danych osobowych. 3. Ustalony identyfikator pracownika nie podlega zmianie w okresie jego zatrudnienia, a po wykreśleniu użytkownika z systemu informatycznego nie może być przydzielony innemu pracownikowi. 4. Hasło przydzielane pracownikowi podlega zmianie nie rzadziej niż raz na miesiąc. 5. Hasło powinno zawierać min. 8 znaków, w tym litery duże i małe oraz znaki specjalne. 6. Hasło przydzielone pracownikowi zatrudnionemu przy przetwarzaniu danych osobowych, pracownik powinien utrzymywać w tajemnicy, także po upływie jego ważności. 7. Bezpośredni dostęp do systemu informatycznego, zawierającego dane osobowe może nastąpić wyłącznie po podaniu identyfikatora i hasła. 8. Identyfikator i hasło osoby, która utraciła uprawnienia dostępu do systemu informatycznego zawierającego dane osobowe, należy natychmiast wyrejestrować z systemu i unieważnić,wykonuje to ASI na wniosek ABI Pracownik zatrudniony przy przetwarzaniu danych osobowych w systemie informatycznym obowiązany jest niezwłocznie powiadomić administratora bezpieczeństwa informacji, gdy: a. stwierdzi naruszenie zabezpieczenia systemu informatycznego, b. stan urządzeń, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakości komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych. 2. Administrator Bezpieczeństwa Informacji po stwierdzeniu naruszenia systemu informatycznego ma obowiązek: a. zabezpieczyć ślady pozwalające na określenie przyczyn naruszenia systemu

6 informatycznego, b. przeanalizować i określić skutki naruszenia systemu informatycznego, c. określić czynniki, które spowodowały naruszenie systemu informatycznego, d. dokonać niezbędnych korekt w systemie informatycznym polegających na zabezpieczeniu systemu przed ponownym jego naruszeniem, e. powiadomić Zarząd Spółdzielni o naruszeniu systemu informatycznego, jego przyczynach i skutkach oraz podjętych działaniach korygujących system Systemy informatyczne, które eksploatuje Spółdzielnia wyszczególnione są w załączniku nr 1 -Wykaz Zbiorów Osobowych. 2. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi opisany jest w dokumentacji UNISOFT. Sposób przepływu danych pomiędzy systemami opisany jest w dokumentacji UNISOFT. 11 System informatyczny powinien zapewniać odnotowanie: 1. Daty wprowadzenia i modyfikacji danych osobowych, 2. Identyfikatora użytkownika systemu wprowadzającego dane, 3. Informację, komu, kiedy i w jakim zakresie dane zostały udostępnione, 4. Żądania zaprzestania przetwarzania danych po jego uwzględnieniu. 12 System informatyczny służący do przetwarzania danych osobowych musi pozwalać na udostępnienie danych określonych w 11 na piśmie w formie powszechnie zrozumiałej Zarząd Spółdzielni określił pomieszczenia lub ich części, tworząc obszar, w którym przetwarzane są dane osobowe w systemie informatycznym. Załącznik nr 3 Wykaz Miejsc Przetwarzania Danych Osobowych. 2. Przebywanie osób nieuprawnionych oraz dostęp do danych osobowych wewnątrz obszaru określonego w zarządzeniu Zarządu Spółdzielni jest możliwe jedynie w obecności osoby zatrudnionej przy przetwarzaniu tych danych i za zgodą Zarządu Spółdzielni.

7 3. Pomieszczenia, w których są przetwarzane dane osobowe, muszą być zamykane na czas nieobecności osób w nich zatrudnionych przy przetwarzaniu danych osobowych w taki sposób, aby uniemożliwić dostęp do nich osób nieuprawnionych. 4. W pomieszczeniach, w których przebywają osoby postronne, monitory komputerów powinny być ustawione w taki sposób, żeby uniemożliwić im wgląd w dane osobowe Informacje o działalności prowadzonej przez Spółdzielnię, a w szczególności dotyczące: prowadzonych inwestycji, planów inwestycyjnych, działalności gospodarczej stanowią tajemnicę służbową. 2. Tajemnicą służbową w tym handlową w Powszechnej Spółdzielni Mieszkaniowej,,Przymorze objęte są również informacje będące w posiadaniu Spółdzielni i dotyczące jej kontrahentów, w szczególności: informacje o adresach prywatnych osób reprezentujących kontrahenta, stosowane przez niego technologie, jego sytuacja finansowa, osiągane obroty przedsiębiorstwa, informacje o ofertach i kontrahentach handlowych i inne. 3. Pracownicy i członkowie organów samorządowych Spółdzielni zobowiązani są do złożenia pisemnego oświadczenia o zachowaniu tajemnicy danych osobowych i informacji stanowiących tajemnicę służbową w tym handlową. 4. Zarząd Spółdzielni jest zobowiązany udostępnić Radzie Nadzorczej, a Kierownik Administracji Osiedla Radzie Osiedla, wszelkie sprawozdania i księgi oraz dokumenty dotyczące działalności statutowej Spółdzielni. Prawo wglądu do wszystkich dokumentów, ksiąg oraz sprawozdań przysługuje Radzie Nadzorczej oraz Radzie Osiedla, jako organowi kolegialnemu. 5. Indywidualni członkowie organów samorządowych mogą korzystać z prawa wglądu we wszystkie dokumenty, księgi i sprawozdania dotyczące działalności statutowej Spółdzielni, jeżeli zostali do tego upoważnieni uchwałą organu powierzającego im przeprowadzenie badań określonej dziedziny działalności Spółdzielni, których wyniki mogą być przedstawione do oceny organu. 6. Kopie baz danych lub ich części zawartych w systemie komputerowym nie mogą być wynoszone poza siedzibę Spółdzielni w żadnej formie tj. oryginałów, kopii, kserokopii lub odpisów poza kopią systemu Unisoft, która jako zarchiwizowana baza danych w ZAO powinna być przekazana tylko do AO-1 wyłącznie przez pracowników

8 do tego upoważnionych tj. ASI i ABI. Nie wolno pozostawiać kasety z danymi w sekretariacie Spółdzielni. 7. Dokumenty udostępnione przez Zarząd Spółdzielni lub Kierownictwo Administracji Osiedla organom samorządowym są poufne i nie mogą być ujawniane w żadnej formie osobom trzecim, lub być publikowane. 8. Dokumenty zwierające dane osobowe, udostępnione organom samorządowym, nie mogą być wynoszone poza siedzibę Spółdzielni (Zarządu,Administracji Osiedla) w żadnej postaci tj. oryginałów, kserokopii czy odpisów. 9. W przypadku podjęcia przez Radę Nadzorczą lub Radę Osiedla uchwały o zleceniu badania dokumentów, sporządzenia ekspertyzy lub opinii uprawnionym specjalistom biegłym, dokumenty wskazane przez Radę Nadzorczą lub Radę Osiedla przygotowuje (sporządza kopie) i parafuje upoważniony przez Zarząd lub kierownika Administracji Osiedla pracownik Spółdzielni. 15 Urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zasilane energią elektryczną, powinny być zabezpieczone przed utratą tych danych spowodowaną awarią zasilania lub zakłóceniami sieci zasilającej Archiwizowane dane nie powinny być przechowywane w tych samych pomieszczeniach, w których przechowywane są zbiory danych osobowych eksploatowane na bieżąco. 2. Dane o których mowa w pkt1 należy: a) okresowo sprawdzać pod kątem ich dalszej przydatności do odtworzenia danych w przypadku awarii systemu, b) bezzwłocznie usuwać po ustaniu ich użyteczności Zarząd Spółdzielni może udostępnić dane osobowe Członka Spółdzielni, właścicieli mieszkań nie będących członkami Spółdzielni, najemców Zebraniu Przedstawicieli, Radzie Nadzorczej jedynie w przypadku, gdy w sprawie danego członka toczy się postępowanie wewnątrz spółdzielcze w trybie określonym postanowieniami statutu Spółdzielni. 2. Dane osobowe Członka Spółdzielni, właścicieli mieszkań nie będących członkami Spółdzielni, najemców mogą być udostępnione organom samorządowym

9 spółdzielni rozpatrującym jego sprawę w postępowaniu wewnątrz spółdzielczym tylko w zakresie mogącym mieć znaczenie dla danej sprawy. 3. Zarząd Spółdzielni jest zobowiązany do poinformowania członków organów samorządowych spółdzielni rozpatrującym sprawę członka Spółdzielni, właścicieli mieszkań nie będących członkami Spółdzielni, najemców w postępowaniu wewnątrz spółdzielczym o przepisach dotyczących ochrony danych osobowych. 4. Udostępnienie danych osobowych przetwarzanych przez Spółdzielnię osobom fizycznym lub instytucjom publicznym może nastąpić jedynie na pisemnie umotywowany wniosek, chyba że przepis szczególny stanowi inaczej. 5. Wniosek, o którym mowa w ustępie 4, może dotyczyć jedynie konkretnej osoby w konkretnej sytuacji i być zgodny z wzorem opublikowanym jako załącznik do Regulaminu. 6. Spółdzielnia mieszkaniowa może odmówić udostępnienia danych osobowych swoich Członków, właścicieli mieszkań nie będących członkami Spółdzielni, najemców i pracowników w przypadkach określonych Ustawą o ochronie danych osobowych. 7. Umieszczanie nazwiska członka Spółdzielni, właściciela mieszkania nie będącego członkiem spółdzielni, najemcy na liście lokatorów lub przy instalacji domofonowej jest możliwe po wyrażeniu pisemnej zgody przez wyżej wymienionych W budynkach mieszkalnych na terenie poszczególnych Administracji Osiedli PSM Przymorze zainstalowany jest monitoring w postaci kamer wizualnych. 2. Na obszarze objętym monitoringiem umieszcza się tablice informujące o zainstalowanych kamerach. Tablice umieszczane są w miejscach widocznych tak, aby można je było łatwo dostrzec. Za oznakowania miejsc monitoringu są odpowiedzialni Kierownicy Administracji Osiedli. 3. Monitoring one line a także nagrania z monitoringu udostępniane są Sądowi, Prokuraturze, Policji, Straży Miejskiej i na wezwanie innym organom ścigania. 4. System monitoringu wizyjnego, pozwalający na identyfikacje osób fizycznych, jest zbiorem danych osobowych i podlega przepisom ustawy o ochronie danych osobowych zgodnie z art.36 ustawy. 5. Udostępnienie nagrań z monitoringu osobom fizycznym nie jest możliwe z uwagi na to, iż może prowadzić do naruszenia prawa do prywatności i wizerunku innych osób gwarantowanego w Konstytucji RP. 6. Okres przechowywania danych,po którego upływie zarejestrowane dane są usuwane wynosi od 10 do 30 dni w zależności od typu rejestratora zapisującego obraz z kamer.

10 Archiwizacja danych może być wydłużona na przenośnych nośnikach pamięci w szczególnie uzasadnionych przypadkach np. dla celów dowodowych w postępowaniach prowadzonych przez sądy, organa ścigania lub na wniosek osoby poszkodowanej. Okres przechowywania danych ustala się do czasu zakończenia postępowania sądowego lub umorzenia sprawy przez organy ścigania. 7. Zgrywania materiałów z rejestratorów dokonują wyznaczone do tego celu osoby. Rejestratory zabezpieczone są odpowiednimi kodami w celu uniemożliwienia dokonania zgrania przez osoby nieupoważnione. 8. Nagrania z monitoringu są przechowywane w Administracjach Osiedli w szafach metalowych, zamykanych na klucz. Za zabezpieczenie pomieszczeń monitoringu przed dostępem osób nieupoważnionych odpowiedzialni są Kierownicy Administracji Osiedli jako Pełnomocnicy Zarządu. 9. Wszyscy pracownicy posiadający prawo dostępu do systemu, w tym podwykonawcy wykonujący codzienne działania w zakresie wideo-nadzoru lub sprawujący nadzór techniczny na systemem monitoringu, muszą podpisać zobowiązanie do zachowania poufności, nie przekazywania i nie ujawniania treści nagrań nikomu, kto nie ma prawa dostępu czyli nikomu poza ochroną danej instytucji lub upoważnionym pracownikom PSM Przymorze Osoba, której dane przetwarzane są przez Spółdzielnię ma prawo: a) do informacji o: - sposobie przetwarzania danych osobowych (ręcznie przetwarzanie danych, metody informatyczne, w tym sieci komputerowej), - treści danych, - sposobie udostępniania danych osobowych oraz odbiorcach lub kategorii odbiorców danych, b) żądania uzupełnienia, uaktualnienia i sprostowania danych osobowych. 2. Informacji, o których mowa w ust.1 Zarząd Spółdzielni, jest zobowiązany udzielić w terminie 30 dni od daty otrzymania wniosku Niniejszy Regulamin obowiązuje: wszystkich pracowników PSM,,Przymorze zatrudnionych w Zarządzie Ogólnym i Administracjach Osiedli, członków organów

11 samorządowych tj. Rady Nadzorczej i Rad Osiedli, członków Spółdzielni,właścicieli mieszkań nie będących członkami Spółdzielni, najemców. 2.Traci moc dotychczasowy Regulamin... uchwalony przez Radę Nadzorczą uchwałą Nr 184 z dnia r. 3.Regulamin uchwalony przez Radę Nadzorczą Uchwałą Nr... w dniu r. 4.Niniejszy regulamin wchodzi w życie z dniem podjęcia. Sekretarz Rady Nadzorczej Przewodniczący Rady Nadzorczej mgr inż.waldemar Pawilczus mgr Roman Kozłowski Załączniki : 1. Wykaz Zbiorów Osobowych nowy 2. Wzór Ewidencja osób upoważnionych do przetwarzania danych osobowych nowy 3. Wykaz miejsc przetwarzania danych osobowych nowy 4. Instrukcja określająca sposób zarządzania administratora bezpieczeństwa informacji w zakresie przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji. 5. indywidulany zakres obowiązków nałożonych na użytkownika systemu w PSM,,Przymorze 6. Wzór Upoważnienie do przetwarzania danych osobowych zmiana 7. Wniosek o udostępnienie danych ze zbioru zmiany