ZASADY OCHRONY DANYCH OSOBOWYCH W STOWARZYSZENIU PO PIERWSZE RODZINA

Transkrypt

1 ZASADY OCHRONY DANYCH OSOBOWYCH W STOWARZYSZENIU PO PIERWSZE RODZINA Rozdział 1 - Postanowienia ogólne Zasady ochrony danych osobowych w Stowarzyszeniu Po pierwsze rodzina zwane dalej Zasadami określają ogólne zasady, cele przetwarzania danych i wskazują działania podejmowane przez Zarząd, będący Administratorem Danych Osobowych oraz osoby przez niego upowaŝnione, w zakresie ochrony danych osobowych w Stowarzyszeniu. 2. Zasady zostały opracowane na podstawie art. 36 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.). UŜyte określenia i skróty: 2 1. Ustawa Ustawa o ochronie danych osobowych z dnia 29 sierpnia 2002r. (Dz. U. z 2002r. Nr 101, poz. 926 ze zm.). 2. Administrator Bezpieczeństwa Informacji, zwany dalej Administratorem osoba wyznaczona przez Zarząd, w rozumieniu art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r o ochronie danych osobowych. 3. System informatyczny oznacza zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych stosowanych w celu przetwarzania danych osobowych. 4. Nieinformatyczny system przetwarzania oznacza to sposób przetwarzania danych wraz ze związanymi z nim ludźmi w kartotekach skorowidzach i innych zbiorach ewidencyjnych 5. Osoba upowaŝniona lub uŝytkownik systemu, pracownik lub współpracownik posiadający upowaŝnienie wydane przez Administratora lub osobę przez niego wyznaczoną i dopuszczony, w zakresie w nim wskazanym, do przetwarzania danych osobowych. 6. Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub moŝliwej do zidentyfikowania osoby fizycznej 7. Zbiór danych jest to kaŝdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezaleŝnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. 8. Dane sensytywne dane podlegające szczególnej ochronie, w rozumieniu art. 27 ustawy, tj. takie dane, które dotyczą m. in.: stanu zdrowia, kodu genetycznego, poglądów politycznych, przynaleŝności wyznaniowej, nałogów i Ŝycia seksualnego, skazań, Zasady ochrony danych osobowych w Stowarzyszeniu Po pierwsze rodzina 1 z 5

2 orzeczeń o ukaraniu i mandatów karnych. 9. Przetwarzanie danych jakakolwiek operacja wykonywana na danych osobowych, taka jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza taka, którą wykonuje się w systemach informatycznych. 10. Obszar przetwarzania danych osobowych - są to budynki, pomieszczenia lub części pomieszczeń (np. zamykane na klucz szafy, biurka), w których przetwarza się dane osobowe. 11. Podmiot zewnętrzny osoba fizyczna, lub przedsiębiorca wykonujący na rzecz Stowarzyszenia prace zlecone, w obszarze przetwarzania danych osobowych na podstawie umowy Naczelną zasadą przetwarzania danych osobowych w Stowarzyszeniu, jest zachowanie w tajemnicy wszelkich informacji dotyczących danych osobowych, podczas wykonywania obowiązków słuŝbowych przez pracowników. 2. MoŜliwość wystąpienia zagroŝeń danych osobowych w systemach lub kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, nakłada na uŝytkowników i ich przełoŝonych obowiązek wykonywania czynności, związanych z zapewnieniem danym osobowym właściwej ochrony. 3. Realizacja przedsięwzięć, o których mowa w ust. 2, polega głównie na: 1) zastosowaniu odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych przed dostępem osób nieuprawnionych, nieautoryzowaną modyfikacją, skopiowaniem lub zniszczeniem; 2) zabezpieczaniu komputerów przetwarzających dane osobowe; 3) stosowaniu nadzoru i kontroli w zakresie odnotowywania wszelkich zmian w przetwarzaniu danych osobowych; 4) udostępnianiu danych tylko podmiotom do tego uprawnionym oraz innym osobom zgodnie z przepisami prawa. 4. Przestrzeganie zasad bezpieczeństwa wymaga, aby przesyłanie danych osobowych za pomocą urządzeń telefonicznych lub transmisji danych w sieci publicznej, odbywało się tyko z wykorzystaniem odpowiednich urządzeń i przedsięwzięć zabezpieczających ich przekaz Administrator moŝe upowaŝnić osobę zatrudnioną w Stowarzyszeniu do wykonywania określonych czynności, będących w zakresie realizacji jego zadań. 2. Pracownicy podmiotów zewnętrznych wykonujących, na podstawie umowy, czynności serwisowe w urządzeniach przetwarzających dane osobowe, muszą otrzymać stosowne upowaŝnienie wydane przez Administratora. 3. Administrator prowadzi listę osób, które otrzymały zgodę na przetwarzanie danych osobowych w Stowarzyszeniu. Lista zawiera imiona i nazwiska osób upowaŝnionych a Zasady ochrony danych osobowych w Stowarzyszeniu Po pierwsze rodzina 2 z 5

3 takŝe nazwę zbioru danych do którego dana osoba posiada dostęp. 4. Administrator ma obowiązek zgłosić zbiór danych sensytywnych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków określonych w art. 43 ust. 1 ustawy. 5. Wniosek, o którym mowa w ust. 2 stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 100, poz. 1025). 6. Kontrola prawidłowości wykonywania czynności, o których mowa w ust. 1-5, naleŝy do Zarządu. 1. Dostęp do danych osobowych i ich przetwarzania mają wyłącznie osoby, które m. in: 5 1) zapoznały się z przepisami dotyczącymi ochrony danych osobowych i realizują zawarte w nich nakazy podczas pełnienia obowiązków, 2) zostały wpisane na listę osób upowaŝnionych do dostępu do danych osobowych, prowadzoną przez Administratora, 3) złoŝyły stosowne oświadczenie o zachowaniu w tajemnicy danych osobowych, zasad ich przetwarzania, takŝe po ustaniu stosunku pracy. 2. Oświadczenie, o którym mowa w ust. 1 pkt 3, stanowi załącznik do Zasad Zbiory danych osobowych tworzą (lub wnioskują o ich zmianę bądź wycofanie) tylko osoby upowaŝnione do przetwarzania tych danych zgodnie z potrzebami realizacji zadań słuŝbowych, w porozumieniu z Administratorem. 2. Zbiory danych osobowych tworzy się według następujących reguł: 1) nazwa zbioru powinna odzwierciedlać cel przetwarzania danych osobowych i być zgodna z nazewnictwem stosowanym w przepisach prawa lub winna być określona przez Administratora, 2) winna być podana podstawa prawna do przetwarzania danych; 3) winien być określony sposób i miejsce przetwarzania danych oraz wykazu osób mających do nich dostęp; 7 1. Obszar przetwarzania danych powinien być tak zabezpieczony, aby umoŝliwić skuteczną ochronę przed nieuprawnionym dostępem, modyfikacją danych, ich uszkodzeniem lub zniszczeniem. Zasady ochrony danych osobowych w Stowarzyszeniu Po pierwsze rodzina 3 z 5

4 2. Pomieszczenia, stanowiące obszar o którym mowa w ust. 1 powinny posiadać: 1) wewnętrzne ściany, gwarantujące trwałe oddzielenie od innych pomieszczeń; 2) pełne drzwi wejściowe, zaopatrzone w co najmniej jeden zamek; 3) odpowiednie zabezpieczenie okien przed dostępem z zewnątrz. 4) system alarmowy 3. W przypadku realizacji zadań ochrony we współpracy z podmiotami wykonującymi usługi ochrony na podstawie odrębnej umowy, jej zapisy muszą wyraźnie wskazywać na obszar przetwarzania danych osobowych Obowiązkowi plombowania podlegają pomieszczenia, w których przetwarzane są dane sensytywne (karty zdrowia pacjentów). 2. Osoby z personelu sprzątającego oraz pracownicy nie posiadający dostępu do przetwarzania danych osobowych mogą przebywać w pomieszczeniach, o których mowa w ust. 1 jedynie w obecności osoby zatrudnionej przy przetwarzaniu tych danych osobowych Osoba upowaŝniona do przetwarzania danych osobowych zobowiązana jest do przestrzegania procedur bezpieczeństwa w wyznaczonych obszarach, w szczególności: 1) przed wejściem do pomieszczenia sprawdzić czy na drzwiach i zamkach nie ma widocznych śladów prób niepowołanego ich otwierania (stan plomb); 2) sprawdzić sygnalizację alarmową i wyłączyć alarm; 3) sprawdzić okna i kraty oraz ocenić czy w pomieszczeniu nie ma śladów wskazujących na pobyt w nim osób nieupowaŝnionych. 2. W godzinach pracy nie naleŝy pozostawiać bez nadzoru pomieszczenia, w którym przetwarzane są dane osobowe lub pozostawiać kluczy w drzwiach zamkniętego pomieszczenia. 3. Po zakończeniu pracy naleŝy: 1) upewnić się, czy meble biurowe zawierające dokumentacją danych osobowych są zamknięte; 2) wyłączyć odbiorniki energii elektrycznej, zamknąć pomieszczenia, zaplombować; 3) uaktywnić instalację alarmową; 4) klucze zdać osobie do tego powołanej Kopiowanie danych osobowych oraz wykonywanie wydruków dozwolone jest wyłącznie wtedy, kiedy istnieje konieczność ich sporządzania, wynikająca z nałoŝonych na uŝytkownika obowiązków i dozwolona jest przepisami prawa. Zasady ochrony danych osobowych w Stowarzyszeniu Po pierwsze rodzina 4 z 5

5 2. Wykorzystanie i nieuŝyteczne wydruki zawierające dane osobowe naleŝy niszczyć w urządzeniach do tego przeznaczonych (niszczarkach) w sposób uniemoŝliwiający ich odtworzenie. 3. Osoba przetwarzające dane osobowe ponosi odpowiedzialność za wyrzucenie (np. do pojemnika na śmieci) ww. dokumentów w stopniu nadającym się do odczytania Wprowadzaniu w Ŝycie zasad ochrony danych osobowych słuŝą szkolenia osób zatrudnionych przy przetwarzaniu danych w Stowarzyszeniu przeprowadzane przez Administratora lub osobę przez niego wyznaczoną. 2. Szkoleniu, o którym mowa w ust. 1, podlegają wszyscy pracownicy mający dostęp do danych osobowych w Stowarzyszeniu Ujawnienie, zabranie, uszkodzenie oraz nieuzasadniona modyfikacja lub zniszczenie przez pracownika danych osobowych stanowi cięŝkie naruszenie obowiązków pracowniczych i moŝe skutkować sankcjami określonymi w kodeksie pracy. 2. Ujawnienie, zabranie, uszkodzenie oraz nieuzasadniona modyfikacja lub zniszczenie przez pracownika danych osobowych niezaleŝnie od sankcji określonych w ust. 1, moŝe skutkować odpowiedzialnością cywilną i karną na zasadach określonych w powszechnie obowiązujących przepisach prawa. Zasady ochrony danych osobowych w Stowarzyszeniu Po pierwsze rodzina 5 z 5