Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Podobne dokumenty
ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Polityka Ochrony Danych Osobowych W

Polityka Ochrony Danych Osobowych w Szkole Podstawowej im. Księdza Jana Siuzdaka w Wołkowyi

Polityka Ochrony Danych Osobowych

POLITYKA OCHRONY DANYCH OSOBOWYCH W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W WIERUSZOWIE

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

Polityka Ochrony Danych Osobowych w Akademii Wychowania Fizycznego im. Eugeniusza Piaseckiego w Poznaniu

Amatorski Klub Sportowy Wybiegani Polkowice

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Polityka Bezpieczeństwa Ochrony Danych Osobowych

Definicje. Wstęp. Przez użyte w Polityce określenia należy rozumieć:

Polityka Bezpieczeństwa Ochrony Danych Osobowych

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W Praktyka Lekarska Aleksandra Mossakowska z siedzibą pod adresem: Halinów, ul.

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej sp. z o.o. w Nowej Soli.

Polityka Bezpieczeństwa Ochrony Danych Osobowych w Pomorskim Ośrodku Ruchu Drogowego w Gdańsku

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH. Oxymoron Sp. z o.o.

Załącznik nr 7 do Instrukcji Zarządzania Systemem Informatycznym INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

RODO - POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

POLITYKA BEZPIECZEŃSTWA

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W Gabinecie chiropraktycznym Marcin Cieliczka

POLITYKA BEZPIECZEŃSTWA INSTAL-KONIN PIOTR KRYGIER. Data i miejsce sporządzenia dokumentu: Ilość stron:

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

FENIX PSYCHOTERAPIA UZALEŻNIEŃ SP. Z O.O WODZISŁAW ŚLĄSKI UL. PAWŁA POŚPIECHA 1A KODEKS DOBRYCH PRAKTYK OCHRONY DANYCH OSOBOWYCH

Uchwała wchodzi w życie z dniem uchwalenia.

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

ZARZĄDZENIE NR./2018 DYREKTORA SZKOŁY PODSTAWOWEJ NR 4 im. M. KOPERNIKA w TARNOBRZEGU z dnia... w sprawie wdrożenia Polityk Ochrony Danych

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Administrator deklaruje pełną świadomość charakteru, rodzaju i kontekstu przetwarzanych danych osobowych w PWDL, w tym ich sensytywności

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w MOSiR w Zielonej Górze

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Polityka Ochrony Danych Osobowych w Zespole Szkół Ponadgimnazjalnych w Chojnie

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

POLITYKA BEZPIECZEŃSTWA. Regionalne Wąbrzeskie Towarzystwo Budownictwa Społecznego Spółka z o.o r. Wąbrzeźno

I. Postanowienia ogólne

PRELEGENT Przemek Frańczak Członek SIODO

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Przykład klauzul umownych dotyczących powierzenia przetwarzania

PARTNER.

POLITYKA BEZPIECZEŃSTWA TADEO TRADING SP. Z O.O. WARSZAWA r.

Ochrona danych osobowych w biurach rachunkowych

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Członkostwo i składka Spa Club przystań Hotel & Spa

Ocena skutków przetwarzania

Kurs Inspektora Ochrony Danych z warsztatem wdrożenia Polityki Ochrony Danych Osobowych zgodnej z przepisami RODO

W dokumencie tym przedstawione zostaną:

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

rodo. naruszenia bezpieczeństwa danych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH POZNAŃ ul. Romana Maya 1

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Polityka OCHRONY DANYCH OSOBOWYCH w Firmie. Babiole s.c Paulina Kotas i Martyna Kotas. z siedzibą w Krzyżanów 52a, Wola Krzysztoporska

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

Spis treści. Wykaz skrótów... Wprowadzenie...

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

SZCZEGÓŁOWY HARMONOGRAM KURSU

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Ochrona danych osobowych w biurach rachunkowych

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Monitorowanie systemów IT

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Umowa powierzenia danych

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W. ATL "Achievement Through Learning" Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

wraz z wzorami wymaganej prawem dokumentacją

poleca e-book Instrukcja RODO

POLITYKA BEZPIECZEŃSTWA INFORMACJI

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

POLITYKA BEZPIECZEŃSTWA

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

BIURO OCHRONY DANYCH OSOBOWYCH BODO24 KURS RODO

ZARZĄDZENIE Nr 96/2014 Burmistrza Bornego Sulinowa z dnia 26 października 2014 r.

Nowe przepisy i zasady ochrony danych osobowych

REGULAMIN WEWNĘTRZNYCH PROCEDUR

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Transkrypt:

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach I. Wstęp Polityka Ochrony Danych Osobowych jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez Administratora danych w Szkole Podstawowej Nr 1 w Siemiatyczach w celu spełnienia wymagań Rozporządzenia PE i RE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO). Polityka stanowi jeden ze środków organizacyjnych, mających na celu wykazanie, że przetwarzanie danych osobowych odbywa się zgodnie z powyższym Rozporządzeniem. II. Inwentaryzacja danych 1. Dane osobowe wymagające ochrony administrator danych opracował w postaci papierowej, stanowiącej załącznik nr 1 do Polityki Ochrony Danych. 2. Wykaz obejmuje zbiory ze stwierdzonym potencjalnym ryzykiem naruszenia praw lub wolności osób fizycznych. 3. Każdy ze zbiorów jest opisany w sposób umożliwiający przeprowadzenie analizy ryzyka. 4. W szkole została opracowana Polityka Zarządzaniem ryzykiem w przetwarzaniu Danych Osobowych, określająca zasady szacowania skali ryzyka i prawdopodobieństwa jego wystąpienia. 5. Opis zbiorów obejmuje takie informacje, jak: 1) nazwę zbioru; 2) opis celów przetwarzania; 3) charakter, zakres, kontekst, dokumentowane dane osobowe; 4) odbiorcy; 5) Funkcjonalny opis operacji przetwarzania; 6) aktywa służące do przetwarzania danych osobowych (Informacje, Programy, systemy operacyjne, Infrastruktura IT, Infrastruktura, Pracownicy i współpracownicy, Outsourcing); 7) Informacja o konieczności wpisu do rejestru czynności przetwarzania; 8) Informacja o konieczności przeprowadzenia oceny skutków dla zbioru.

6. Administrator, w uzgodnieniu z Inspektorem Ochrony Danych, opracował karty zawierające analizę ryzyka dla poszczególnych operacji przetwarzania danych w zakresie aktywów biorących udział w przetwarzaniu danych. III. Zapewnienie o przetwarzania danych osobowych zgodnie z prawem. 1. Administrator zapewnia, że: 1) dane osobowe są przetwarzane legalnie na podstawie art. 6 i 9 RODO; 2) zakres danych osobowych jest adekwatny do celów przetwarzania, z zachowaniem zasady minimalizacji danych; 3) Administrator przechowuje dane osobowe przez konkretnie określony czas, z uwzględnieniem zasad określonych w Jednolity rzeczowym wykazie akt, zatwierdzonym przez Archiwum Państwowe w Białymstoku ; 4) wobec osób, których dane są przetwarzane wykonano obowiązek informacyjny (art. 12, 13, 14 RODO) wraz ze wskazaniem im: prawa dostępu do danych osobowych, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu, bycia zapomnianym ; 5) osoby, których dane osobowe są przetwarzane zostały poinformowane o funkcji IOD i przekazano dane kontaktowe; 6) zapewniono ochronę danych osobowych w przypadku powierzenia danych w postaci umów powierzenia z podmiotami przetwarzającymi (art. 28 RODO). 2. Potwierdzenie przetwarzania danych osobowych zgodnie z prawem znajduje się z załączniku nr 1 Wykaz Zbiorów Danych Osobowych. 3. Wzory klauzul informacyjnych znajdują się z załączniku nr 2 Klauzule Informacyjne. IV. Upoważnienia 1. Administrator odpowiada za nadawanie / anulowanie upoważnień do przetwarzania danych w zbiorach papierowych i systemach informatycznych. 2. Każda osoba upoważniona może przetwarzać dane wyłącznie na polecenie administratora lub na podstawie przepisu prawa. 3. Upoważnienia nadawane są do zbiorów na wniosek przełożonych osób. Upoważnienia określają zakres operacji na danych. 4. Upoważnienia mogą być nadawane w formie poleceń, np. upoważnienia do przeprowadzenia kontroli, audytów, wykonania czynności służbowych, udokumentowanego polecenia administratora w postaci umowy powierzenia. 5. Administrator prowadzi ewidencję osób upoważnionych w celu sprawowania kontroli nad prawidłowym dostępem do danych osób upoważnionych załącznik nr 3 - Ewidencja osób upoważnionych. V. Procedura analizy ryzyka i ocena skutków.

1. Procedura opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń. 2. Przyjęto, że analiza ryzyka przeprowadzana jest dla zbioru danych osobowych lub grupy zbiorów charakteryzujących się podobieństwem celów i sposobów przetwarzania / odrębnie dla każdego zbioru. 3. W przypadku konieczności przeprowadzenia oceny skutków (art. 35) wykonano następujących czynności: 1) dokonano opisu planowanych operacji przetwarzania i celów przetwarzania załącznik nr 1 Wykaz zbiorów danych osobowych; 2) określono zagrożenia we wszystkich aktywach biorących udział w procesie przetwarzania; 3) dokonano oceny ryzyk, zgodnie z zasadami wskazanymi w Polityce Zarządzania Ryzykiem; 4) sporządzono mapę ryzyk ze wskazaniem istotności ryzyka; 5) zaplanowano środki techniczne, organizacyjne i informatyczne dla ryzyk przekraczających istotność powyżej 4. VI. Instrukcja postepowania z incydentami Procedura definiuje katalog podatności i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości. 1. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadamiania o stwierdzeniu podatności lub wystąpieniu incydentu bezpośredniego przełożonego lub Inspektora Ochrony Danych. 2. Do typowych podatności bezpieczeństwa danych osobowych należą: 1) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów; 2) niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych; 3) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek). 3. Do typowych incydentów bezpieczeństwa danych osobowych należą: 1) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności); 2) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych); 3) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom

nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania). 4. W przypadku stwierdzenia wystąpienia incydentu, Administrator lub IOD prowadzi postępowanie wyjaśniające w toku, którego: 1) ustala zakres i przyczyny incydentu oraz jego ewentualne skutki; 2) proponuje ewentualne działania dyscyplinarne; 3) proponuje działa na rzecz przywrócenia działań organizacji po wystąpieniu incydentu; 4) rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia. 5. Administrator dokumentuje powyższe wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze załącznik nr 4 Formularz rejestracji incydentu. 6. Zabrania się świadomego lub nieumyślnego wywoływania incydentów przez osoby upoważnione do przetwarzania danych. 7. W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu. VII. Regulamin Ochrony Danych Regulamin ma na celu zapewnienie wiedzy osobom przetwarzającym dane osobowe odnośnie bezpiecznych zasad przetwarzania. Po zapoznaniu się z zasadami ochrony danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania. VIII. Procedura przywracania dostępności danych osobowych Zgodnie z art. 32 RODO, Administrator powinien zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Administrator opracował Procedury Przywracania Danych załącznik nr 5 - Plan ciągłości działania IX. Wykaz zabezpieczeń 1. Administrator prowadzi wykaz zabezpieczeń, które stosuje w celu ochrony danych osobowych załącznik nr 6 - Wykaz zabezpieczeń. 2. W wykazie wskazano stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako środki techniczne, informatyczne i organizacyjne. 3. Wykaz jest aktualizowany po każdej analizie ryzyka

X. Szkolenia 1. Każda osoba przed dopuszczeniem do pracy z danymi osobowymi winna być poddana przeszkoleniu i zapoznana z przepisami RODO. 2. Za przeprowadzenie szkolenia odpowiada Administrator danych. 3. Po przeszkoleniu z zasad ochrony danych osobowych, uczestnicy zobowiązani są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania. 4. Zgodnie z art. 32 RODO, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres