Polityka Bezpieczeństwa Stowarzyszenia Animatsuri

CZĘŚĆ I - WSTĘP

§1

Zgodnie z art. 36  ust.1 i 36a ust.1-8 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych(t.j. Dz.U. z 2014 r. poz. 1187 z późn.zm.), zwanej dalej „ustawą” oraz z § 3 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz.1024), zwanego dalej „rozporządzeniem”, ustanawia się „Politykę Bezpieczeństwa” w Stowarzyszeniu Animatsuri.

§2

Ilekroć w niniejszym dokumencie jest mowa o Stowarzyszeniu, należy przez to rozumieć Stowarzyszenie Animatsuri.

CZĘŚĆ II - ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH

§1

Każda osoba, mająca dostęp do danych osobowych przetwarzanych w Stowarzyszeniu jest zobowiązana do zapoznania się z niniejszym dokumentem.

§2

Wymagany przez rozporządzenie wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe (zwany dalej „obszarem przetwarzania”) stanowi załącznik nr 1 do niniejszego dokumentu.

§3

Wymagany przez rozporządzenie wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposób przepływu danych pomiędzy poszczególnymi systemami, stanowi załącznik nr 2 do niniejszego dokumentu.

§4

Osoby, które przetwarzają w Stowarzyszeniu dane osobowe, muszą posiadać pisemne upoważnienie do przetwarzania danych nadane przez Administratora Danych Osobowych (załącznik nr 3 do niniejszego dokumentu) oraz podpisać oświadczenie o zachowaniu poufności tych danych (załącznik nr 4 do niniejszego dokumentu).

§5

Każda osoba posiadająca upoważnienie do przetwarzania danych osobowych posiada swój identyfikator oraz hasło, pozwalające na zalogowanie się do systemu informatycznego, w którym przetwarzane są dane osobowe. Techniczne wymagania, jakie musi spełniać hasło, określone zostały w części II § 2 Instrukcji Zarządzania Systemem Informatycznym.

§6

W przypadku konieczności dostępu do obszaru przetwarzania osób, nieposiadających upoważnienia, o jakim mowa w § 4 (załącznik nr 3 do niniejszego dokumentu), które muszą dokonać doraźnych prac o charakterze serwisowym lub innym, podpisują oni oświadczenie o zachowaniu poufności (załącznik nr 4 do niniejszego dokumentu).

§7

Zlecenie podmiotowi zewnętrznemu przetwarzania danych osobowych może nastąpić wyłącznie w ramach umowy powierzenia przetwarzania danych osobowych, zgodnie z art. 31 ust.1 ustawy.

§8

Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności takiego udostępnienia, przez co rozumie się w szczególności pisemny wniosek podmiotu uprawnionego.

§9

Dokumenty zawierające dane osobowe przechowywane w formie papierowej, upoważnione osoby przechowują w obszarze przetwarzania danych w szafach zamykanych na klucz.
W przypadku konieczności zniszczenia papierowych dokumentów zawierających dane osobowe, ich zniszczenie dokonuje się poprzez pocięcie w niszczarce.

§10

Zasady przetwarzania danych osobowych w systemie informatycznym określone są
w „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Stowarzyszeniu Animatsuri”, stanowiącej Zał. Nr 10 do niniejszego dokumentu.

§11

Nadzór nad przetwarzaniem danych osobowych w Stowarzyszeniu sprawuje Administrator Bezpieczeństwa Informacji (zwany dalej „ABI”) wyznaczony przez Administratora Danych Osobowych. W przypadku niewyznaczenia ABI, funkcje mu przypisane pełni Administrator Danych Osobowych osobiście. Upoważnienie wyznaczające ABI stanowi załącznik nr 5 do niniejszego dokumentu. ABI jest również zobowiązany do podpisania oświadczenia, stanowiącego załącznik nr 4 do niniejszego dokumentu.

§12

ABI prowadzi wykaz zbiorów danych osobowych przetwarzanych w Stowarzyszeniu (załącznik nr 2 do niniejszego dokumentu) oraz, kiedy jest to wymagane przez przepisy, zgłasza zbiory do rejestracji do GIODO. W ramach nadzoru nad przetwarzaniem danych, ABI sprawdza w szczególności cele, zakres przetwarzania, czas przetwarzania oraz sposoby zabezpieczenia danych osobowych. Upoważnienie do przetwarzania danych osobowych (załącznik nr 3 do niniejszego dokumentu) nadaje Administrator Danych Osobowych lub ABI. ABI jest zobowiązany do przeprowadzania analizy ryzyk związanych z zagrożeniami związanymi z przetwarzaniem danych osobowych w jednostce organizacyjnej.

§13

ABI prowadzi również następujące wykazy:

    1. ewidencję osób, którym nadano upoważnienia do przetwarzania danych osobowych (załącznik nr 6 do niniejszego dokumentu)
    2. wykaz pomieszczeń, w których przetwarzane są dane osobowe, stanowiących obszar przetwarzania (załącznik nr 1 do niniejszego dokumentu)
    3. wykaz podmiotów i osób, którym udostępniono dane (załączniki nr 7 i nr 9 do niniejszego dokumentu)
    4. wykaz podmiotów, którym powierzono dane osobowe do przetwarzania (załącznik nr 8 do niniejszego dokumentu)

§14

Osoby upoważnione do przetwarzania danych mają obowiązek:

    1. przetwarzać je zgodnie z obowiązującymi przepisami, w szczególności z ustawą i rozporządzeniem
    2. nie udostępniać ich oraz uniemożliwiać dostęp do nich osobom nieupoważnionym
    3. zabezpieczać je przed zniszczeniem

§15

W przypadku otrzymania wniosku o udostępnienie danych osobowych od osoby, której one dotyczą, wyznaczona przez Administratora Danych Osobowych osoba przygotowuje odpowiedź w ciągu 14 dni.

§16

W przypadku zbierania danych osobowych od osoby, której one dotyczą, Administrator Danych Osobowych (lub osoba przez niego wyznaczona) jest obowiązany poinformować tę osobę o:

    1. adresie swojej siedziby i pełnej nazwie,
    2. celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
    3. prawie dostępu do treści swoich danych oraz ich poprawiania,
    4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

CZĘŚĆ III - POSTANOWIENIA KOŃCOWE

§1

Nieprzestrzeganie zasad ochrony danych osobowych grozi odpowiedzialnością karną wynikającą z art. 49-54a ustawy o ochronie danych osobowych.

§2

W sprawach nieuregulowanych niniejszym dokumentem znajdują zastosowanie przepisy ustawy o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

§3

Niniejszy dokument wchodzi w życie z dniem podanym w Uchwale.

Administrator Danych Osobowych

Michał Bojarski
Koordynator ds. Akredytacji i Wystawców
w Stowarzyszeniu Animatsuri