CZĘŚĆ I - WSTĘP
§1
Zgodnie z art. 36 ust.1 i 36a ust.1-8 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych(t.j. Dz.U. z 2014 r. poz. 1187 z późn.zm.), zwanej dalej „ustawą” oraz z § 3 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz.1024), zwanego dalej „rozporządzeniem”, ustanawia się „Politykę Bezpieczeństwa” w Stowarzyszeniu Animatsuri.
§2
Ilekroć w niniejszym dokumencie jest mowa o Stowarzyszeniu, należy przez to rozumieć Stowarzyszenie Animatsuri.
CZĘŚĆ II - ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH
§1
Każda osoba, mająca dostęp do danych osobowych przetwarzanych w Stowarzyszeniu jest zobowiązana do zapoznania się z niniejszym dokumentem.
§2
Wymagany przez rozporządzenie wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe (zwany dalej „obszarem przetwarzania”) stanowi załącznik nr 1 do niniejszego dokumentu.
§3
Wymagany przez rozporządzenie wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposób przepływu danych pomiędzy poszczególnymi systemami, stanowi załącznik nr 2 do niniejszego dokumentu.
§4
Osoby, które przetwarzają w Stowarzyszeniu dane osobowe, muszą posiadać pisemne upoważnienie do przetwarzania danych nadane przez Administratora Danych Osobowych (załącznik nr 3 do niniejszego dokumentu) oraz podpisać oświadczenie o zachowaniu poufności tych danych (załącznik nr 4 do niniejszego dokumentu).
§5
Każda osoba posiadająca upoważnienie do przetwarzania danych osobowych posiada swój identyfikator oraz hasło, pozwalające na zalogowanie się do systemu informatycznego, w którym przetwarzane są dane osobowe. Techniczne wymagania, jakie musi spełniać hasło, określone zostały w części II § 2 Instrukcji Zarządzania Systemem Informatycznym.
§6
W przypadku konieczności dostępu do obszaru przetwarzania osób, nieposiadających upoważnienia, o jakim mowa w § 4 (załącznik nr 3 do niniejszego dokumentu), które muszą dokonać doraźnych prac o charakterze serwisowym lub innym, podpisują oni oświadczenie o zachowaniu poufności (załącznik nr 4 do niniejszego dokumentu).
§7
Zlecenie podmiotowi zewnętrznemu przetwarzania danych osobowych może nastąpić wyłącznie w ramach umowy powierzenia przetwarzania danych osobowych, zgodnie z art. 31 ust.1 ustawy.
§8
Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności takiego udostępnienia, przez co rozumie się w szczególności pisemny wniosek podmiotu uprawnionego.
§9
Dokumenty zawierające dane osobowe przechowywane w formie papierowej, upoważnione osoby przechowują w obszarze przetwarzania danych w szafach zamykanych na klucz.
W przypadku konieczności zniszczenia papierowych dokumentów zawierających dane osobowe, ich zniszczenie dokonuje się poprzez pocięcie w niszczarce.
§10
Zasady przetwarzania danych osobowych w systemie informatycznym określone są
w „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Stowarzyszeniu Animatsuri”, stanowiącej Zał. Nr 10 do niniejszego dokumentu.
§11
Nadzór nad przetwarzaniem danych osobowych w Stowarzyszeniu sprawuje Administrator Bezpieczeństwa Informacji (zwany dalej „ABI”) wyznaczony przez Administratora Danych Osobowych. W przypadku niewyznaczenia ABI, funkcje mu przypisane pełni Administrator Danych Osobowych osobiście. Upoważnienie wyznaczające ABI stanowi załącznik nr 5 do niniejszego dokumentu. ABI jest również zobowiązany do podpisania oświadczenia, stanowiącego załącznik nr 4 do niniejszego dokumentu.
§12
ABI prowadzi wykaz zbiorów danych osobowych przetwarzanych w Stowarzyszeniu (załącznik nr 2 do niniejszego dokumentu) oraz, kiedy jest to wymagane przez przepisy, zgłasza zbiory do rejestracji do GIODO. W ramach nadzoru nad przetwarzaniem danych, ABI sprawdza w szczególności cele, zakres przetwarzania, czas przetwarzania oraz sposoby zabezpieczenia danych osobowych. Upoważnienie do przetwarzania danych osobowych (załącznik nr 3 do niniejszego dokumentu) nadaje Administrator Danych Osobowych lub ABI. ABI jest zobowiązany do przeprowadzania analizy ryzyk związanych z zagrożeniami związanymi z przetwarzaniem danych osobowych w jednostce organizacyjnej.
§13
ABI prowadzi również następujące wykazy:
- ewidencję osób, którym nadano upoważnienia do przetwarzania danych osobowych (załącznik nr 6 do niniejszego dokumentu)
- wykaz pomieszczeń, w których przetwarzane są dane osobowe, stanowiących obszar przetwarzania (załącznik nr 1 do niniejszego dokumentu)
- wykaz podmiotów i osób, którym udostępniono dane (załączniki nr 7 i nr 9 do niniejszego dokumentu)
- wykaz podmiotów, którym powierzono dane osobowe do przetwarzania (załącznik nr 8 do niniejszego dokumentu)
§14
Osoby upoważnione do przetwarzania danych mają obowiązek:
- przetwarzać je zgodnie z obowiązującymi przepisami, w szczególności z ustawą i rozporządzeniem
- nie udostępniać ich oraz uniemożliwiać dostęp do nich osobom nieupoważnionym
- zabezpieczać je przed zniszczeniem
§15
W przypadku otrzymania wniosku o udostępnienie danych osobowych od osoby, której one dotyczą, wyznaczona przez Administratora Danych Osobowych osoba przygotowuje odpowiedź w ciągu 14 dni.
§16
W przypadku zbierania danych osobowych od osoby, której one dotyczą, Administrator Danych Osobowych (lub osoba przez niego wyznaczona) jest obowiązany poinformować tę osobę o:
- adresie swojej siedziby i pełnej nazwie,
- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
- prawie dostępu do treści swoich danych oraz ich poprawiania,
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
CZĘŚĆ III - POSTANOWIENIA KOŃCOWE
§1
Nieprzestrzeganie zasad ochrony danych osobowych grozi odpowiedzialnością karną wynikającą z art. 49-54a ustawy o ochronie danych osobowych.
§2
W sprawach nieuregulowanych niniejszym dokumentem znajdują zastosowanie przepisy ustawy o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
§3
Niniejszy dokument wchodzi w życie z dniem podanym w Uchwale.
Administrator Danych Osobowych
Michał Bojarski
Koordynator ds. Akredytacji i Wystawców
w Stowarzyszeniu Animatsuri