§ 1
Postanowienia ogólne.
1. Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej jako Polityka) określa środki techniczne i organizacyjne zastosowane przez PRO- ART. FOTO Sp. z o.o (dalej zwany jako Spółka) dla zapewnienia ochrony danych osobowych oraz tryb postępowania w przypadku stwierdzenia naruszenia zabezpieczenia danych osobowych w systemie informatycznym lub w kartotekach, albo w sytuacji podejrzenia o takim naruszeniu.
Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).
2. Nadzór nad przestrzeganiem zasad opisanych w niniejszej Polityce oraz przepisów ochrony danych osobowych pełni Właściciel (Prezes Zarządu), który zobowiązuje wszystkich pracowników i współpracowników do zapoznania się z Polityką Ochrony Danych Osobowych oraz do bezwzględnego przestrzegania zawartych tu zasad.
§ 2
Definicje i załączniki.
1) Administrator danych - oznacza osobę fizyczną lub prawną, podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
W zakresie w jakim PRO- ART. FOTO Sp. z o.o realizuje usługi zewnętrzne wówczas Administratorem danych osobowych jest podmiot zlecający wykonywanie usługi fotograficznej - placówka oświatowa ( na podstawie odrębnej umowy o świadczenie usług fotograficznych w związku z wykonywaniem których podmiot zewnętrzny będący Administratorem danych powierza przetwarzanie danych w rozumieniu RODO podmiotowi PRO- ART. FOTO Sp. z o.o , który obejmuje w ramach umowy współpracy rolę przetwarzającego danych osobowych). Przy czym PRO- ART. FOTO Sp. z o.o jako realizujący zlecenie jest zobowiązany do zabezpieczenia powierzonych danych poprzez wdrożenie i utrzymywanie środków technicznych i organizacyjnych, o których mowa w art. 32 RODO, odpowiednich do rodzaju przetwarzanych danych i działania zgodnie z procedurami opisanymi w Umowie powierzenia przetwarzania danych osobowych, którego formularz stanowi załącznik nr 1 do niniejszej Polityki.
2) bezpieczeństwo informacji – zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność;
3) dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, wizerunek, obrazy fotograficzne prezentujące wizerunek.
4) dane szczególne oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne.
5) hasło – rozumie się przez to ciąg znaków alfanumerycznych, znany jedynie użytkownikowi;
6) identyfikator – rozumie się przez to, ciąg znaków literowych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
7) incydent ochrony danych osobowych – zdarzenie albo seria niepożądanych lub niespodziewanych zdarzeń ochrony danych osobowych stwarzających znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrożenia ochrony danych osobowych.
8) naruszenie ochrony danych osobowych - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Instrukcja postepowania w przypadku naruszenia ochrony danych stanowi załącznik nr 2 do niniejszej Polityki;
9) obszar przetwarzania danych – rozumie się przez to budynki i pomieszczenia określone przez administratora danych, tworzące obszar, w którym przetwarzane są dane osobowe i inne informacje prawem chronione.
10) odbiorca danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią; organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
11) osoba, podmiot danych - oznacza osobę, której dane dotyczą;
12) podmiot przetwarzający - oznacza organizację lub osobę, której ADO powierzył przetwarzanie danych osobowych.
13) polityka oznacza niniejszą politykę ochrony danych osobowych;
14) postępowanie z ryzykiem – proces planowania i wdrażania działań wpływających na ryzyko; Ryzyko – niepewność osiągnięcia zamierzonych celów;
15) poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom; szacowanie ryzyka – proces identyfikowania, analizowania i oceniania ryzyka;
16) profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
17) rejestr – oznacza rejestr czynności przetwarzania danych osobowych tożsamy z przepływem danych osobowych w działalności PRO-ART FOTO Sp. z o.o,
Rejestr czynności został utworzony w formie schematu prezentującego przepływ danych osobowych pomiędzy Administratorem a PRO- ART FOTO Sp. z o.o ( wykonanie usługi na podstawie odrębnej umowy o świadczenie usług fotograficznych. W tej sytuacji podmiot zewnętrzny-placówka oświatowa jest Administratorem danych osobowych, których przetwarzanie w rozumieniu RODO powierza podmiotowi PRO- ART. FOTO Sp. z o.o. )
18) RODO oznacza rozporządzenie parlamentu europejskiego i rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (ogólne rozporządzenie o ochronie danych) (dz.urz. UE l 119, s. 1).
19) system informatyczny administratora danych – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną administratora danych;
20) teletransmisja – rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej;
21) uwierzytelnienie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
22) użytkownik – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło;
23) zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
a) W załączniku nr 4 znajduje się wzór zgody na przetwarzanie danych osobowych ucznia w placówce przedszkolnej ( w przypadku realizacji umowy przetwarzania danych osobowych przez PRO-ART. Sp. z o.o)
b) W załączniku nr 5 znajduje się klauzula informacyjna dla pracownika zgodna z RODO oraz w załączniku nr 9 znajduje się zgoda na przetwarzane danych osobowych ( dotyczy sytuacji gdy PRO-ART. Sp. z o.o jest administratorem danych osobowych)
24) zwrot/zwroty – oznacza fotografie, które uległy uszkodzeniu lub zostały oznaczone jako skierowane do zwrotu przez Placówkę oświatową na rzecz której wykonywana jest usługa.
§3.
Ochrona danych osobowych - zasady ogólne.
1. W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kilku warstw ochronnych. Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników.
2. Zastosowane zabezpieczenia mają służyć osiągnięciu poniższych celów i zapewnić:
1) rozliczalność – rozumie się przez to właściwość zapewniającą, że działania użytkownika mogą być przypisane w sposób jednoznaczny tylko temu użytkownikowi;
2) integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
3) poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
4) integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej jak i przypadkowej.
§ 4.
Bezpieczeństwo przetwarzanych informacji
1. Za przestrzeganie zasad ochrony i bezpieczeństwa danych odpowiedzialni są użytkownicy.
2. Realizację powyższych zamierzeń powinny zagwarantować następujące założenia:
1) Wdrożenie procedur określających postępowanie osób dopuszczonych do przetwarzania danych osobowych oraz ich odpowiedzialność za ochronę tych danych. (w załączniku nr 6 zawarto wzór upoważnienia do przetwarzania danych osobowych , w załączniku nr 7 zawarto ewidencję osób upoważnionych do przetwarzania danych osobowych)
2) Przeszkolenie użytkowników w zakresie bezpieczeństwa i ochrony danych osobowych.
3) Przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (hasła, identyfikatory).
4) Podejmowanie niezbędnych działań w celu likwidacji słabych ogniw w systemie zabezpieczeń, (w załączniku nr 8 zawarto instrukcję postępowania w sytuacji naruszenia danych osobowych)
5) Okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych osobowych.
3. Za naruszenie ochrony danych osobowych uważa się w szczególności każdy stwierdzony fakt nieuprawnionego ujawnienia danych, udostepnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę̨ nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności:
1) nieautoryzowany dostęp do danych,
2)nieautoryzowane modyfikacje lub zniszczenie danych,
3) udostepnienie danych nieautoryzowanym podmiotom,
4) nielegalne ujawnienie danych,
5) pozyskiwanie danych z nielegalnych źródeł.
4. Za naruszenie ochrony danych osobowych uważa się również włamanie do budynku lub pomieszczeń, w których przetwarzane są dane osobowe lub próby takich działań.
§ 5
Środki organizacyjne ochrony informacji.
1. Dla zapewnienia bezpieczeństwa danych i informacji zastosowano następujące środki organizacyjne:
1) Każda osoba działająca z upoważnienia Administratora i mająca dostęp do danych osobowych przetwarzała je wyłącznie na polecenie Administratora.
2) Każdy z pracowników i współpracowników powinien zachować szczególną ostrożność przy przenoszeniu danych. ( w załączniku nr 9 zwarto wzór oświadczenia pracownika o zapoznaniu się z polityką ochrony danych osobowych)
3) Należy chronić dane przed dostępem do nich osób nieupoważnionych.
4) Pomieszczenia w których są przetwarzane dane osobowe powinny być zamykane na klucz.
5) Dostęp do kluczy posiadają tylko upoważnieni pracownicy i współpracownicy.
6) Dostęp do pomieszczeń możliwy jest tylko i wyłącznie w godzinach pracy. W wypadku gdy jest wymagany poza godzinami pracy – możliwy jest tylko na podstawie zezwolenia Administratora.
7) Dostęp do pomieszczeń, w których są przetwarzane dane osobowe mogą mieć tylko upoważnieni pracownicy.
8) W przypadku pomieszczeń, do których dostęp mają również osoby nieupoważnione, mogą przebywać w tych pomieszczeniach tylko w obecności osób upoważnionych i tylko w czasie wymaganym na wykonanie niezbędnych czynności.
9) Szafy, w których przechowywane są dane powinny być zamykane na klucz.
10) Klucze do tych szaf posiadają tylko upoważnieni pracownicy.
11) Szafy z danymi powinny być otwarte tylko na czas potrzebny na dostęp do danych, a następnie powinny być zamykane.
12) Dane w formie papierowej mogą znajdować się na biurkach tylko na czas niezbędny na dokonanie czynności służbowych, a następnie muszą być chowane do szaf.
13) Dostęp do komputerów, na których są przetwarzane dane - mają tylko upoważnieni pracownicy i współpracownicy.
14) Monitory komputerów, na których przetwarzane są dane, są tak ustawione, aby osoby nieupoważnione nie miały wglądu w dane.
15) W wypadku potrzeby wyniesienia komputera przenośnego (np. typu notebook) zawierającego dane osobowe, lub inne informacje chronione, komputer taki musi być odpowiednio dodatkowo zabezpieczony, a dane zaszyfrowane.
16) Nie należy udostępniać osobom nieupoważnionym tych komputerów.
17) W przypadku potrzeby przeniesienia danych osobowych pomiędzy komputerami - należy dokonać tego z zachowaniem szczególnej ostrożności.
18) Nośniki użyte do tego należy wyczyścić (skasować nieodwracalnie), aby nie zostały na nich dane osobowe.
19) W wypadku niemożliwości skasowania danych z nośnika (płyta CD-ROM) - należy taką płytę zniszczyć fizycznie.
20) W przypadku wykorzystania do przenoszenia dysków - dane należy kasować z tych dysków.
21) Niezabezpieczonych danych osobowych nie należy przesyłać drogą elektroniczną.
22) Sieć komputerowa powinna być zabezpieczona przed wszelkim dostępem z zewnątrz.
23) Błędne lub nieaktualne wydruki i wersje papierowe zawierające dane osobowe lub inne informacje chronione - niszczone są za pomocą niszczarki lub w inny mechaniczny sposób uniemożliwiający powtórne ich odtworzenie.
2.W przypadku stwierdzenia naruszenia danych osobowych wymagane jest postępowanie zgodnie z zasadami zawartymi w Instrukcji postępowania w sytuacji naruszenia danych osobowych, która stanowi załączniku nr 8 do niniejszej Polityki ochrony danych osobowych).
3. Dostęp do danych osobowych:
1) Przetwarzanie, w tym udostępnianie danych osobowych jest prawnie dopuszczalne, jeżeli jest niezbędne dla zrealizowania obowiązku wynikającego z przepisu prawa.
2) W przypadku udostępnienia danych osobowych w celach innych niż włączenie do rejestru, administrator danych udostępnia posiadane informacje osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
3) Dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
4) Podmiot występujący o udostępnienie informacji powinien wskazać podstawę prawną upoważniającą go do otrzymania tych danych albo uzasadnioną potrzebę żądania ich udostępnienia. Tylko w takiej sytuacji można dokonać oceny, czy w określonym przypadku udostępnienie danych jest prawnie dopuszczalne i czy nie będzie ono stanowić naruszenia zasad ochrony informacji.
5) Przetwarzanie, w tym udostępnianie danych osobowych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje w celu badań naukowych, dydaktycznych, historycznych oraz statystycznych.
6) Udostępnienie danych może nastąpić jedynie za zgodą Administratora danych i powinno być odpowiednio udokumentowane.
§6
Zasady dotyczące terminów przechowywania powierzonych do przetwarzanych danych osobowych.
1. Archiwizacja przetwarzanych danych osobowych zgodnie z niniejszą polityką ochrony danych osobowych nie może przekraczać określonych poniżej okresów czasu:
a) Przechowywanie zdjęć w formie cyfrowej na nośnikach zabezpieczonych hasłem
przez wykonującego fotografię upoważnionego pracownika PRO-ART FOTO Sp. z o.o trwa w zależności od rodzaju nośnika:
dysk zewnętrzny – archiwizacja przez okres 1 roku od daty wykonania fotografii
karta pamięci - archiwizacja przez okres 1 miesiąca od daty wykonania fotografii
b) wydruki korespondencji mailowej w sprawie realizacji zlecenia na rzecz Administratora zawierające dane osobowe - archiwizacja przez okres 6 miesięcy od daty przyjęcia zlecenia.
c) Przechowywanie danych osobowych na serwerach należących do PRO-ART FOTO Sp. z o.o (serwer danych, serwer ftp, serwer mailowy, serwer www, serwer sql dla programu magazynowo-księgowego (subiekt), serwer wydruku, active directory (zarządzanie domeną, uprawnienia użytkowników) - pliki źródłowe oraz dane archiwalne - przechowywanie - trwa 3 lata od daty przyjęcia zlecenia.
d) dane osobowe w postaci gotowych wydruków fotografii kierowane do dystrybucji - obejmujące czynności pakowania i wysyłki są archiwizowane przez okres 1 tygodnia od daty przyjęcia zlecenia.
e) dane osobowe, które trafiają do PR-ART FOTO Sp, z o.o w postaci „ zwrotów” są kierowane do niszczarki RODO – czas trwania archiwizacji danych do dalszego procesu utylizacji to okres 1 tygodnia od daty przyjęcia zwrotu.
§7
Postanowienia końcowe.
1 .Każdej osobie, której dane osobowe są przetwarzane przysługuje prawo do kontroli przetwarzania jej danych osobowych, a w szczególności prawo do:
1) uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane oraz do otrzymania informacji o pełnej nazwie i adresie siedziby Administratora Danych;
2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych osobowych;
3) uzyskania informacji, od kiedy są przetwarzane jej dane osobowe, oraz podania w powszechnie zrozumiałej formie treści tych danych;
4) uzyskania informacji o źródle, z którego pochodzą dane osobowe jej dotyczące;
5) uzyskania informacji o sposobie udostępniania danych osobowych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe są udostępniane;
6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem przepisów prawa albo są już zbędne do realizacji celu, dla którego zostały zebrane.
2. Polityka jest dokumentem wewnętrznym i nie może być udostępniana osobom postronnym w żadnej formie.
3. Użytkownicy są zobowiązani zapoznać się z treścią Polityki.
4. Użytkownik zobowiązany jest złożyć oświadczenie o tym, iż został zaznajomiony z przepisami ustawy o ochronie danych osobowych oraz wydanych na jej podstawie aktów wykonawczych, z niniejszą Polityką, a także zobowiązać się do ich przestrzegania.
5. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie aktualnie obowiązujące przepisy prawa w zakresie ochrony danych osobowych.
6. Użytkownicy zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych postanowień zawartych w niniejszej Polityce. W wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących u Administratora Danych, użytkownicy mają obowiązek stosowania unormowań dalej idących, których stosowanie zapewni wyższy poziom ochrony informacji.
