Polityka prywatności i bezpieczeństwa danych
Fundacja Zustricz, adres: ul. Norymberska 10A/26, 30-376 Kraków, wpisaną do rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, Wydział XI Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 000611051, posiadającą NIP: 6762505411 oraz REGON: 364184096,
Mając na celu zapewnienie ochrony przetwarzania danych osobowych, ustanawia się niniejszą „Politykę Prywatności i Bezpieczeństwa Informacji”.
1. Podstawa prawna
Na podstawie Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz. U. z 2016 r. poz. 922, z 2018 r. poz. 138, 723, a w szczególności , art Art. 27. ust 2 pkt 4 oraz Art. 23. ust 2 pkt 1, 3, 4, 5 tej ustawy oraz Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r (RODO) ustanawia się niniejszą Politykę bezpieczeństwa informacji i przetwarzania danych osobowych.
2. Definicje
2.1. Dane osobowe – są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
2.2. Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
2.3. Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów niezależnie od tego, czy zestaw ten jest rozproszony czy też podzielony funkcjonalnie.
2.4. Fundacja Zustricz lub AD – Fundacja Zustricz, adres: ul. Norymberska 10A/26, 30-376 Kraków, wpisaną do rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, Wydział XI Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 000611051, posiadającą NIP: 6762505411 oraz REGON: 364184096, będąca Administratorem Danych Osobowych, tj. podmiotem decydującym o celach i środkach przetwarzania danych osobowych.
2.5. Członek Zarządu – osoba uprawniona do reprezentacji Fundacji Zustricz ujawniona w Krajowym Rejestrze Sądowym.
2.6. Pracownik – osoba zatrudniona przez Fundacja Zustricz na podstawie umowy o pracę, umów cywilnoprawnych posiadająca dostęp do danych osobowych przetwarzanych przez Zustricz.
2.7. Wolontariusz – osoba świadcząca nieodpłatną na rzecz Fundacja Zustricz posiadająca dostęp do danych osobowych przetwarzanych przez Zustricz.
2.8. Beneficjent – osoba korzystająca nieodpłatnie z oferty Fundacji Zustricz tj warsztatów, szkoleń, spotkań, uczestnik projektów prowadzonych w ramach realizacji celów statutowych Fundacji.
2.9. Repozytorium Danych (RD) – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych oraz materiałów papierowych zastosowanych w celu przetwarzania danych osobowych przez Fundację Zustricz.
2.10. PPiBD niniejsza Polityka Prywatności i Bezpieczeństwa Danych.
3. Cel prowadzenia Polityki Prywatności i Bezpieczeństwa Danych
3.1. Celem PPiBD jest określenie kierunków działań dla zapewnienia bezpieczeństwa przetwarzania zbiorów danych osobowych zarządzanych przez AD.
3.2. Przez bezpieczeństwo danych osobowych rozumie się zapewnienie ich poufności, integralności, dostępności i rozliczalności.
3.3. AD zarządza bezpieczeństwem danych osobowych w celu zapewnienia sprawnego i zgodnego z przepisami prawa realizowania celów statutowych
3.4. Zakres przedmiotowy stosowania PPiBD obejmuje wszystkie zbiory danych osobowych, zarówno w formie elektronicznej, jak i tradycyjnej.
3.5. Zapewnienie bezpieczeństwa informacji to działania w obszarach zabezpieczenia dostępu do pomieszczeń, dostępu do dokumentów gromadzonych i przetwarzanych przez Fundację Zustricz oraz zabezpieczenie Repozytorium Danych. Zapewnienie bezpieczeństwa informacji to także odpowiedzialność za informacje zbierane i udostępniane za pośrednictwem poczty elektronicznej na domenie zustricz.pl, w tym formularza kontaktowego.
3.6. Celem PPiBD jest również zidentyfikowanie zagrożeń, przyczyn i skutków możliwych sytuacji kryzysowych, a także dostarczenie narzędzi do rejestracji i wzorców zachowań, w postaci odpowiednich schematów działania.j.
4. Obszar przetwarzania danych osobowych oraz strefy dostępności
4.1 Obszar przetwarzania danych zbieranych i przetwarzanych przez Fundację Zustricz obejmuje:
4.1.1. pomieszczenie przy ulicy Batorego 2/28;
4.1.2. adres fizyczny serwerów Fundacji Zustricz dostarczanych przez hostingodawcę – Google Inc, gdzie znajduje się RD – zbiory i kopie danych osobowych w formie elektronicznej. Na tych samych serwerach umieszczona jest również poczta elektroniczna zustricz.pl
4.1.3. Obszar przetwarzania danych obejmuje również serwis internetowy dostępny pod adresem: https://zustricz.pl, na serwerach hostingodawcy KEI.PL Sp. z o.o.
4.2. W Fundacji Zustricz wyznacza się następujące strefy dostępności:
4.2.1. Fizyczną do której dostęp ma wyłącznie AD. Strefa chroniona obejmuje wyodrębnione pomieszczenie, z szafą do przechowywania dokumentów, zamykaną na klucz, znajdujące się w biurze przy ulicy Batorego.
4.2.2. Wirtualną:
4.2.2.1. repozytorium znajdujące się w chmurze google suite, dokumentów dostęp do którego możliwy jest za pośrednictwem domeny zustricz.pl, po nadaniu uprawnienia przez członka zarządu.
4.2.2.2 skrzynkę poczty elektronicznej w domenie zustricz.pl z pośrednictwem usługodawcy google suite, do której dostęp posiadają wyłącznie członkowie zarządu Fundacji.
5. Wykaz zbiorów danych osobowych
5.1. Strona internetowa www.zustricz.pl automatycznie zbiera niektóre dane użytkowników, w tym: adres IP, rodzaj przeglądarki, rodzaj systemu operacyjnego z których korzysta użytkownik w momencie wejścia na naszą stronę. Dane te są zbierane w celu zapewnienia bezpieczeństwa serwisu, ochrony przed szkodliwym oprogramowaniem, a dzięki temu ochrony osób z niego korzystających.
5.2. Dane określone w punkcie 5.1. nie umożliwiają jednoznacznej identyfikacji użytkownika. Użytkownicy mogą korzystać z naszej strony anonimowo.
5.3 W przypadku rejestracji na wydarzenie, spotkanie, uczestnictwo w projekcie organizowanym przez Fundację Zustricz dane użytkowników zainteresowanych są zbierane za za pośrednictwem formularza kontaktowego oraz skrzynki poczty elektronicznej w domenie zustricz,pl
5.4 Kategorie danych osobowych
5.4.1. Dane obowiązkowe Beneficjentów podawane przy rejestracji/zgłoszeniu do udziału w projekcie Fundacji: imię, wiek, adres e-mail;
5.4.2. Dane obowiązkowe Pracowników lub Wolontariuszy podawane przy rejestracji/zgłoszeniu do udziału w projekcie: imię, wiek, adres e-mail;
5.4.3. Dane fakultatywne Beneficjentów podawane w razie konieczności w zakresie niezbędnym do udziału w projekcie: wizerunek, obywatelstwo/pochodzenie etniczne, nazwisko, adres zamieszkania lub pobytu, miejsce pracy, zawód, wykształcenie, sytuacja mieszkaniowa, nr telefonu, stan cywilny, sytuacja rodzinna, sytuacja materialno-prawna.
5.4.4. Dane fakultatywne Pracowników lub Wolontariuszy podawane w razie podpisywania umowy o pracę, umowy cywilnoprawnej lub wolontariackiej z Fundacją Zustricz: obywatelstwo, nazwisko data urodzenia, miejsce urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, numer dowodu tożsamości, numer identyfikacji podatkowej.
6. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i możliwości rozliczenia przetwarzanych danych
6.1. Fundacja Zustricz zabezpiecza dane osobowe przed ich udostępnianiem osobom nieupoważnionym, przetwarzaniem z naruszeniem Ustawy lub Rozporządzenia, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.
6.2. Obowiązują następujące zasady ochrony:
6.2.1. Pełny dostęp do zbiorów danych osobowych posiadają jedynie członkowie zarządu Fundacji Zustricz.
6.2.2. Pracownicy/Wolontariusze posiadają odpowiednie upoważnienie do przetwarzania danych osobowych nadane przez członka zarządu i otrzymują oni indywidualny login umożliwiający weryfikację.
6.2.3. Członek zarządu nadaje uprawnienie do przetwarzania danych osobowych wyłącznie w sytuacji, kiedy jest to niezbędne w celu wykonania zadania powierzonego przez Fundację w ramach realizacji celów statutowych oraz wyłącznie w niezbędnym do tego zakresie.
6.2.4 Osoby uprawnione mają dostęp wyłącznie do danych niezbędnych w celu realizacji zadania powierzonego przez Fundację.
6.2.5. Dzięki zindywidualizowanemu dostępowi do zbiorów danych możliwa jest kontrola kto, kiedy i jakie dane wprowadził do zbioru.
6.2.6. Dla każdej osoby każdej osoby, której dane osobowe są przetwarzane Repozytorium Danych umożliwia ustalenie:
6.2.6.1. daty pierwszego wprowadzenia danych do systemu;
6.2.6.2. identyfikatora użytkownika wprowadzającego dane osobowe do systemu,
6.2.6.2. zakresu w jaki dane zostały wprowadzone lub przetworzone.
6.2.7. Pełny dostęp do Repozytorium Danych, w którym przechowywane są dane osobowe, możliwy jest wyłącznie za pośrednictwem kilku stopniowego uwierzytelnienia.
6.2.7.1. Istnieje konieczność zmiany haseł dostępu do logowania się w systemie operacyjnym komputera służącego do przetwarzania danych osobowych w okresach nie rzadszych niż co 30 dni.
6.2.8. Dane osobowe przetwarzane w sposób tradycyjny przechowywane są w zamykanej na klucz szafce. Po upływie ich przydatności niszczone są one w sposób uniemożliwiający ich odczytanie np. przy użyciu niszczarek.
6.2.8.1. Klucze do szafek i pomieszczeń powinny zostać zabezpieczane przed dostępem do nich osób niepowołanych.
6.2.8.2. Istnieje konieczność natychmiastowego odbierania z urządzeń drukujących wykonywanych wydruków i kopii po ich wykonaniu tak, aby nie dostały się w ręce osób niepowołanych.
6.2.8.3. Obowiązuje zakaz wynoszenia z miejsca pracy bez zgody AD jakiejkolwiek dokumentacji i jakichkolwiek urządzeń należących do AD.
6.3. AD jest odpowiedzialny za:
6.3.1. nadzór nad wdrożeniem stosownych środków organizacyjno-technicznych w celu zapewnienia bezpieczeństwa informacji i ochrony danych osobowych oraz monitorowanie funkcjonowania wdrożonych zabezpieczeń;
6.3.2. nadzór nad wprowadzaniem danych osobowych do zbioru poprzez monitorowanie kto, kiedy i jakie dane wprowadził;
6.3.3. nadzór nad obiegiem i przechowywaniem dokumentów zawierających dane osobowe
6.3.4. ewidencjonowanie zbiorów danych;
6.3.5. zgłaszanie GIODO zbiorów danych osobowych do rejestracji;
6.3.6. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
6.3.7. zarządzanie incydentami bezpieczeństwa informacji, prowadzenie rejestru incydentów, ich analiza oraz prowadzenie postępowań wyjaśniających;
6.3.8.opracowywanie, bieżącą analizę i aktualizację dokumentów PBI
6.4. Za bezpieczeństwo informacji odpowiada także każdy Pracownik lub Wolontariusz Fundacji Zustricz. W szczególności do obowiązków ww osób należy:
6.4.1. ochrona i dbałość o stan instalacji służących przetwarzaniu informacji, komputerów wraz z urządzeniami peryferyjnymi;
6.4.2. należyta dbałość o dokumenty papierowe;
6.4.3. należyta dbałość o zminimalizowanie powstawania zagrożeń zniszczenia lub utraty dokumentacji (np. poprzez: zamykanie dokumentacji w szafce)
6.4.4. należyte zachowanie w obecności osób trzecich, mające na celu ochronę informacji;
6.4.5. należyte korzystanie z Internetu i unikanie zachowań zagrażających bezpieczeństwu w sieci.
6.5. Każdy Pracownik lub Wolontariusz uzyskujący upoważnienie do przetwarzania danych odbędzie szkolenie wstępne z podstawowych zasad zachowania bezpieczeństwa informacji.
7. Procedura postępowania w przypadku wystąpienia incydentu bezpieczeństwa informacji
7.1. Każdy, kto stwierdzi fakt naruszenia bezpieczeństwa informacji przez osobę przetwarzającą dane osobowe lub inną osobę, jest zobowiązany niezwłocznie zgłosić to AD.
7.2. Do czasu przybycia na miejsce osoby wyznaczonej przez AD, należy podjąć czynności konieczne ze względu na powstrzymanie skutków naruszenia bezpieczeństwa (o ile to możliwe), ustalić przyczyny i sprawców naruszenia, rozważyć wstrzymanie bieżącej pracy na urządzeniu lub pracy biurowej, w celu zabezpieczenia miejsca zdarzenia.
7.3. O ile to możliwe, należy zaniechać wszelkich działań mogących utrudniać analizę wystąpienia naruszenia bezpieczeństwa i udokumentowanie zdarzenia. Należy ponadto podjąć stosowne działania, jeśli zaistniały przypadek został przewidziany w dokumentacji systemu operacyjnego, bazy danych, czy instrukcji aplikacji użytkowej. Nie należy opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia osoby wyznaczonej przez AD.
7.4. Po przybyciu na miejsce naruszenia bezpieczeństwa, osoba wyznaczona przez AD zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania.
7.5. AD lub osoba wyznaczona przez AD dokumentuje zaistniały przypadek naruszenia bezpieczeństwa, sporządzając raport, zawierający następujące informacje: wskazanie osoby zawiadamiającej oraz innych osób zaangażowanych w wyjaśnienie okoliczności naruszenia bezpieczeństwa, określenie czasu i miejsca zawiadomienia o naruszeniu bezpieczeństwa, jak i samego naruszenia (o ile da się ustalić), określenie okoliczności towarzyszących i rodzaju naruszenia, opis podjętego działania wraz z wyjaśnieniem wyboru sposobu działania, wstępną ocenę przyczyn wystąpienia naruszenia bezpieczeństwa, ocenę prowadzonego postępowania wyjaśniającego i naprawczego.
8. Prawa osób, których dane są przetwarzane
8. 1. Każda osoba, będąca Beneficjentem, Wolontariuszem bądź Pracownikiem Fundacji Zustricz ma prawo do:
8.1.1. dostępu do własnych danych, w tym uzyskania kopii danych
– prawo żądania sprostowania danych,
– prawo do usunięcia danych (w określonych sytuacjach),
– prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych
– prawo do ograniczenia przetwarzania danych.
8.2 W zakresie w jakim dane są przetwarzane na podstawie zgody lub w ramach świadczonej usługi (dane są niezbędne w celu świadczenia usługi). Beneficjent, Wolontariusz lub Pracownik może dodatkowo skorzystać z prawa do wycofania zgody w zakresie w jakim są przetwarzane na tej podstawie.
8.2.1. Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
8.2.2. W celu wycofania zgody należy przesłać e-mail na adres info [na] zustricz [kropka] pl lub uzupełnić i wysłać zawiadomienie za pośrednictwem formularza kontaktowego na stronie www.zustricz.pl/kontakt, z jasno określonym sformułowaniem, np. „proszę o usunięcie moich danych”.
9. Zakres i zmiana polityki prywatności
9.1. Niniejsza PPiBI dotyczy wyłącznie zasobów opisanych w pkt 4 i 5.
9.2. Nie odpowiadamy za politykę prywatności innych stron internetowych, do których linki znajdują się w naszym serwisie, lub na stronach których znajdują się linki lub informacje dotyczące bieżących bądź uprzednich działań Fundacji.
9.3. Zastrzegamy sobie prawo do zmiany powyższej polityki prywatności poprzez opublikowanie jej nowej wersji na naszej stronie internetowej.
10. Wykaz załączników
10.1. Zgoda na przetwarzanie danych osobowych (pisemna)
10.2. Zgoda na przetwarzanie danych osobowych (tekst wersji on-line)
10.3. Klauzula poufności
10.4. Upoważnienie do przetwarzania danych osobowych
10.5. Rejestr przetwarzania danych