Polityka Prywatności

Polityka bezpieczeństwa przetwarzania danych osobowych
w Stowarzyszeniu Nauczycieli Języka Angielskiego w Polsce IATEFL Poland

 

Rozdział 1
Postanowienia ogólne

 

 

§ 1

Celem Polityki bezpieczeństwa przetwarzania danych osobowych, zwanej dalej „Polityką bezpieczeństwa” w Stowarzyszeniu Nauczycieli Języka Angielskiego w Polsce IATEFL Poland, zwanym dalej „Stowarzyszeniem”, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe.

 

 

§ 2

Polityka bezpieczeństwa została opracowana w oparciu o wymagania zawarte w:

  • Rozporządzeniu Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z
    przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119,
    str.1/,
  • Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych /opracowana na podstawie Dz. U. z 2018 r., poz. 1000, 1669/.

 

 

§ 3

Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.

 

 

§ 4


Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w Stowarzyszeniu rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:

  1. poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
  2. integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
  3. rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
  4. integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
  5. dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
  6. zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.

 

 

§ 5

 

Administratorem danych osobowych jest Stowarzyszenie Nauczycieli Języka Angielskiego w Polsce IATEFL Poland IATEFL POLAND z siedzibą w Zgorzelcu pod adresem: Armii Krajowej 51A, 59-900 Zgorzelec, REGON: 350324970.

 

 

§ 6

 

Polityka bezpieczeństwa ma zastosowanie do wszystkich pracowników Administratora Danych, którzy w zakresie swoich obowiązków służbowych przetwarzają dane osobowe, jak również innych osób, które z upoważnienia Administratora Danych uzyskały dostęp do danych osobowych. Każda z tych
osób została zapoznana z najważniejszymi procedurami bezpieczeństwa danych opisanymi w Polityce ochrony danych osobowych i zobowiązana do ich przestrzegania w zakresie wynikającym z przydzielonych zadań. Osoby, o których mowa złożyły oświadczenie o zapoznaniu się z procedurami
bezpieczeństwa danych oraz zobowiązały się do ich stosowania.

 

 

 

Rozdział 2
Definicje

 

 

§ 7

 

Przez użyte w Polityce bezpieczeństwa określenia należy rozumieć:

  1. administrator danych osobowych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
  2. ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych /opracowana na podstawie Dz. U. z 2018 r., poz. 1000, 1669/.
  3. RODO – rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str.
    1/,
  4. dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
  5. zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów,
  6. przetwarzanie danych – operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itd.,
  7. system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
  8. system tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,
  9. zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
  10. administrator systemu informatycznego – osoba lub osoby, upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi,
  11. odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe w oparciu m. in. o umowę powierzenia,
  12. strona trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe,
  13. identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
  14. hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

 

 

Rozdział 3
Zakres stosowania

 

§ 8

 

  1. W Stowarzyszeniu Nauczycieli Języka Angielskiego w Polsce IATEFL Poland przetwarzane są dane osobowe członków zebrane w zbiorach danych osobowych.
  2. Informacje te są przetwarzane zarówno w postaci dokumentacji tradycyjnej, jak i elektronicznej.
  3. Polityka bezpieczeństwa zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
  4. Innymi dokumentami regulującymi ochronę danych osobowych w Stowarzyszeniu są:
    a) ewidencja osób upoważnionych do przetwarzania danych osobowych,
    b) procedura postępowania w przypadku naruszenia ochrony danych osobowych

 

 

§ 9

 

Politykę bezpieczeństwa stosuje się w szczególności do:

  1. danych osobowych przetwarzanych w systemie: Microsoft Office, Conference Management System – system pocztowy, Płatnik, system bankowości elektronicznej, system do kontaktu z US, RAKS, Linuxpl, wordpress.
  2. wszystkich informacji dotyczących danych członków,
  3. odbiorców danych osobowych, którym przekazano dane osobowe do przetwarzania w oparciu o umowy powierzenia,
  4. informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
  5. rejestru osób trzecich mających upoważnienia administratora danych osobowych do przetwarzania danych osobowych,
  6. innych dokumentów zawierających dane osobowe.

 

 

§ 10

 

  1. Zakresy ochrony danych osobowych określone przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty mają zastosowanie do:
    a) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie,
    b) wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
    c) wszystkich pracowników i innych osób mających dostęp do informacji podlegających ochronie.
  2. Do stosowania zasad określonych przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty zobowiązani są wszyscy członkowie, osoby współpracujące oraz inne osoby mające dostęp do danych osobowych podlegających ochronie.

 

 

Rozdział 4
Wykaz zbiorów danych osobowych

 

 

§ 11

 

  1. Wykaz zbiorów, w których gromadzone są dane osobowe wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych oraz opis struktury zbiorów wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi:

 

 

Rozdział 5
Sposób przepływu danych osobowych pomiędzy systemami informatycznymi

 

 

§ 12

 

Dane z systemu Conference Management System są jednostronnie eksportowane do systemu pocztowego służącego do wysłania mailingu. Dane osobowe z systemu wordpress nie są eksportowane do innego systemu oraz nie są importowane. Osoba, której dane dotyczą samodzielnie wprowadza
dane do systemu poprzez stronę internetową www.

 

Rozdział 6
Wykaz budynków, pomieszczeń, w których wykonywane są operacje przetwarzania danych osobowych

 

 

§ 13

 

Dane osobowe przetwarzane są w budynku, mieszczącym się w Zgorzelcu przy Armii Krajowej 51A.



Rozdział 7
Środki organizacyjne i techniczne zabezpieczenia danych osobowych

 

 

§ 14


Środki ochrony fizycznej danych osobowych

§ 15

 

Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej

§ 16

 

Środki ochrony w ramach narzędzi programowych i baz danych

§ 17

 

Środki organizacyjne

Rozdział 8
Zadania administratora danych osobowych

 

 

§ 18

 

Do najważniejszych obowiązków administratora danych osobowych należy:

  1. organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami RODO i ustawy o ochronie danych osobowych,
  2. zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki bezpieczeństwa i innymi dokumentami wewnętrznymi,
  3. przeprowadzenie oceny skutków planowanej operacji przetwarzania dla ochrony danych osobowych – w przypadku, gdy organizacja wprowadza nowy rodzaj przetwarzania danych osobowych,
  4. stworzenie procedur postępowania w sytuacjach naruszenia ochrony danych osobowych,
  5. wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
  6. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
  7. prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
  8. nadzór nad bezpieczeństwem danych osobowych,
  9. kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
  10. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.

 

 

Rozdział 9
Postanowienia końcowe

 

 

§ 19

 

  1. Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w
    wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
  2. Za przeprowadzenie szkolenia odpowiada administrator danych osobowych.
  3. Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz Polityką bezpieczeństwa i innymi związanymi z nią dokumentami obowiązującymi u administratora danych osobowych.
  4. Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych.
  5. Wszelkie wątpliwości dotyczące sposobu interpretacji zapisów Polityki bezpieczeństwa, powinny być rozstrzygane na korzyść zapewnienia możliwie najwyższego poziomu ochrony danych osobowych oraz realizacji praw osób, których dane dotyczą.