Polityka prywatności

Polityka Bezpieczeństwa Informacji

Salezjańskiego Wolontariatu Misyjnego – Młodzi Światu

Oddział w Poznaniu

 Cel i zakres Polityki

  1. Celem niniejszej Polityki Bezpieczeństwa Informacji (zwanej dalej: „Polityką”) jest zapewnienie ochrony zbiorów danych zarządzanych przez Salezjański Wolontariat Misyjny -Młodzi Światu Oddział w Poznaniu (zwany dalej: „SWM Poznań„) przed wszelkiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.
  2. Zakres przedmiotowy stosowania Polityki obejmuje wszystkie zbiory danych, którymi posługuje się SWM Poznań zarówno zawarte w systemach informatycznych, jak i gromadzone w formie tradycyjnej (papierowej).
  3. W zakresie podmiotowym Polityka obowiązuje wszystkich wolontariuszy i ewentualnych pracowników SWM Poznań oraz inne osoby współpracujące z SWM Poznań na jakiejkolwiek innej podstawie prawnej, które mają dostęp do danych osobowych objętych ochroną.
  4. Polityka określa również obowiązki administratora danych w zakresie zabezpieczenia danych osobowych, o których mowa w art. 4 pkt.1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), który to akt stanowi integralny element niniejszej dokumentacji.
  5. Zastosowane zabezpieczenia mają służyć osiągnięciu poniżej wskazanych celów i zapewnić:

a)      poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom,

b)     integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,

c)      rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania danej osoby mogą być przypisane w sposób jednoznaczny tylko tej konkretnej osobie,

d)     integralność systemu – rozumianą jako nienaruszalność systemu, tj. niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej.

I. Informacje wstępne

1. ogólne oraz podstawy prawne

1.1.      Zawarte w niniejszej Polityce procedury i wytyczne są przekazywane osobom odpowiedzialnym za ich realizację stosownie do przyznanych uprawnień i zakresu obowiązków.

1.2.      Polityka została opracowana na podstawie:

a)      ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity z dnia 28 czerwca 2016 r. Dz. U. z 2016 r. poz. 922), zwanej dalej: „UoDO”;

b)     rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z. 2004 r. Nr 100, poz. 1024), zwanego dalej: „Rozporządzeniem”;

c)      rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r.
w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych(Dz. U. z 2008 r. Nr 229, poz. 1536).

d)     rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. 2015 nr 0 poz. 719)

e)      rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. 2015 nr 0 poz. 745)

f)      Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej „RODO”

II. Terminologia

2.1       Dane osobowe – zgodnie z art. 4 pkt.1 RODO: informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

2.2       Przetwarzanie danych – zgodnie z art. 4 pkt 2 RODO: operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

2.3       ODO – ochrona danych osobowych.

2.4       System informatyczny – zgodnie z art. 7 pkt 2a UoDO zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

2.5       Nazwa użytkownika – jednoznacznie przypisany jednej osobie identyfikator składający się z liter i cyfr, określający użytkownika w systemie informatycznym.

2.6       Hasło – ciąg znaków (wielkich liter, małych liter, cyfr lub znaków specjalnych) stanowiący tajemnicę użytkownika, w połączeniu z nazwą użytkownika umożliwiający uwierzytelnienie w systemie informatycznym.

2.7       Zabezpieczenie danych w systemie informatycznym – zgodnie z art. 7 pkt 2b UoDO wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

2.8       Usuwanie danych osobowych – zgodnie z art. 7 pkt 3 UoDO zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

2.9       Zgoda osoby, której dane dotyczą – zgodnie z art. 4 pkt 11 RODO oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

2.10     Odbiorca danych osobowych – zgodnie z art. 7 pkt 6 UoDO każdy, komu udostępnia się dane osobowe, z wyłączeniem:

‑ osoby, której dane dotyczą,

‑ osoby upoważnionej do przetwarzania danych,

‑ podmiotu, o którym mowa w art. 31 UoDO,

‑ organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane
w związku z prowadzonym postępowaniem.

2.11     SWM Poznań – Salezjański Wolontariat Misyjny – Młodzi Światu Oddział w Poznaniu
z siedzibą w Poznaniu (61-658) przy ul. Pszczelnej 20.

2.12     ADO Administrator Danych Osobowych ‑ decydujący o celach i środkach przetwarzania danych osobowych; administratorem danych osobowych jest Salezjański Wolontariat Misyjny – Młodzi Światu Oddział w Poznaniu.

2.13     Zarząd – aktualny zarząd Salezjańskiego Wolontariatu Misyjnego – Młodzi Światu Oddział w Poznaniu, tj. osoby nadzorujące przestrzeganie zasad ochrony danych, w tym danych osobowych; Zarząd reprezentuje ADO; do dokonania wszelkich czynności dot. ochrony danych osobowych wystarczy decyzja/zgoda jednego z członków Zarządu.

2.14     Współpracownik – wolontariusz lub pracownik Salezjańskiego Wolontariatu Misyjnego – Młodzi Światu Oddział w Poznaniu, bez względu na pełnioną funkcję lub posiadane stanowisko. Przy czym, przez pojęcie Współpracownika rozumie się także inne osoby współpracujące z SWM Poznań na jakiejkolwiek podstawie prawnej; do osób tych stosuje się odpowiednio regulacje przewidziane dla Współpracownika w niniejszej Polityce.

2.15     Osoba upoważniona do przetwarzania danych osobowych – osoba, która została upoważniona do przetwarzania danych osobowych przez ADO

 

III. Odpowiedzialność

  1. SWM Poznań zabezpiecza dane osobowe przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem UoDO, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.
  2.    Nadzór nad przestrzeganiem zasad i wymogów ochrony danych osobowych sprawuje ADO (administrator), zgodnie z art. 24 RODO. Zakres jego obowiązków wyznacza RODO.
  3.    Wszyscy Współpracownicy są zobowiązani do współdziałania z ADO (Zarządem) w zakresie przestrzegania zasad ochrony danych osobowych w SWM Poznań, w szczególności realizowania próśb oraz zaleceń wydanych przez ADO, a także postępowania wg jego wskazówek.
  4.  Zarząd SWM Poznań jest właściwy do kontaktu ze służbami publicznymi. W razie wystąpienia z wnioskiem o udostępnienie danych osobowych Zarząd dokonuje oceny zasadności realizacji wniosku, kierując się obowiązującymi przepisami prawa i zasadami należytej staranności, a następnie udostępnia Służbom Publicznym żądane dane.

 

IV. Prawa i obowiązki:

  1. Do najważniejszych obowiązków Zarządu SWM Poznań dot. ochrony danych należy:

a)    organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami RODO, UoDO oraz niniejszej Polityki, w szczególności przez:

-        sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

-        nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 24 ust. 2 RODO oraz art. 36. Ust 2 UoDO, oraz przestrzegania zasad w niej określonych,

-        zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych
z przepisami o ochronie danych osobowych,

-        podejmowanie wszelkich działań niezbędnych do zapewnienia odpowiedniego poziomu zabezpieczeń danych osobowych przetwarzanych w SWM Poznań,

b)       wypełnianie zadań, jakie RODO oraz UoDO nakłada na ADO w stosunku do zbiorów danych osobowych, które są przetwarzane lub za które odpowiada merytorycznie, w szczególności jest zobowiązany do:

-        dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą,

-        spełnienia przesłanek uprawniających do przetwarzania danych osobowych,

-        zbierania danych osobowych dla oznaczonych, zgodnych z prawem celów i nie poddawania ich dalszemu przetwarzaniu niezgodnemu z tymi celami,

-        weryfikacji zapisów o poufności i ochronie danych osobowych w umowach z podmiotami przetwarzającymi te dane oraz serwisującymi komputery,

-        zapewnienia, aby dane osobowe były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

-        przechowywania danych osobowych w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania,

-        prowadzenia ,,Rejestru Zbiorów Danych Osobowych”;

-        prowadzenia ,,Rejestru osób przetwarzających dane osobowe”;

-        opracowania wzorów formularzy i dokumentów służących zbieraniu, przetwarzaniu oraz ochronie danych osobowych;

-        prowadzenia postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych;

-        nadzoru nad bezpieczeństwem danych osobowych;

-        kontroli działań jednostek pod względem zgodności przetwarzania danych z UoDO i RODO;

-        inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych osobowych SWM Poznań;

-        koordynacja procesu udostępniania danych osobowych służbom publicznym;

-        organizacji szkoleń dla Współpracowników z zakresu ochrony danych osobowych.

 

  1. Zarząd SWM Poznań ma prawo:

a)      wstępu do pomieszczeń, w których zlokalizowane są zbiory danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z UoDO i RODO;

b)     prosić o złożenie pisemnych lub ustnych wyjaśnień przez Współpracowników w zakresie niezbędnym do ustalenia stanu faktycznego;

c)      prosić o okazanie dokumentów i wszelkich danych mających bezpośredni związek
z problematyką kontroli;

d)     prosić o udostępnienie do kontroli urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.

 

  1. Współpracownicy są odpowiedzialni za:

3.1        zapewnienie bezpieczeństwa przetwarzania danych osobowych m.in. poprzez ścisłe przestrzeganie zasad związanych z bezpieczeństwem informacji oraz ich ochronę przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem, a w szczególności przestrzeganie zasad ochrony, o których mowa w niniejszej Polityce;

3.2        zapoznanie się z przepisami prawa w zakresie ochrony danych osobowych oraz uregulowaniami wewnętrznymi, w szczególności wynikającymi z niniejszej Polityki oraz wypełnianie obowiązków z nich wynikających;

3.3 pomoc w wypełnianiu zadań, jakie UoDO i RODO nakładają na ADO w stosunku do zbiorów danych osobowych, które są przetwarzane w SWM Poznań w szczególności są zobowiązani do:

-        przetwarzania danych osobowych zgodnie z RODO, UoDO oraz niniejszą Polityką,

-        dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą,

-        zbierania danych osobowych dla oznaczonych, zgodnych z prawem celów i nie poddawanie ich dalszemu przetwarzaniu niezgodnemu z tymi celami,

-        zapewnienia, aby dane osobowe były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

-        przechowywania danych osobowych w postaci umożliwiającej identyfikacje osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania,

3.4 stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danychw stosowanych systemach informatycznych a w szczególności za:

-        zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym,

-        zapobieganie zabraniu danych przez osobę nieuprawnioną,

-        zapobieganie zmianie, utracie, uszkodzeniu lub zniszczeniu tych danych,

-        utrzymywanie w tajemnicy powierzonych haseł, częstotliwości ich zmiany oraz szczegółów technologicznych systemów, w tym także po zakończeniu współpracy z SWM Poznań,

3.5 zachowanie w tajemnicy wszelkich informacji, a w szczególności danych osobowych, które przetwarzają oraz sposobów ich zabezpieczenia. Zachowanie tajemnicy obowiązuje zarówno podczas trwania wolontariatu/stosunku pracy jak i po jego ustaniu oraz po rozwiązaniu lub wygaśnięciu umowy cywilno-prawnej, na podstawie której Współpracownik współpracuje
z SWM Poznań,

3.6 zapewnienie należytej ochrony przetwarzanych danych osobowych, w szczególności przestrzeganie zasad ochrony, o których mowa poniżej w rozdziale pt. „System zabezpieczeń danych osobowych”,

3.7 prawidłową realizację procesu niszczenia zbędnych danych osobowychi ich zbiorów danych oraz zapewnienie monitoringu nad tym procesem,

3.8 zapewnienie infrastruktury technicznej, obsługę administracyjną oraz bezpieczeństwo prawne
i organizacyjne danych osobowych przy współpracy z ADO (Zarządem),

3.9 przeciwdziałanie próbom naruszenia bezpieczeństwa informacji;

3.10 informowanie Zarządu, o każdym zauważonym przypadku naruszenia bezpieczeństwa,

3.11 w przypadku niejasności dot. ochrony danych osobowych w jednostce konsultowanie ich
z Zarządem,

3.12 umożliwienie ADO na jego wniosek przeprowadzenia kontroli przetwarzania danych osobowych,

3.13 Współpracownicy zobowiązani są do udziału w organizowanych szkoleniach dotyczących ochrony danych osobowych.

 

V. Wykaz budynków, pomieszczeń lub części pomieszczeń, w których przetwarzane są dane osobowe

Wszelkie zbiory dokumentacji papierowej i elektronicznej zawierającej dane osobowe znajdują się w obrębie budynku siedziby Salezjańskiego Wolontariatu Misyjnego – Młodzi Światu Oddział w Poznaniu pod adresem: ul. Pszczelna 20, 61-658 Poznań.

 

VI. Formularze i dokumenty służące zbieraniu i przetwarzaniu danych osobowych, rejestry zbiorów danych osobowych oraz rejestry Pracowników przetwarzających dane osobowe

Wzory formularzy i dokumentów służących zbieraniu, przetwarzaniu oraz ochronie danych osobowych, wzory rejestru zbiorów danych osobowych oraz wzory rejestru osób przetwarzających dane osobowe stanowią Załączniki nr 1,2,3 do niniejszej Polityki. Aktualne wzory dokumentacji są udostępniane poprzez ADO w uzasadnionym zakresie osobom upoważnionym.

 

VII. System zabezpieczeń danych osobowych

7.1   Zestawienie środków organizacyjnych i technicznych zapewniających ochronę danych osobowych w zakresie poufności, integralności i rozliczalności:

a)                Ochrona zbiorów danych polega na zabezpieczeniu informacji wprowadzonej, przetwarzanej, przesyłanej w systemie informatycznym oraz na nośnikach informacji przed nielegalnym ujawnieniem, kradzieżą oraz nieuprawnioną modyfikacją lub usunięciem.

b)               W celu ochrony danych przechowywanych w systemach informatycznych należy wykorzystywać wchodzące w ich skład mechanizmy zarówno sprzętowe jak i programowe oraz inne rozwiązania zwiększające bezpieczeństwo danych.

c)                Informacje o danych osobowych nie są udostępniane telefonicznie, a jedynie osobiście upoważnionym osobom lub na ich pisemny wniosek w formie pisemnej lub za pośrednictwem e-maila przy zachowaniu dwustopniowej weryfikacji (szyfrowany plik, do którego hasło przesyłane jest inną drogą, np. SMS)

7.2   Dane osobowe mogą przetwarzać wyłącznie osoby posiadające upoważnienia do przetwarzania danych osobowych nadane im przynajmniej przez jednego członka Zarządu SWM Poznań, przy czym upoważnienie to wynikać może w szczególności z charakteru wykonywanej pracy. Upoważnienie określa zakres danych, które osoba może przetwarzać.

7.3   Osoby upoważnione do przetwarzania danych mają obowiązek zachować w tajemnicy dane, które przetwarzają, oraz sposoby ich zabezpieczenia. Zachowanie tajemnicy obowiązuje zarówno podczas trwania stosunku pracy/wolontariatu/innej współpracy jak i po jego ustaniu oraz po rozwiązaniu lub wygaśnięciu umowy cywilno-prawnej.

7.4   Zabrania się zbierania danych osobowych na zapas, „na wszelki wypadek”, tj. bez wykazania celowości ich pozyskania i niezbędności dla realizacji celów statutowych SWM Poznań.

7.5     W przypadku jeżeli Współpracownik, który nie został upoważniony do przetwarzania danych osobowych otrzyma dokumentację zawierająca dane osobowe, zobowiązany jest on do dołożenia należytej staranności w celu jej zabezpieczenia a następnie do niezwłocznego przekazania dokumentacji Zarządowi.

7.6     Wszystkie pomieszczenia, w których przetwarza się dane osobowe zamykane są na klucz.
W przypadku opuszczenia pomieszczenia przez ostatniego Współpracownika zobowiązany jest on upewnić się, czy wszystkie okna w pomieszczeniu są zamknięte, a następnie zamknąć pomieszczenie na klucz i odłożyć klucz w miejsce jego przechowywania.

7.7     Dostęp do komputerów, na których przechowywane są dane osobowe posiadają jedynie: ADO oraz Współpracownicy przetwarzający dane. Wszystkie ww. komputery zabezpieczone są hasłem
i znajdują się w jednym budynku w siedzibie SWM Poznań.

7.8     Dane osobowe przechowywane w wersji tradycyjnej (papierowej) są przechowywane po zakończeniu pracy w zamykanych na klucz meblach biurowych.. Klucze od szafek należy zabezpieczyć przed dostępem osób nieupoważnionych do przetwarzania danych osobowych.

7.9     niszczeniezbędnych danych osobowych i zbiorów danych osobowych polegać powinno
w szczególności na trwałym, fizycznym zniszczeniu danych osobowych i ich zbiorów wraz z ich nośnikami w stopniu uniemożliwiającym ich późniejsze odtworzenie przez osoby nieupoważnione lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

7.10  Dane osobowe w wersji papierowej, a także wydruki i kopie, należy niszczyć w niszczarkach
(P-4). Zabronione jest usuwanie danych przez wyrzucenie ich do kosza na odpadki.

7.11  W przypadku żądania przez osoby trzecie, inne niż Służby Publiczne, udostępniania danych osobowych, Współpracownicy przekazują żądanie Zarządowi. Decyzję o udostępnieniu podejmuje co najmniej jeden członek Zarządu. Udostępnianie danych jest odnotowywane. Odnotowanie informacji o udostępnianiu przechowuje Zarząd.

7.12 Obowiązujące zasady stosowane dla danych osobowych przetwarzanych w systemach informatycznych:

-        kontrola dostępu do zbiorów danych osobowych,

-        Współpracownicy przetwarzając dane osobowe zobowiązani są do korzystania ze służbowych urządzeń. Zakazuje się korzystania w tym celu z prywatnych urządzeń.

-        indywidualne hasła użytkowników urządzeń (Współpracowników przetwarzających dane osobowe), składające się z kombinacji minimum trzech elementów (wielkie litery, małe litery, cyfry, znaki specjalne) oraz minimum 8 znaków, które są zmieniane nie rzadziej niż co 30 dni. Zakazuje się Współpracownikom udostępniania indywidualnych haseł innemu Współpracownikowi lub jakiejkolwiek osobie trzeciej,

-        ekrany komputerów, na których przetwarzane są dane osobowe, są chronione wygaszaczami zabezpieczonymi hasłem użytkownika i nie są zwrócone w stronę okien,

-        zakaz instalowania jakichkolwiek programów komputerowych bez zgody Zarządu,

-        Współpracownicy przesyłając dane osobowe zobowiązani są do korzystania ze służbowych skrzynek e-mail. Zakazuje się korzystania w tym celu z prywatnych skrzynek e-mail.

7.13                 W celu zabezpieczenia danych osobowych przed ich utratą lub uszkodzeniem:

-     wdrożono oprogramowanie antywirusowe,

-        dostęp do systemów z sieci publicznej jest kontrolowany. W przypadku korzystania
z komputerów zawierających dane osobowe należy zachować szczególną ostrożność zwłaszcza podczas używania komputera, w szczególności podczas przeglądania stron internetowych ogólnodostępnych.

7.13          Użytkowników systemów przetwarzających dane osobowe obowiązuje następująca polityka haseł przy szyfrowaniu plików w programach, aplikacjach i systemach:

a) minimalna długość hasła wynosi 8 znaków,

b) hasło zawiera kombinację minimum trzech z czterech elementów:
małe litery, wielkie litery, cyfry lub znaki specjalne.

7.14 Użytkownik, który utracił hasło, zobowiązany jest zgłosić ten fakt bezzwłocznie Zarządowi.

7.15 W przypadku wystąpienia przez osobę o informacje dotyczące przetwarzania jej danych osobowychWspółpracownicy postępują zgodnie z przepisami RODO oraz UoDO. Decyzję o sposobie procedowania każdorazowo, po indywidualnej analizie podejmuje ADO:

a)        osobom, których dane są przetwarzane, przysługuje prawo do kontroli przetwarzania danych (po zweryfikowaniu tożsamości osoby należy takiej informacji udzielić ustnie, a na żądanie osoby powinno się m.in. uzupełnić, uaktualnić, sprostować lub usunąć dane, czynność powinna zostać udokumentowana pisemnie z potwierdzeniem dla wnioskującego oraz dla celów dowodowych w dokumentacji SWM Poznań),

b)   na żądanie osoby może być sporządzony raport o przetwarzaniu danych w formie pisemnej,

c)    na wniosek osoby, której dane dotyczą, ADO jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić pisemnej informacji, odnośnie jej danych osobowych.

7.16 Postępowanie w sytuacjach naruszenia zasad ochrony danych osobowych

a)    w przypadku stwierdzenia naruszenia bezpieczeństwa ochrony danych osobowych a także
w przypadku podejrzenia takiego naruszenia, Współpracownik jest zobowiązany:

-        powiadomić ADO o podejrzeniu lub fakcie naruszenia bezpieczeństwa ochrony danych osobowych,

-        powstrzymać się od wszelkich działań mogących utrudnić ustalenie okoliczności naruszenia.

b)   kiedy ADO otrzyma zgłoszenie naruszenia bezpieczeństwa danych osobowych dokonuje rozeznania związanego z zaistniałym incydentem.

c)    ADO zleca przywrócenie normalnego działania systemów informatycznych, w szczególności przez odtworzenie bazy z kopii zapasowej, z zachowaniem wszelkich środków ostrożności mających na celu uniknięcie ponownego uzyskania nieuprawnionego dostępu tą samą drogą. Jeżeli przyczyną zdarzenia był błąd użytkownika systemu, należy przeprowadzić szkolenie dla osób biorących udział w przetwarzaniu danych. ADO może zobowiązać Współpracownika do uczestniczenia w ww. szkoleniu niezależnie od odbytych wcześniej szkoleń.

VIII. Przeglądy i aktualizacje Polityki

8.1   Polityka bezpieczeństwa podlega przeglądowipod kątem aktualności i stosowalności oraz ewentualnej aktualizacji w przypadku:

-        zmian przepisów prawa dotyczącego ochrony danych osobowych, wymagającej aktualizacji Polityki,

-        konieczności wprowadzenia zmian na wniosek ADO,

-        konieczności wprowadzenia zmian w wyniku wniosków oraz rezultatów kontroli dot. ODO oraz bezpieczeństwa informacji,

8.2   innych znaczących zmian dotyczących danych osobowych w funkcjonowaniu Salezjańskiego Wolontariatu Misyjnego Młodzi Światu W sytuacji wskazanej powyżejprzegląd dokonywany jest przez IOD lub ADO.

8.3     Całościowego przeglądu oraz aktualizacji Polityki dokonuje ADO lub IOD.