Zamknij menu główne

Polityka bezpieczeństwa

Data sporządzenia dokumentu: 16/12/2025

Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu wykazania, że dane osobowe w Fundacji Inicjatyw Społecznych „Mili Ludzie”  z siedzibą w Poznaniu (60-509 Poznań), ul. Jackowskiego 25/23, są przetwarzane zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych w fundacji, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).

 

Definicje:

  1. Administrator Danych- Fundacja Inicjatyw Społecznych „Mili Ludzie” z siedzibą w Poznaniu (60-509 Poznań), ul. Jackowskiego 25/23,
  2. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w szczególności jej imię i nazwisko, adres zamieszkania, numer telefonu, numer PESEL, numer identyfikacyjny, adres skrzynki elektronicznej, wizerunek, dane
    o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W szczególności za dane osobowe należy uznać imiona, nazwiska, adresy, nr dowodów osobistych, adresy mailowe, nr rachunków bankowych oraz wizerunek.
  3. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych
  4. Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów
  5. Użytkownik – osoba upoważniona przez Administratora Danych do Przetwarzania danych osobowych
  6. Przetwarzanie danych – jakiekolwiek operacje wykonywane na Danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie w formie tradycyjnej oraz w systemach informatycznych
  7. Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jedno znacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownika) w razie Przetwarzania danych osobowych w takim systemie
  8. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie
  9. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika).
  10. Oficer IT – osoba fizyczna wyznaczona przez Administratora do zarządzania siecią informatyczną i sprzętem komputerowym wspierana. Oficerem IT może być zarówno upoważniony pracownik jak i zewnętrzy podmiot świadczący usługi IT.

 

I. Postanowienia ogólne

  1. Niniejszy dokument opisuje reguły dotyczące procedur zapewnienia bezpieczeństwa danych osobowych zawartych w systemach informatycznych w Fundacji Inicjatyw Społecznych „Mili Ludzie” z siedzibą w Poznaniu (60-509 Poznań), ul. Jackowskiego 25/23 – zwanej dalej Fundacją.
  2. Opisane reguły określają granice dopuszczalnego zachowania wszystkich użytkowników systemów informatycznych wspomagających pracę w Fundacji.
  3. Polityka dotyczy wszystkich Danych osobowych przetwarzanych w Fundacji niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
  4. Niniejsza polityka będzie uaktualniana w miarę wypracowywania przez praktykę nowych standardów ochrony danych w oparciu o RODO, o ile standardy te w praktyce okażą się wyższe niż wynikające z niniejszego dokumentu.
  5. W ramach niniejszej polityki Administrator opisuje przyjęte przez siebie środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzania danych.
  6. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora.
  7. Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
  8. Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
    a. odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
    b. kontrolę i nadzór nad Przetwarzaniem danych osobowych,
    c.monitorowanie zastosowanych środków ochrony.
  9. Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
  10. Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz odpowiednimi przepisami prawa.

 

II. Dane osobowe przetwarzane u administratora danych

  1. Dane osobowe przetwarzane przez Administratora Danych gromadzone są
    w zbiorach danych.
  2. Administrator danych nie podejmuje czynności przetwarzania, które mogłyby wiązać się z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw
    i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.
  3. W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
  4. Administrator danych prowadzi rejestr czynności przetwarzania. Wzór rejestru czynności przetwarzania stanowi Załącznik nr 1 do niniejszej polityki.

 

III. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem

  1. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie
    z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a także innymi dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem danych osobowych w Fundacji.
  2. U Administratora osobami odpowiedzialnymi za ochronę danych osobowych są:
    a. Administrator Danych Osobowych
    b. Osoby fizyczne zatrudnione u Administratora lub świadczące dla niego usługi na podstawie umów cywilnoprawnych posiadające upoważnienie do przetwarzania danych osobowych, w szczególności Oficer IT.
  1. Wszystkie dane osobowe w Fundacji są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
    a. W każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych, a w przeciwnym wypadku Administrator Danych posiada zgodę od osoby, której dane dotyczą
    b. Dane są przetwarzane są rzetelnie i w sposób przejrzysty.
    c. Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
    d. Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych.
    e. Dane osobowe są prawidłowe i w razie potrzeby uaktualniane.
    f. Czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one zanonimizowane bądź usuwane.
    g. Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO.
    h. Dane są zabezpieczone przed naruszeniami zasad ich ochrony.
  2. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności:
    a. naruszenie bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;
    b. udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym;
    c. zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;
    d. niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia;
    e. przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
    f. spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie Danych osobowych;
    g. naruszenie praw osób, których dane są przetwarzane.
  3. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego (najpóźniej w ciągu 12 godzin) powiadomienia Administratora Danych,
  4. Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora Danych na podstawie innych umów cywilnoprawnych) należy dopilnowanie, by:
    a. pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków,
    b. każdy z przetwarzających Dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych” – wzór Upoważnienia stanowi Załącznik nr 6 do niniejszej Polityki Bezpieczeństwa,
  5. Pracownicy zobowiązani są do:
    a. ścisłego przestrzegania zakresu nadanego upoważnienia;
    b. przetwarzania i ochrony danych osobowych zgodnie z przepisami;
    c. zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
    d. zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu

 

IV. Oficer IT

  1. Przepisy nie wymagają wyznaczenia Oficera IT. W sytuacji, w której nie zostanie on wyznaczony jego zadania wypełnia Administrator.
  2. Do zadań i kompetencji Oficera IT należy:
    a.Nadawanie uprawnień i cofanie uprawnień dostępu do przetwarzania danych osobowych w sieci IT w wykonaniu upoważnienia do przetwarzania danych osobowych nadanego przez Administratora;
    b. Instalowanie sprzętu i oprogramowania na sprzęcie Administratora służącym do przetwarzania danych osobowych;
    c. Nadawanie pierwszych loginów i haseł do programów i systemów informatycznych, w których są przetwarzane dane osobowe;
    d. nadzór nad stosowaniem środków zapewniających bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych, a w szczególności przeciwdziałających dostępowi osób niepowołanych do tych systemów, w szczególności czuwanie nad aktualnością oprogramowania antywirusowego;
    e. podejmowanie odpowiednich działań w przypadku stwierdzenia naruszeń w systemie zabezpieczeń lub otrzymania zgłoszenia Incydentu naruszenia zasad bezpieczeństwa i zgłaszanie takich okoliczności Administratorowi.
    f. Sporządzanie kopii zapasowych zgodnie z obowiązującą Instrukcją Zarządzania Systemem Informatycznym.
  3. W przypadku, gdy Fundacja ma zawartą umowę o świadczenie usług IT z podmiotem zewnętrznym obowiązki opisane w ust. 2 Oficer IT wypełnia ze wsparciem tego podmiotu a jego rola sprowadza się do przekazywania niezbędnych informacji pomiędzy Fundacją i osobami upoważnionymi do przetwarzania danych osobowych a zewnętrznym dostawcą usług IT.
  4. Osoba powołana na Oficera IT otrzymuje wskazanie jej zakresu obowiązków z uwzględnieniem tego, czy i w jakim zakresie Administrator korzysta z zewnętrznych usług IT. Jeśli obsługa IT w całości przekazana jest do zewnętrznego podmiotu w Fundacji obowiązki przypisane Oficerowi IT w niniejszej Polityce przypisuje się zewnętrznemu usługodawcy w zawartej z nim umowie o świadczenie usług.

 

V. Obszar przetwarzania danych osobowych

  1. Obszar, w którym przetwarzane są Dane osobowe na terenie Fundacji obejmuje pomieszczenie biurowe oraz magazynowe, szczegółowy opis pomieszczeń, gdzie przetwarzane są dane osobowe znajduje się z załączniku nr 2 do niniejszej Polityki Ochrony Danych wraz ze szczegółowym opisem ochrony pomieszczeń.
  2. Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery przenośne, telefony komórkowe oraz inne nośniki danych znajdujące się poza obszarem wskazanym powyżej.

 

VI. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

  1. Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości Przetwarzanych danych.
  2. Zastosowane środki ochrony (techniczne i organizacyjne) są adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych, Środki obejmują:
    a. Ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej.
    b. Zamykanie pomieszczeń tworzących obszar Przetwarzania danych osobowych określony w pkt IV powyżej na czas nieobecności pracowników, w sposób uniemożliwiający dostęp do nich osób trzecich (drzwi zamykane na klucz, kratownice, alarm, drzwi na kod, gałki w drzwiach). Wykorzystanie zamykanych szafek i sejfów do zabezpieczenia dokumentów.
    c. Wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe.
    d. Ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall.
    e. Wykonywanie kopii awaryjnych danych.
    f. Ochronę sprzętu komputerowego wykorzystywanego u administratora przed złośliwym oprogramowaniem.
    g. Zabezpieczenie dostępu do urządzeń Fundacji przy pomocy haseł dostępu.
    h. Wykorzystanie szyfrowania danych przy ich transmisji.

Szczegółowy opis zabezpieczenia komputerów znajduje się z załączniku nr 3

Szczegółowy opis zabezpieczenia pomieszczeń znajduje się w załączniku nr 2

 

VII. Naruszenia zasad ochrony danych osobowych

  1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
  2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Wzór zgłoszenia określa załącznik 4 do niniejszej polityki.
  3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia
    o incydencie także osobę, której dane dotyczą.
  4. Procedura postępowania osób fizycznych zajmujących poszczególnymi czynnościami przetwarzania danych w przypadku otrzymania jakiegokolwiek żądania od pomiotu danych została opisana w Regulaminie.
  5. W przypadku otrzymania żądania od podmiotu danych Administrator analizuje otrzymane żądanie i bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22 RODO, jeśli żądanie zgłoszono w tym trybie. Administrator może przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań, musi jednak poinformować o takim przedłużeniu w terminie miesiąca od otrzymania żądania, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
  6. Jeżeli Administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
  7. Jeżeli Administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15-21 RODO, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.
  8. Zgłoszone żądania i sposób ich rozpatrzenia wpisywane są do Rejestru otrzymanych żądań na gruncie danych osobowych, którego wzór stanowi załącznik nr 5 do niniejsze Polityki. Do rejestru załącza się także korespondencję dotyczącą każdego z otrzymanych żądań.

 

VIII. Naruszenia zasad ochrony danych osobowych

A. Osoby upoważnione do przetwarzania danych

  1. Każda osoba, która uzyskała upoważnienie do przetwarzania danych osobowych zobowiązana jest do ich ochrony w sposób zgodny z przepisami Rozporządzenia oraz innymi dokumentami obowiązującymi w Fundacji.
  2. Osoba, która otrzymała upoważnienie do przetwarzania danych osobowych jest uprawniona do podejmowania wyłącznie takich czynności, jakie mieszczą się w zakresie udzielonego upoważnienia.
  3. Do przetwarzania danych osobowych może zostać dopuszczona wyłącznie osoba posiadająca pisemne upoważnienie wydane przez Administratora. Administrator posiada również uprawnienie do modyfikowania zakresu i cofania upoważnień.
  4. Pisemne upoważnienie do przetwarzania danych osobowych wskazuje kategorie danych, do których przetwarzania dopuszczona jest dana osoba oraz zakres powierzonych jej czynności przetwarzania, stanowi więc jednocześnie polecenie przetwarzania danych osobowych i obowiązuje tak długo, dopóki nie zostanie cofnięte lub zmodyfikowane przez Administratora. Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik nr 6 do niniejszej Polityki.
  5. Osoba otrzymująca upoważnienie do przetwarzania danych osobowych potwierdza na jednym egzemplarzu jego otrzymanie. Jeden egzemplarz upoważnienia otrzymuje osoba, której ono dotyczy, drugi umieszczany jest w osobnej teczce, w której zbierane są wszystkie upoważnienia do przetwarzania danych osobowych wraz z ewidencją wydawanych upoważnień. Jeśli dana osoba jest pracownikiem kopia upoważnienia powinna zostać przekazana do akt osobowych danej osoby.
  6. Administrator prowadzi rejestr udzielonych upoważnień do przetwarzania danych osobowych zgodnie z wzorem stanowiącym załącznik nr 7 do niniejszej Polityki.
  7. Każdy pracownik przed dopuszczeniem go do przetwarzania danych osobowych zobowiązany jest zapoznać się wszelkimi obowiązującymi w Fundacji dokumentami dotyczącymi danych osobowych. Wzór takiego oświadczenia o zapoznaniu się z dokumentacją stanowi załącznik nr 8 do niniejszej Polityki. Oświadczenia przechowuje się wraz z wydanymi upoważnieniami do przetwarzania danych osobowych.
  8. Na podstawie nadanego upoważnienia do przetwarzania danych osobowych dana osoba otrzymuje od Oficera IT odpowiedni poziom dostępu do systemów i programów komputerowych. Jeśli jest to pierwsze upoważnienie danej osoby przekazywany jest jej login i pierwsze hasło.
  9. Nadawanie zmiana bądź odebranie upoważnia może nastąpić zgodnie ze wskazaniami zamieszczonymi w załączniku 9 do niemniejszej Polityki.
  10. Cofnięcie lub zmiana zakresu upoważnienia są odnotowywane w rejestrze udzielonych upoważnień.

B. Umowy powierzenia przetwarzania danych osobowych

  1. W przypadku, gdy konieczne jest skorzystanie z usług podmiotów zewnętrznych przy czynnościach przetwarzania danych a także w sytuacji, gdy podmioty zewnętrze wykonujące inne usługi przy okazji ich wykonywania uzyskują dostęp do danych osobowych przetwarzanych przez Administratora, Administrator zawiera z nimi umowę o powierzenie przetwarzania danych osobowych
  2. Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO. Wzór umowy o powierzenie przetwarzania danych osobowych znajduje się w załączniku nr 10 do niniejszej polityki.
  3. Przed powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych, czy podmiot zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. W szczególności prosi o przedstawienie: certyfikatów, referencji, oświadczeń, listy dotychczasowych klientów
  4. Rejestr podmiotów, które przetwarzają dane osobowe dla Administratora danych znajduje się w załączniku nr 11

 

IX. Ogólne zasady bezpieczeństwa obowiązujące przy przetwarzaniu danych osobowych- regulamin postępowania z danymi

  1. W celu wdrożenia bezpiecznych zasad postępowania z danymi osobowymi w Fundacji, Administrator opracował i wdrożył Regulamin postępowania z danymi osobowymi w Fundacji stanowiący załącznik nr 12 do niniejszej Polityki. Regulamin w sposób przystępny i jasny objaśnia osobom upoważnionym do przetwarzania danych osobowych zasady postępowania z tymi danymi.
  2. Regulamin powinien być uaktualniany przez Administratora, jeśli taka potrzeba pojawi się w trakcie jego stosowania.

 

X. Przekazywanie danych do państwa trzeciego

  1. Administrator Danych Osobowych nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której dane dotyczą.

 

XI. Zakres zbieranych danych, okres ich przetwarzania i opis struktury zbiorów danych oraz rejestr czynności przetwarzania danych.

  1. Administrator zbiera i przetwarza dane osobowe zawsze na podstawie jednej ze wskazanych w RODO podstaw prawnych, w szczególności są to: niezbędność w celu zawarcia i wykonania umowy, zgoda podmiotu danych, prawnie uzasadniony interes administratora (w tym marketing usług własnych, dochodzenie roszczeń i ochrona przed roszczeniami, prowadzenie statystyk w celu udoskonalania oferty Administratora), wypełnienie obowiązku prawnego ciążącego na Administratorze.
  2. Dane przetwarzane są wyłącznie w celach w jakich zostały zebrane lub o jakich poinformowano podmiot danych przy zmianie celu przetwarzania.
  3. Administrator wykonuje przy zbieraniu danych obowiązek informacyjny przewidziany w art. 13 i 14 RODO. W szczególności obowiązek informacyjny jest realizowany:
    a. Na portalach https://www.mililudzie.org/ oraz https://dostepny.poznan.pl/ poprzez stałe umieszczenie na portalach informacji o zasadach przetwarzania danych osobowych jako osobnej informacji. Wzór informacji o przetwarzaniu danych osobowych, która zostanie zamieszczona na stronach internetowych i będzie udostępniana użytkownikom portalu stanowi załącznik nr 13 do niniejszej Polityki. Obowiązek informacyjny znajduje się również w ogólnodostępnym miejscu w siedzibie Fundacji.
    b. Przed przekazywanie informacji na piśmie przy zawieraniu umów z pracownikami, zgodnie z wzorem stanowiącym załącznik nr 14 do niniejszej Polityki. Kopia informacji z potwierdzeniem zapoznania się z nią wpinana będzie do akt osobowych pracownika. Obowiązek informacyjny dotyczący pracowników znajduje się również w ogólnodostępnym miejscu dla pracowników w siedzibie Fundacji.
    c. Przy prowadzeniu procesów rekrutacyjnych w formie mailowej w odpowiedzi na otrzymane życiorysy lub jako informacja załączona do ogłoszenia o ofercie pracy. Wzór informacji stanowi załącznik nr 15 do niniejszej Polityki;
    d. W przypadku otrzymywania danych w inny niż wskazany powyżej sposób informację o zasadach przetwarzania należy przekazać albo na piśmie albo jako plik pdf. Wzór stanowi załącznik nr 13 do niniejszej Polityki.
  4. Administrator zbiera i przetwarza wyłącznie taki zakres dany jaki jest niezbędny dla prawidłowej realizacji celu przetwarzania, uwzględniając jednocześnie konieczność wyważenia pomiędzy uzasadnionym interesem Administratora a interesami i prawami podmiotów danych.
  5. Administrator dokłada wszelkich starań, żeby dane były prawidłowe i w razie potrzeby uaktualniane, obowiązek ten realizowany jest przede wszystkim poprzez reagowanie na zgłoszone przez podmiot danych żądanie sprostowania a z urzędu we wszystkich tych sytuacjach, gdy Administrator we własnym zakresie dokona ustalenia, że przetwarzane dane są nieprawidłowe. Nie oznacza to jednak obowiązku Administratora weryfikowania danych przekazanych mu przez podmiot danych, o ile obowiązek takiej weryfikacji nie wynika z przepisów prawa.
  6. Okres przetwarzania i przechowywania danych osobowych każdorazowo jest ustalany z uwzględnieniem konieczności wypełnienia celów przechowywania danych, obowiązujących przepisów i wytycznej, aby przechowywanie danych było możliwe jak najbardziej ograniczone w czasie.
  7. W załączniku nr 16 do niniejszej Polityki Administrator opisuje strukturę posiadanych zbiorów danych osobowych, zakres danych w nich przetwarzanych i okres przechowywania.
  8. Administrator zgodnie z wzorem stanowiącym załącznik nr 1 do niniejszej Polityki prowadzi Rejestr czynności przetwarzania, w którym zamieszcza informacje wymagane zgodnie z aktualnie obwiązującymi przepisami (na dzień wdrożenia niniejszej Polityki opisane w art. 30 ust. 1 RODO). Rejestr prowadzony jest w formie papierowej i elektronicznej i stanowi dokument poufny udostępniany wyłącznie osobom posiadającym wyraźne upoważnienie Administratora do dostępu do niego oraz uprawnionym organom.

 

XII. Postępowanie w przypadku danych wrażliwych

  1. W Fundacji przetwarzane są dane wrażliwe pracowników ze względu na fakt, iż jest to działanie niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.
  2. Do przetwarzania danych osobowych może zostać dopuszczona wyłącznie osoba posiadająca pisemne upoważnienie do przetwarzania szczególnej kategorii danych osobowych wydane przez Administratora.

 

XIII. Postępowanie w przypadku danych wrażliwych

  1. Administrator w celu poszukiwania kandydatów do pracy udostępnia w środkach komunikacji masowej ogłoszenia o pracę. Każde ogłoszenie opatrzone jest w klauzulę zgody, której wzór stanowi załącznik nr 17 do niniejszej Polityki. Kandydat do pracy może również wyrazić zgodę na przetwarzanie jego danych w celu dalszych rekrutacji zgodnie z klauzulą zgody stanowiącej załącznik nr 18 do niniejszej Polityki.
  2. W ogłoszeniu administrator zamieszcza również tekst klauzuli informacyjnej bądź odpowiedni odnośnik do pliku pdf, które wzór znajduje się w załączniku nr 15 .
  3. Dane kandydata przesłane do Administratora w formie CV przetwarzane są przez Administratora przez czas wskazany w wzorze zgody stanowiącej załącznik 17 oraz 18 do niniejszej Polityki.
  4. Po upływie okresu na który zgoda kandydata do pracy została udzielona następuje zniszczenie posiadanych przez Fundację danych dotyczących kandydata. Zniszczenie danych potwierdza protokół, którego wzór znajduje się w załączniku nr 19 do niniejszej Polityki.

 

XIV. Kontrola przetwarzania i stanu zabezpieczenia danych zbiorowych osobowych

  1. Nadzór i kontrolę nad ochroną danych osobowych przetwarzanych w Fundacji sprawuje Inspektor Ochrony Danych (dalej również: IOD).
  2. Administrator dokonuje czynności kontrolnych w ramach sprawdzeń zgodności przetwarzania danych osobowych z Regulaminem, RODO i przepisami powszechnie obowiązującymi. Sprawdzenia dokonywane są w następujących trybach:
    a. sprawdzenia planowego – nie rzadziej niż raz w miesiącu;
    b. sprawdzenia doraźnego – w przypadku powzięcia wiadomości o Incydencie lub uzasadnionego podejrzenia wystąpienia Incydentu lub kiedy Administrator uzna to za stosowne.
  3. W toku sprawdzenia IOD dokonuje i dokumentuje czynności, w zakresie niezbędnym do oceny zgodności przetwarzania danych osobowych z przepisami (w szczególności testuje, mierzy i ocenia skuteczność zastosowanych środków technicznych i organizacyjnych) i sporządza protokół sprawdzenia.
  4. Administrator ma prawo do kontroli podmiotów, którym powierzono przetwarzanie danych osobowych w trybie określonym w Polityce, o ile w umowie o powierzeniu przetwarzania danych osobowych istnieją stosowne zapisy w tym zakresie.
  5. Wzór sprawozdania ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych stanowi Załącznik nr 20 do Polityki Bezpieczeństwa

 

XV. Postanowienia końcowe

  1. Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy.
  2. Integralną część niniejszej Polityki bezpieczeństwa stanowią następujące Załączniki:

 

XVI. Załączniki

  1. Załącznik 1

Rejestr czynności przetwarzania danych osobowych

  1. Załącznik 2

Rejestr pomieszczeń wraz ze wskazaniem sposobu ich ochrony

  1. Załącznik 3

Opis zabezpieczenia komputerów

  1. Załącznik 4

Wzór zgłoszenia dotyczącego utraty danych osobowych

  1. Załącznik 5

Rejestr żądań dotyczących udostępnień danych osobowych

  1. Załącznik 6

Wzór upoważnienia do przetwarzania danych osobowych

  1. Załącznik 7

rejestr udzielonych upoważnień do przetwarzania danych osobowych

  1. Załącznik 8

Wzór oświadczenie o zapoznaniu się z dokumentami dotyczącymi ochrony danych osobowych

  1. Załącznik 9

Nadawanie zmiana bądź odebranie upoważnia do przetwarzania danych osobowych

  1. Załącznik 10

Wzór umowy o powierzenie przetwarzania danych osobowych

  1. Załączniku 11

Rejestr podmiotów, które przetwarzają dane osobowe dla Administratora

  1. Załącznik 12

Regulamin postępowania z danymi osobowymi

  1. Załącznik 13

Obowiązek informacyjny

  1. Załącznik 14

Obowiązek informacyjny dla pracowników

 

  1. Załącznik 15

Obowiązek informacyjny CV

  1. Załącznik 16

Ewidencja zbiorów danych

  1. Załącznik 17

Wzór klauzuli zgody na przetwarzanie danych w celu rekrutacji

  1. Załącznik 18

Wzór klauzuli zgody na przetwarzanie danych w celu przyszłej rekrutacji

  1. Załącznik 19

Wzór protokołu usunięcia danych dotyczących procesu rekrutacji

  1. Załącznik 20

Wzór sprawozdania ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych