Polityka Prywatności

Ostatnia aktualizacja Lipiec 24, 2024

Postanowienia ogólne

Polityka ochrony danych osobowych (dalej jako Polityka) określa zasady przetwarzania i zabezpieczenia danych osobowych w Fundacji Columbus z siedzibą w Gdańsku (dalej jako Fundacja) zgodnie z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako RODO). Polityka stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 RODO.

Priorytetowym celem zastosowanych przez Fundację i opisanych w niniejszym dokumencie działań jest osiągnięcie optymalnego poziomu bezpieczeństwa przetwarzanych danych osobowych. Podjęte działania mają na celu w minimalizację ryzyka utraty, uszkodzenia lub zniszczenia danych osobowych oraz zabezpieczenia ich przed dostępem osób nieupoważnionych. Na podstawie Polityki ochronie podlegają dane osobowe przetwarzane w systemach informatycznych, na nośnikach papierowych lub elektronicznych. Miejsca, w których przetwarzane są dane osobowe podlegają zabezpieczeniu określonemu na podstawie niniejszej Polityki.

Polityka ma zastosowanie do wszystkich danych osobowych, jakie przetwarzane są w ramach realizowanych przez Fundację procesów i świadczonych usług. Obowiązek ochrony danych osobowych przetwarzanych w Fundacji obejmuje wszystkie osoby mające dostęp do tych danych, bez względu na zajmowane stanowisko miejsce jej wykonywania czy charakter stosunku pracy lub charakter współpracy z Fundacją.

Każda osoba, która w związku z realizacją zadań ma dostęp do danych osobowych, będzie mogła je przetwarzać wyłącznie na podstawie otrzymanego upoważnienia. Osoby mające dostęp do danych osobowych zobowiązane są do zapoznania się z Polityką i dokumentami powiązanymi oraz do przestrzegania ich zapisów.

Użyte w Polityce zwroty oznaczają:

  • Administrator danych osobowych (ADO) – Fundacja Columbus. z siedzibą w Gdańsku, jako podmiot decydujący o celach i środkach przetwarzania danych osobowych, Dane osobowe – informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, której tożsamość możliwa jest do określenia bezpośrednio lub pośrednio na podstawie tych informacji, w tym w szczególności identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
  • Dane osobowe wrażliwe – dane o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, jak również dane o stanie zdrowia, kodzie genetycznym, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane o nałogach, życiu seksualnym, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
  • Hasło – ciąg znaków, wymagany do pracy w systemie informatycznym, znany jedynie osobie uprawnionej.
  • Identyfikator użytkownika (login) – ciąg znaków jednoznacznie identyfikujący osobę upoważnioną do pracy w systemie informatycznym.
  • Naruszenie danych osobowych – naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  • Obszar przewarzania danych osobowych – pomieszczenia lub części pomieszczeń, w których są przetwarzane dane osobowe, zarówno w formie papierowej jak i w systemie informatycznym.
  • Odbiorca danych – każdy, komu udostępnia się dane osobowe. Podmiot przetwarzający (Procesor) – podmiot, który przetwarza dane w imieniu.
  • Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  • PUODO – Prezes Urzędu Ochrony Danych Osobowych.
  • RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
  • System informatyczny – zespół powiązanych wzajemnie urządzeń i programów, zastosowanych w celu przetwarzania danych. UODO – ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych, a także wszelkie jej nowelizacje oraz wytyczne/rekomendacje organu nadzorującego.
  • Uwierzytelnianie – działanie weryfikujące deklarowaną tożsamości podmiotu.
  • Zabezpieczenie danych w systemie informatycznym – wdrożenie i stosowanie środków technicznych i organizacyjnych zapewniających ochronę danych.
  • Zasób danych osobowych – wszystkie dane osobowe niezależnie od sposobu ich utrwalenia, zarówno w formie elektronicznej – w systemie informatycznym oraz na nośnikach (płyty CD,DVD, BD, pamięci flash i inne) jak i papierowej, przetwarzane przez pracowników lub współpracowników Fundacji w celu realizacji ich zadań.
  • Zgoda osoby, której dane dotyczą – dobrowolne, wyraźne, świadome i jednoznaczne okazanie woli poprzez oświadczenie lub wyraźne działanie potwierdzające, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie.

Organizacja procesu ochrony danych osobowych

ADO dokłada szczególnej staranności w celu ochrony interesów osób, których dane przetwarza, a w szczególności zobowiązuje się zapewnić, aby dane osobowe przetwarzane były w zgodzie z poniższymi zasadami:

  1. zasadą legalności, rzetelności i przejrzystości oznaczającą, iż dane przetwarzane są zgodnie z obowiązującym porządkiem prawnym, w sposób rzetelny i przejrzysty;
  2. zasadą celowości i ograniczenia celu przetwarzania oznaczającą, iż dane przetwarzane są dla oznaczonego i zgodnego z prawem celu i nie są dalej przetwarzane w sposób nie odpowiadający realizacji tego celu;
  3. zasadą minimalizacji danych oznaczającą, iż zakres przetwarzanych danych jest adekwatny, proporcjonalny w stosunku do celu ich przetwarzania;
  4. zasadą merytorycznej poprawności oznaczającą, iż przetwarzane dane są prawidłowe i na bieżąco aktualizowane;
  5. zasadą ograniczenia czasowego oznaczającą, iż dane są przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne dla osiągnięcia celu przetwarzania;
  6. zasadą integralności i poufności danych oznaczającą, że dane są przetwarzane w sposób zapewniający ich ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, ich utratą, zniszczeniem lub uszkodzeniem.

ADO ponadto:

  1. podejmuje działania w celu zapewniania przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:
    1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
    2. nadzorowanie opracowania i aktualizowania dokumentacji w zakresie ochrony danych osobowych;
    3. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  2. zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do systemu informatycznego oraz komu są przekazywane;
  3. upoważnia poszczególne osoby do przetwarzania danych osobowych w określonym indywidualnym zakresie, odpowiadającym zakresowi obowiązków (wzór upoważnienia stanowi załącznik nr 1) i przechowuje nadane upoważnienia;
  4. obowiązuje pracownika/współpracownika upoważnionego do przetwarzania danych osobowych do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia (wzór oświadczenia stanowi załącznik nr 1 );
  5. prowadzi aktualną ewidencję osób upoważnionych do przetwarzania danych osobowych (wzór ewidencji stanowi załącznik nr 2);
  6. prowadzi rejestr podmiotów, którym powierzył przetwarzanie danych osobowych na mocy zawartych umów powierzenia przetwarzania danych osobowych (wzór rejestru stanowi załącznik nr 3);
  7. odnotowuje informacje o udostępnieniu danych.
  8. odnotowuje odwołanie zgody na przetwarzanie danych osobowych w konkretnym zakresie bądź celu (wzór rejestru osób, które odwołały zgodę na przetwarzanie danych.

ADO odnotowuje przypadki, kiedy osoba, której dane dotyczą, wniesie:

  1. żądanie podania informacji czy dane osobowe tej osoby są przetwarzane przez ADO,
  2. żądanie dostępu do jej danych osobowych;
  3. żądanie sprostowania danych osobowych;
  4. żądanie usunięcia jej danych osobowych;
  5. żądanie ograniczenia przetwarzania jej danych osobowych;
  6. żądanie przeniesienia jej danych osobowych;
  7. sprzeciw wobec przetwarzania jej danych osobowych;

Upoważnienie osób do przetwarzania danych osobowych

Wszystkie osoby, które wykonują czynności związane z przetwarzaniem danych osobowych w Fundacji, w ramach wykonywania zadań służbowych lub prac zleconych, muszą posiadać pisemne upoważnienie do przetwarzania danych osobowych oraz podpisać oświadczenie o zachowaniu tajemnicy danych osobowych. Upoważnienia do przetwarzania danych osobowych pracownikom zatrudnionym na umowę o pracę, umowę zlecenie lub umowę o dzieło nadaje wspólnik upoważniony do reprezentacji Fundacji. Każda osoba upoważniona do przetwarzania danych osobowych przechodzi szkolenie z zasad ochrony danych osobowych.

Osoba upoważniona przez ADO do przetwarzania danych osobowych może przetwarzać dane osobowe wyłącznie przez okres i w zakresie wskazanym w upoważnieniu. Zabrania się udostępniania przetwarzanych danych osobowych osobom, które nie mają upoważnienia o takim samym zakresie przetwarzania, w tym rodzinie pracownika/współpracownika. Każda osoba (pracownik/współpracownik), która na rzecz ADO pozyskuje dane osobowe bezpośrednio od osób, których dane dotyczą, zobowiązana jest dopełnić obowiązku informacyjnego wobec tych osób, zgodnie z wymogiem art. 13 RODO. Każda osoba (pracownik/współpracownik), która na rzecz Administratora danych pozyskuje w sposób pośredni dane osobowe, zobowiązana jest dopełnić obowiązku informacyjnego wobec osoby, której dane pozyskała, zgodnie z wymogiem art. 14 RODO. Każda osoba (pracownik/współpracownik) ma prawo udostępnić dane osobowe podmiotowi trzeciemu wyłącznie pod warunkiem uzyskania wcześniejszej akceptacji ADO.

Każda osoba przetwarzająca dane osobowe zobowiązana jest:

  1. użytkując służbowy komputer (stacjonarny lub przenośny) każdorazowo logować się na własne konto użytkownika za pomocą Indywidualnego identyfikatora i Hasła;
  2. logując się do systemu przetwarzającego dane osobowe, stosować hasła dostępu o długości nie krótszej niż 9 znaków – ustawione hasło musi zawierać co najmniej jedną dużą literę, jedną małą literę i jedną cyfrę lub znak specjalny. Hasło winno być zmieniane nie rzadziej niż co 30 dni;
  3. nie zapisywać hasła wymaganego do uwierzytelnienia w systemie informatycznym w łatwo dostępnych miejscach, jak obudowa monitora, spód klawiatury, podkładka pod myszkę, szuflada/szafka biurka, tablica informacyjna itp.;
  4. nie udostępniać swojego Hasła i loginu do systemu informatycznego innym pracownikom lub współpracownikom bądź osobom postronnym;
  5. użytkując komputer służbowy, ustawić ekran monitora komputerowego tak, by osoby niepowołane nie mogły oglądać wyświetlanych na nim treści;
  6. nie pozostawiać bez kontroli dokumentów, nośników z danymi osobowymi i sprzętu komputerowego w miejscach niezabezpieczonych;
  7. nie wynosić dokumentacji z danymi osobowymi, nośników oraz komputerów przenośnych poza Obszar przetwarzania danych osobowych bez wiedzy i akceptacji ADO. W przypadku uzyskania akceptacji ADO, pracownik/współpracownik zobowiązany jest zachować szczególną ostrożność podczas wynoszenia dokumentacji z danym osobowymi, nośników oraz komputerów przenośnych poza Obszar przetwarzania danych osobowych (nie pozostawiać wymienionych przedmiotów w samochodzie, nie udostępniać członkom rodziny, zaszyfrować dane na nośnikach itp.).
  8. odbierać wydruki/kopie dokumentów z drukarki niezwłocznie po zakończeniu korzystania z urządzenia;
  9. zabezpieczyć hasłem dostęp do plików z danymi osobowymi przesyłanymi drogą mailową. Stosowane hasło musi spełniać wymogi wskazane w pkt 6b;
  10. użytkować prywatny komputer w celach służbowych jedynie w przypadku uzyskania akceptacji ADO oraz z zastosowaniem środków bezpieczeństwa wskazanych w dokumentacji ochrony danych osobowych obowiązującej u ADO;
  11. stosować wygaszacz ekranu zabezpieczony hasłem–po upływie 5 minut braku aktywności ze strony użytkownika dostęp do systemu winien zostać automatycznie zablokowany, a odblokowanie odbywać się poprzez uwierzytelnienie się za pomocą loginu i Hasła;
  12. nie kopiować danych osobowych na nośniki magnetyczne, optyczne i inne bez zgody ADO; w przypadku uzyskania zgody ADO nośnik zewnętrzny, na który skopiowane zostaną dane osobowe, należy zaszyfrować oraz przechowywać w miejscu nieodstępnym dla osób nieupoważnionych (szafy zamykane na klucz). Po ustaniu przydatności tych kopii dane należy trwale skasować lub fizycznie zniszczyć nośniki, na których są przechowywane.
  13. dokumenty zawierające dane osobowe niszczyć wyłącznie w niszczarce;
  14. nie pozostawiać w Obszarze przetwarzania danych osobowych osób postronnych, bez obecności osoby upoważnionej do przetwarzania danych;
  15. w przypadku opuszczenia pomieszczenia przez ostatnią osobę upoważnioną do przetwarzania danych osobowych, zabezpieczyć obszar przetwarzania danych przed nieuprawniony dostępem;
  16. nie wysyłać za pomocą wiadomości e-mail danych osobowych na prywatne adresy, nie kopiować danych na inne nośniki bez uzasadnionej potrzeby;
  17. nie opuszczać stanowiska bez zabezpieczenia dokumentów papierowych, zawierających dane osobowe (zasad „czystego biurka”) oraz bez zabezpieczenia dostępu do danych przetwarzanych w systemie informatycznym zasada „czystego ekranu”);
  18. niezwłocznie powiadomić ADO o wystąpieniu lub podejrzeniu wystąpienia zdarzenia zagrażającego bezpieczeństwu danych osobowych;
  19. zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia, zarówno w trakcie trwania współpracy ze Spółką, jak i po jej ustaniu;
  20. niezwłocznie powiadomić ADO o naruszeniu lub podejrzeniu naruszenia ochrony danych osobowych.

Prowadzenie rejestrów czynności przetwarzania danych osobowych

W Fundacji prowadzone są rejestry przetwarzania danych osobowych, zgodnie z wymaganiami art. 30 RODO w stosunku do danych, których Fundacja jest administratorem.

  1. Za prowadzenie rejestrów czynności przetwarzania odpowiedzialna jest osoba wyznaczona przez ADO.
  2. Osoba wyznaczona przez ADO inwentaryzuje procesy przetwarzania danych osobowych w Fundacji, przypisując do nich określone czynności przetwarzania danych osobowych.
  3. Osoba, o której mowa w ust. 1 i 2 powyżej okresowo dokonuje przeglądów procesów przetwarzania danych osobowych w celach aktualizacji prowadzonych rejestrów.

Realizacja obowiązków przy przetwarzaniu danych osobowych

Osoby, które zbierają dane osobowe mają obowiązek zachowania szczególnej staranności przy ich zbieraniu, w tym:

  1. sprawdzić podstawy prawne pozyskania danych osobowych zgodnie z art. 6, 9 i 10RODO;
  2. zbierać dane osobowe dla zgodnych z prawem celów realizowanych w Fundacji
  3. zbierać dane w zakresie adekwatnym do celów w jakich będą one przetwarzane.

W przypadku konieczności odbierania zgody na przetwarzanie danych osobowych, należy zapewnić dobrowolność jej pozyskania oraz powiadomić każdą osobę oprawie do odwołania tej zgody.

Osoby, które wykonują zadania związane ze zbieraniem danych osobowych są odpowiedzialne za realizacje obowiązków informacyjnych określonych w art. 13 i 14 RODO. Odpowiednie klauzule informacyjne powinny być również odczytywane w przypadku zbierania danych osobowych przez telefon.

Dane osobowe zbierane w ramach procesów realizowanych przez Fundację są przetwarzane przez czas określony przez właściwe przepisy prawa lub przyjęte wewnętrznie w Fundacji instrukcje lub regulaminy. Dane osobowe, dla których okres przetwarzania nie wynika z obowiązujących przepisów prawa i dla których nie jest możliwe określenie z góry tego okresu są przetwarzane tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla ich przetwarzania. Ustanie celu przetwarzania jest równoznaczne z koniecznością usunięcia danych osobowych. Dane osobowe przetwarzane wyłącznie w oparciu o przesłankę zgody na przetwarzanie danych osobowych są usuwane zawsze niezwłocznie po wycofaniu takiej zgody. Co najmniej jeden raz w roku w Fundacja odbywa się weryfikacja zasobów danych osobowych prowadzonych w formie papierowej i elektronicznej, obejmująca sprawdzenie czy dane osobowe, dla których upłynął okres przechowywania zostały usunięte, jak również czy nadal istnieje podstawa prawna przetwarzania oraz cel przetwarzania danych osobowych. W przypadku ustalenia w trakcie weryfikacji, że okres przetwarzania danych osobowych upłynął bądź nie istnieje podstawa prawna lub cel przetwarzania danych osobowych, dane osobowe powinny zostać trwale usunięte z nośników papierowych, elektronicznych oraz z systemów informatycznych.

W przypadku powierzenia czynności przetwarzania danych osobowych zewnętrznemu podmiotowi (procesorowi), należy zawrzeć z nim umowę powierzenia przetwarzania danych osobowych. W trakcie dokonywania wyboru podmiotu przetwarzającego należy zweryfikować czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których dane dotyczą.

Infrastruktura przetwarzania danych osobowych

  1. Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczenia danych osobowych realizowany jest w oparciu o szacownie ryzyka naruszenia praw i wolności osób, których dane dotyczą.
  2. Ustalone wymagania dotyczące zabezpieczenia danych osobowych w odniesieniu dodanego procesu przetwarzania danych osobowych są odnotowywane przez osoba wyznaczoną przez ADO w prowadzonych rejestrach czynności przetwarzania danych osobowych.
  3. Planowanie realizacji nowych procesów przetwarzania danych osobowych musi uwzględniać zasady ochrony danych osobowych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych osobowych (privacy by default).
  4. W przypadku realizacji procesów przetwarzania danych osobowych, które z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania należy dokonać oceny skutków planowanych operacji dla ochrony danych osobowych, zgodnie z art. 35 RODO.
  5. Wykonanie oceny sutków dla danego procesu przetwarzania danych osobowych jest konsultowane ze specjalistą z zakresu ochrony danych osobowych, który stwierdza czy w danym przypadku takie działanie jest konieczne.
  6. Osoba wskazana przez ADO jako odpowiedzialna za prowadzenie rejestrów przetwarzania danych osobowych, w rejestrach przetwarzania danych osobowych wskazuje procesy, dla których należy przeprowadzić ocenę skutków oraz odnotowuje jej przeprowadzenie.
  7. W przypadku konieczności przeprowadzenia konsultacji z organem nadzorczym, osoba o której mowa w ust. 4 powyżej przygotowuje odpowiedni wniosek zgodnie z art. 36 RODO i kontaktuje się w tej sprawie z PUODO.

Postępowanie w sytuacji naruszenia ochrony danych

W przypadku stwierdzenia naruszenia ochrony danych osobowych oraz prawdopodobieństwa zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, informacja o naruszeniu powinna być zgłoszona do PUODO. Zgłoszenie naruszenia przygotowuje osoba wyznaczona do tego przez ADO w ciągu 72 godzin po stwierdzeniu naruszenia. Zgłoszenie przekazywane jest do PUODO w formie elektronicznej za pomocą systemu informatycznego zgodnie z trybem określonym przez organ.

  1. Jeżeli ujawnione naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o naruszeniu należy zawiadomić wszystkie osoby, których dane dotyczą.
  2. Osoba wyznaczona do spraw ochrony danych osobowych w Spółce, decyduje o tym, czy w świetle art. 34 ust. 3 RODO konieczne będzie zawiadomienie osób, których dane dotyczą.
  3. Wszystkie ujawnione naruszenia ochrony danych osobowych są rejestrowane przez osobę, o której mowa w ust. 2 powyżej.

Monitorowanie realizacji obowiązków RODO

  1. Osoba wyznaczona do spraw ochrony danych osobowych w Spółce lub podmiot zewnętrzny przeprowadza okresowe audyty w zakresie przestrzegania procedur ochrony danych osobowych.
  2. Wyniki monitorowania przedstawiane są wspólnikom.
  3. Podmioty, o których mowa w ust. 1 powyżej okresowo weryfikują zgodność dokumentacji przetwarzania danych osobowych z przepisami i odpowiadają za ich aktualizację.
  4. Monitorowanie realizacji obowiązków RODO może odbywać się w kontekście przyjętych kodeksów postępowania.

Przepisy końcowe

Polityka jest dokumentem wewnętrznym i nie może być udostępniana osobom postronnym. W przypadku aktualizowania Polityki tworzy się nową wersję dokumentu, nadając jej kolejny numer. W kwestiach nieuregulowanych w niniejszym dokumencie znajdują zastosowanie przepisy RODO. Polityka wchodzi w życie z dniem podpisania