Polityka ochrony danych osobowych

Wprowadzona uchwałą Nr 17/Z/2020 z dnia 6.09.2020

POLITYKA OCHRONY DANYCH OSOBOWYCH W MIĘDZYZAKŁADOWYM ZWIĄZKU ZAWODOWYM PRACOWNIKÓW GRUPY KĘTY S.A.

§ 1.

Podstawa opracowania

Niniejsza Polityka bezpieczeństwa opracowana została w oparciu o Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, (ogólne rozporządzenie o ochronie danych „RODO”), a także ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000)

§ 2.

Pojęcia i definicje

Użyte w niniejszej Polityce określenia oznaczają:
MZZ – Międzyzakładowy Związek Zawodowy Pracowników Grupy Kęty S.A.
Polityka bezpieczeństwa lub Polityka – rozumie się przez to Politykę Ochrony Danych Osobowych w MZZ
Administrator danych – Administrator Danych Osobowych – Administratorem Danych Osobowych w rozumieniu niniejszej Polityki jest Zarząd MZZ
Użytkownik – rozumie się przez to osobę wyznaczoną i upoważnioną przez Administratora danych do przetwarzania danych osobowych, przeszkoloną w zakresie ochrony tych danych.
Biuro – Biuro MZZ
Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do  zidentyfikowania osoby fizycznej;
Usuwanie danych – rozumie się przez to zniszczenie danych osobowych lub taką ich
modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dotyczą.

Przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane na
            danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;

Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym dostępnych według określonych kryteriów.
System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
Identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym.
Hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.
Uwierzytelnianie — rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.

§ 3.

Cele i zasady funkcjonowania Polityki Ochrony Danych Osobowych

Celem Polityki Ochrony Danych Osobowych  jest:
określenie zasad przetwarzania, ochrony i udostępniania danych osobowych, gromadzonych i przetwarzanych w Międzyzakładowym Związku Zawodowym Pracowników Grupy Kęty S.A. zwanym dalej MZZ oraz nadzoru nad procesem przetwarzania tych danych. zapewnienie zgodności działania MZZ jako Administratora Danych Osobowych z przepisami prawa regulującymi kwestię administrowania i przetwarzania danych osobowych.
Niniejsza Polityka Bezpieczeństwa opisuje w szczególności zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem. Realizując Politykę bezpieczeństwa informacji zapewnia się ich:
poufność – informacja nie jest udostępniana lub ujawniana nieupoważnionym osobom, podmiotom i procesom, integralność – dane nie zostają zmienione lub zniszczone w sposób nie autoryzowany, dostępność – istnieje możliwość wykorzystania ich na żądanie, w założonym czasie, przez autoryzowany podmiot,
rozliczalność – możliwość jednoznacznego przypisania działań poszczególnym osobom,
autentyczność – zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana,  niezaprzeczalność – uczestnictwo w całości lub części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie jest niepodważalne,
niezawodność – zamierzone zachowania i skutki są spójne.
Polityka bezpieczeństwa informacji w MZZ ma na celu zredukowanie możliwości wystąpienia negatywnych konsekwencji naruszeń w tym zakresie, tj.:
naruszeń danych osobowych rozumianych jako prywatne dobro powierzone MZZ;
naruszeń przepisów prawa oraz innych regulacji;
utraty lub obniżenia reputacji MZZ;
strat finansowych ponoszonych w wyniku nałożonych kar;
zakłóceń organizacji pracy spowodowanych nieprawidłowym działaniem systemów.
Realizując Politykę bezpieczeństwa w zakresie ochrony danych osobowych MZZ dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia warunki, aby dane te były:
przetwarzane zgodnie z prawem,
zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
merytorycznie poprawne i adekwatne w stosunku do celu, w jakim są przetwarzane,
przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 

§ 4.

Kompetencje i odpowiedzialność w zarządzaniu bezpieczeństwem danych osobowych

Polityka bezpieczeństwa w MZZ obowiązuje wszystkie osoby realizujące jakiekolwiek zadania w MZZ lub na zlecenie MZZ, niezależnie od podstawy wykonywania tych zadań.
Administrator Danych Osobowych  przetwarza dane osobowe członków MZZ oraz osób współpracujących z MZZ na podstawie umów cywilnoprawnych w związku z realizacją zadań statutowych, przetwarza także dane osobowe uczestników szkoleń, wyjazdów integracyjnych, wczasów i wycieczek organizowanych przez MZZ.
Zarząd MZZ w przyznaje Użytkownikowi dostęp do danych osobowych określając zakres dostępu zgodnie z zasadą wiedzy koniecznej.
Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z upoważnieniem oraz rolą sprawowaną w procesie przetwarzania danych.
Każda z osób mająca styczność z danymi osobowymi jest zobowiązana do ochrony danych osobowych oraz przetwarzania ich w granicach udzielonego jej upoważnienia.

§ 5.

Bezpieczeństwo w przetwarzaniu danych osobowych

Dane osobowe są przetwarzane są przez Administratora danych zarówno w postaci dokumentacji tradycyjnej (papierowej) jak i elektronicznej (Pakiet Microsoft Office, poczta elektroniczna).
Ochrona danych osobowych przetwarzanych w formie tradycyjnej następuje poprzez:
Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych pozostają zawsze pod bezpośrednim nadzorem upoważnionego do ich przetwarzania pracownika.
Opuszczenie pomieszczenia, w których znajdują się zbiory danych osobowych musi być poprzedzone przeniesieniem zbioru danych do odpowiednio zabezpieczonego miejsca.
Przy planowanej dłuższej nieobecności pracownika pomieszczenie winno być zamknięte na klucz. Klucze do szaf, w których przechowywane są dane osobowe mają jedynie pracownicy upoważnieni do przetwarzania danych osobowych w zakresie zgodnym z kategorią danych. Osoby prowadzące dokumentację zobowiązane są do niezwłocznego poinformowania zarząd MZZ o podejrzeniu dostępu do dokumentacji przez osoby nieupoważnione. Osobom przetwarzającym dane  osobowe w formie tradycyjnej zabrania się:
wyrzucania dokumentów zawierających dane osobowe bez uprzedniego ich trwałego zniszczenia,
pozostawiania dokumentów, kopii dokumentów zawierających dane osobowe w drukarkach, kserokopiarkach,
pozostawiania kluczy w drzwiach, szafach, biurkach, zostawiania otwartych pomieszczeń, w których przetwarza się dane osobowe,
pozostawiania bez nadzoru osób trzecich przebywających w pomieszczeniach w których przetwarzane są dane osobowe,
pozostawiania dokumentów na biurku po zakończonej pracy, pozostawiania otwartych dokumentów na ekranie monitora bez blokady konsoli,
ignorowania nieznanych osób z zewnątrz poruszających się w obszarze przetwarzania danych osobowych,
przekazywania informacji będącymi danymi osobowymi osobom nieupoważnionym,
ignorowania zapisów Polityki Bezpieczeństwa
Dane osobowe przetwarzane w systemach informatycznych przechowywane są na serwerach Grupy Kęty S.A. Ochrona danych osobowych przetwarzanych w formie elektronicznej następuje poprzez stosowanie zasad bezpiecznego użytkowania systemu informatycznego właściciela sprzętu tj. Grupy Kęty S.A.
Sprzęt komputerowy stosowany do przetwarzania danych osobowych jest zabezpieczony hasłem składającym się z co najmniej 6 znaków pisanych ciągiem. Hasło zmienia się nie rzadziej niż co 30 dni,
Komputery przenośne wynoszone poza Biuro muszą być zabezpieczane przed nieuprawnionym dostępem do danych w ten sam sposób jak komputery na stałe znajdujące się w Biurze.
Zasady bezpieczeństwa podczas pracy w systemie informatycznym
W celu rozpoczęcia pracy w systemie informatycznym użytkownik:
loguje się do systemu operacyjnego przy pomocy identyfikatora i hasła  (autoryzacja użytkownika w bazie usług katalogowych), loguje się do programów i systemów wymagających dodatkowego   wprowadzenia unikalnego identyfikatora i hasła.
W sytuacji tymczasowego zaprzestania pracy na skutek nieobecności przy stanowisku komputerowym należy uniemożliwić osobom postronnym korzystanie z systemu informatycznego poprzez wylogowanie się z sytemu lub uruchomienie wygaszacza ekranu chroniony hasłem.
W sytuacji gdy wgląd w wyświetlane na monitorze dane może mieć nieuprawniona osoba należy tymczasowo zmienić widok wyświetlany na monitorze lub obrócić monitor (przymknąć ekran laptopa) w sposób uniemożliwiający wgląd w wyświetlaną treść.
Użytkownik wyrejestrowuje się z systemu informatycznego przed wyłączeniem stacji komputerowej poprzez zamknięcie programu przetwarzającego dane oraz wylogowanie się z systemu operacyjnego.
Osobom korzystającym z systemu informatycznego, w którym przetwarzane są dane osobowe zabrania się:
ujawniania loginu i hasła współpracownikom i osobom z zewnątrz,
pozostawiania haseł w miejscach widocznych dla innych osób,
udostępniania stanowisk pracy wraz z danymi osobowymi osobom nieuprawnionym,
udostępniania osobom nieuprawnionym programów komputerowych zainstalowanych w systemie, używania oprogramowania w innym zakresie niż pozwala na to umowa licencyjna, przenoszenia programów komputerowych, dysków twardych z jednego stanowiska na inne, kopiowania danych na nośniki informacji, kopiowania na inne systemy celem wynoszenia ich poza biuro, samowolnego instalowania i używania jakichkolwiek programów komputerowych w tym również programów do użytku prywatnego; programy komputerowe instalują informatycy zatrudnieni przez Grupę Kęty S.A., używania nośników danych udostępnionych przez osoby postronne,
przesyłania dokumentów i danych z wykorzystaniem konta pocztowego prywatnego (nie służbowego), otwierania załączników i wiadomości poczty elektronicznej od nieznanych i „niezaufanych” nadawców, używania nośników danych niesprawdzonych, niewiadomego pochodzenia lub niezwiązanych z wykonywaną pracą;

§ 6.

Udostępnienie danych

Dane osobowe mogą być udostępnione osobom i podmiotom z mocy przepisów prawa.
Dane osobowe mogą być udostępnione osobom i podmiotom w celu realizacji zadań statutowych MZZ.
Dostęp do danych osobowych może mieć wyłącznie osoba zaznajomiona z przepisami ustawy o ochronie danych osobowych. Osoba zaznajomiona z zasadami ochrony danych potwierdza to w pisemnym oświadczeniu.
Każda osoba fizyczna, której dane przetwarzane są przez Administratora, ma prawo zwrócić się z wnioskiem o udzielenie informacji związanych z przetwarzaniem tych danych jak również dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych.
Administrator odmawia udostępnienia danych jeżeli spowodowałoby to naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób.

§ 7.

Postępowanie w przypadku naruszenia danych osobowych

Każdy pracownik który stwierdzi fakt naruszenia bezpieczeństwa danych przez osobę
przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na bezpieczeństwo danych osobowych jest zobowiązany niezwłocznie zgłosić to osobie wyznaczonej przez zarząd MZZ.

Każdy pracownik, który stwierdzi fakt naruszenia bezpieczeństwa danych ma obowiązek podjąć czynności niezbędne do powstrzymania skutków naruszenia ochrony oraz ustalić przyczynę i sprawcę naruszenia ochrony.
W przypadku stwierdzenia naruszenia bezpieczeństwa danych należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia i udokumentowanie zdarzenia oraz nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia osoby wyznaczonej przez zarząd MZZ.
Osoba wyznaczona przez zarząd MZZ podejmuje następujące kroki:
zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości pracy MZZ,
może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych
                   osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem, rozważa celowość i potrzebę powiadamiania o zaistniałym naruszeniu ADO,
nawiązuje kontakt ze specjalistami spoza MZZ (jeśli zachodzi taka potrzeba).
dokumentuje zaistniały przypadek naruszenia bezpieczeństwa danych osobowych
                   sporządzając raport wg wzoru stanowiącego załącznik nr 5 i przekazuje go ADO. zasięga potrzebnych mu opinii i proponuje działania naprawcze (w tym także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych osobowych).

§ 8.

Załączniki

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, tzw. RODO), (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.);
USTAWA z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000)
Ustawa z dnia 23 maja 1991 r. o związkach zawodowych (t.j. Dz. U. z 2019 r. poz. 263);
Statut MZZ Pracowników Grupy Kęty S.A.;
Wzór Deklaracji Członkowskiej ze zgodą na potrącanie składek
Oświadczenie o zachowaniu poufności i zapoznaniu się z przepisami;
Klauzula informacyjna;
Rejestr czynności przetwarzania;
Rejestr naruszeń ochrony danych osobowych;
Raportu z naruszenia bezpieczeństwa danych osobowych