POLITYKA OCHRONY DANYCH OSOBOWYCH

W STOWARZYSZENIU EMERYTÓW RENCISTÓW I INWALIDÓW
„JESIENNE MARZENIA” W HALINOWIE

---

Spis treści

---

Rozdział  I

Przepisy Ogólne

Art. 1. Informacje wstępne

1. Polityka ochrony danych osobowych zwana dalej „Polityką” jest dokumentem wewnętrznym STOWARZYSZENIA EMERYTÓW RENCISTÓW I INWALIDÓW „JESIENNE MARZENIA” W HALINOWIE– zwanego dalej również „Jednostką”, opisującym zasady ochrony danych osobowych stosowane przez Administratora w celu spełnienia wymagań wynikających z:
2. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1, sprost.: Dz. Urz. UE L 127 z 23.05.2018, s. 2);
3. ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j. Dz. U. z 2019 r. poz. 1781);
4. rozporządzenia Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2024 r. poz. 773);
5. przepisów szczególnych, regulujących funkcjonowanie Jednostki i przetwarzanych w ramach jej działalności danych osobowych;
6. dobrych praktyk z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych.       

Art. 2. Zakres stosowania Polityki

1. Polityka ma zastosowanie do danych osobowych przetwarzanych w systemach informatycznych (sposób zautomatyzowany) oraz w postaci papierowej (sposób niezautomatyzowany).
2. Środki techniczne i organizacyjne ujęte w Polityce mają również zastosowanie do danych osobowych przetwarzanych w projektach finansowanych ze środków zewnętrznych, chyba że umowa projektowa stanowi inaczej.

Art. 3. Deklaracja stosowania

1. Administrator ustanawia Politykę oraz deklaruje:
2. podejmowanie wszystkich działań niezbędnych dla zapewnienia legalności przetwarzanych danych;
3. stałe podnoszenie świadomości oraz kwalifikacji osób przetwarzających dane
   w zakresie problematyki bezpieczeństwa tychże danych;
4. stosowanie adekwatnych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanym danym;
5. dążenie do zapewnienia poufności, dostępności oraz integralności danych osobowych.

Art. 4. Definicje

1. Administrator /AD/ –   osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
2. Aktywa – wszelkie elementy posiadające wartość dla Jednostki (zasoby ludzkie, finansowe, informacyjne, organizacyjne, technologiczne i fizyczne) mogące służyć do przetwarzania danych osobowych.
3. Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
4. Dane osobowe zwykłe – wszelkie dane osobowe nienależące do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, jak również danych dotyczących wyroków skazujących lub czynów zabronionych.
5. Szczególne kategorie danych osobowych – dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej (w tym o korzystaniu z usług opieki zdrowotnej) ujawniające informacje o stanie jej zdrowia; dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych,  dane genetyczne, dane biometryczne (przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej) oraz dane dotyczące seksualności lub orientacji seksualnej osoby fizycznej.
6. Dane dotyczące wyroków skazujących i czynów zabronionych – dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa, które można przetwarzać wyłącznie pod nadzorem władz publicznych lub gdy pozwalają na to przepisy prawa krajowego lub prawa unijnego.
7. Kopia zapasowa – kopia danych lub oprogramowania, której celem wykonania jest odtworzenie systemu po awarii.
8. Jednostka – STOWARZYSZENIE EMERYTÓW RENCISTÓW I INWALIDÓW „JESIENNE MARZENIA” W HALINOWIE;
9. Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
10. Odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią;
    Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców – przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.
11. Ograniczenie przetwarzania – oznaczenie przechowywanych danych osobowych
    w celu ograniczenia ich przyszłego przetwarzania.
12. Podatność – słabość aktywu (zasobu) lub zabezpieczenia, które może być wykorzystane przez jedno lub więcej zagrożeń.
13. Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora.
14. Polityka – niniejsza Polityka ochrony danych osobowych.
15. Przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
16. Rejestr czynności przetwarzania danych osobowych – rejestr czynności przetwarzania danych osobowych, o którym stanowi art. 30 ust. 1 RODO.
17. Rejestr wszystkich kategorii czynności przetwarzania – rejestr wszystkich kategorii czynności przetwarzania, o którym stanowi art. 30 ust. 2 RODO.
18. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
    z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
19. Ryzyko – potencjalna sytuacja, w której określone zagrożenie wykorzystując podatność aktywów lub grupy aktywów powodować może chociażby potencjalną szkodę majątkową lub niemajątkową dla Jednostki.
20. System informatyczny – system przetwarzania danych, w tym danych osobowych, łącznie z zasobami technicznymi (stanowisko pracy, jednostka centralna, system zarządzania, sieć teletransmisyjna), pracownikami oraz określonym obszarem działania (pomieszczenia).
21. Moduł systemu informatycznego – dedykowana część systemu informatycznego przetwarzającego dane osobowe.
22. Szacowanie ryzyka – proces identyfikowania i analizy ryzyka oraz jego oceny.
23. Użytkownik – osoba posiadająca dostęp do danych osobowych przetwarzanych w Jednostce.
24. Użytkownik systemu informatycznego – osoba posiadająca dostęp do systemu informatycznego przetwarzającego dane osobowe w Jednostce.
25. Zagrożenie – niepożądane działanie lub sytuacja, która może niekorzystnie wpłynąć na prawidłowość oraz bezpieczeństwo procesów realizowanych w Jednostce, potencjalna przyczyna wystąpienia incydentu.
26. Zarządzanie ryzykiem – skoordynowane działania podejmowane w celu systematycznego stosowania zasad zarządzania, procedur, instrukcji a także kierowania i sterowania Jednostką z uwzględnieniem oszacowanego ryzyka.
27. Zgoda – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

 

Rozdział  II

Bezpieczeństwo Danych Osobowych

Art. 5. Podmioty odpowiedzialne za ochronę i przetwarzanie danych osobowych

1.      Administrator

1. wdraża odpowiednie środki techniczne i organizacyjne, mające na celu zabezpieczanie przetwarzanych danych oraz zapewnianie poufności, integralności i dostępności danych;
2. podejmuje odpowiednie działania w przypadku naruszenia ochrony danych osobowych lub podejrzenia naruszenia ochrony danych osobowych, zgodnie
   z procedurą stanowiącą integralną część Polityki ochrony danych osobowych;
3. upoważnia poszczególne osoby do przetwarzania danych osobowych
   w określonym indywidualnie zakresie;
4. nadaje lub zatwierdza Użytkownikom uprawnienia do pracy w systemach informatycznych wykorzystywanych przez Jednostkę;
5. podejmuje decyzje dotyczące przeprowadzenia oceny skutków planowanych operacji przetwarzania danych;
6. prowadzi Rejestr czynności przetwarzania danych osobowych oraz Rejestr wszystkich kategorii czynności przetwarzania;
7. opracowuje i wdraża Politykę ochrony danych osobowych wraz z załącznikami;
8. dopełnia wszelkich pozostałych obowiązków wymaganych przez RODO i inne przepisy regulujące zasady przetwarzania danych osobowych w Jednostce;
9. w momencie projektowania / planowania nowych działań, które będą wiązały się z bezpośrednio lub pośrednio z przetwarzaniem danych osobowych (tzw. privacy by design) zobligowany jest do:
10. przedstawienia opisu planowanego procesu przetwarzania danych osobowych i dokonania analizy zawierającej:
11. szczegółową podstawę prawną podjęcia działań w projektowanym procesie, w tym w odniesieniu do podstawy legalizującej przetwarzanie danych osobowych (art. 6 ust. 1 lub 9 ust. 2 RODO),
12. zakres kategorii osób oraz rodzaju danych osobowych, które będą przetwarzane w planowanym procesie,
13.  przewidywane zasoby techniczno-organizacyjne (tj. materialne, sprzętowe oraz osobowe),
14. proponowane zabezpieczenia techniczno-organizacyjne,
15. planowane terminy retencji danych,
16. potencjalne ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze w odniesieniu do zagrożeń wewnętrznych i zewnętrznych,
17. potencjalnych odbiorców gromadzonych danych osobowych,
18. przeprowadza analizę ryzyka. 
19. przydziela Użytkownikom identyfikator i hasło do systemu informatycznego oraz dokonuje ewentualnych modyfikacji uprawnień, zgodnie z zasadami określonymi w Polityce ochrony danych osobowych oraz właściwych przepisach prawa;
20. dokonuje lub zleca naprawy i konserwację sprzętu komputerowego;
21. podejmuje działania służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej teletransmisji;
22. w sytuacji stwierdzenia naruszenia zabezpieczeń systemu informatycznego  usuwa skutki naruszenia;

2.      Użytkownicy

1. Użytkownicy dopuszczeni przez Administratora do przetwarzania danych osobowych zobowiązani są do:
2. udziału w szkoleniach z zakresu ochrony danych osobowych,
3. zapoznania się z przepisami prawa w zakresie ochrony danych osobowych,
4. niezwłocznego zawiadomienia przełożonego o naruszeniach ochrony danych osobowych,
5. stosowania określonych przez Administratora procedur i środków mających na celu zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym.

2)   Użytkownik w celu właściwego zapewnienia ochrony danych osobowych zobowiązany jest m. in. do:

1. niszczenia dokumentów w niszczarce,
2. realizacji obowiązku informacyjnego wobec osób, których dane dotyczą,
3. zbierania tylko tych danych, które są wymagane do realizacji usługi, o którą wystąpił petent Jednostki,
4.  weryfikacji tożsamości osoby przed udzieleniem jej informacji drogą telefoniczną,
5. zahasłowania załącznika zawierającego dokumenty z danymi osobowymi, zanim zostanie przesłany drogą e-mail,  
6. nieotwierania załączników pochodzących z niewiadomego źródła,
7. niezapamiętywania swoich haseł w przeglądarkach,
8. dokonania anonimizacji danych w dokumentach udostępnianych w trybie informacji publicznej, o ile przepisy szczególne nie stanowią inaczej,
9. zabezpieczania dokumentów papierowych po zakończonej pracy przed dostępem osób nieupoważnionych,
10. zgłaszania wszystkich incydentów bezpieczeństwa lub ochrony danych do Administratora,

Art. 6. Zasady ochrony danych osobowych

1. Administrator zapewnia, aby przetwarzanie danych osobowych odbywało się
   z poszanowaniem następujących zasad:
2. dane osobowe muszą być przetwarzane zgodnie z prawem (legalizm);
3. dane osobowe muszą być przetwarzane rzetelnie i uczciwie (rzetelność);
4. dane osobowe muszą być przetwarzane w sposób przejrzysty dla osoby, której dane dotyczą (przejrzystość);
5. dane osobowe muszą być przetwarzane w sposób adekwatny, stosowny oraz ograniczony do tego co niezbędne do celów, w których dane są przetwarzane (minimalizacja);
6. dane osobowe muszą być przetwarzane z dbałością o prawidłowość i aktualność danych (prawidłowość);
7. dane osobowe muszą być przetwarzane nie dłużej niż to jest niezbędne do osiągnięcia celu przetwarzania danych osobowych (ograniczenie przechowywania);
8. dane osobowe muszą być przetwarzane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu);
9. dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych (bezpieczeństwo).

Art. 7. Podstawy dopuszczalności przetwarzania danych osobowych

1. Przetwarzanie danych osobowych zwykłych dopuszczalne jest tylko wtedy, gdy zostanie spełniona jedna z przesłanek wynikających z art. 6 ust. 1 RODO.
2. W przypadku przetwarzania szczególnych kategorii danych osobowych podstawą dopuszczalności przetwarzania danych mogą być wyłącznie przesłanki wynikające z art. 9 ust. 2 RODO.
3. W przypadku przetwarzania danych osobowych dotyczących wyroków skazujących
   i czynów zabronionych powinna zostać spełniona jedna z przesłanek wymienionych w art. 10 RODO.
4. W przypadku przetwarzania danych osobowych na podstawie zgody osoby, której dane dotyczą należy stosować oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych, którego wzór stanowi załącznik nr 1 do Polityki (wzór służy do konstruowania szczegółowych zgód na przetwarzanie danych osobowych), wzór oświadczenia o wycofaniu zgody na przetwarzanie danych osobowych znajduje się w załączniku nr 2.

Art. 8. Obowiązek informacyjny przy przetwarzaniu danych

1. Administrator realizuje obowiązek informacyjny w stosunku do osób fizycznych, od których bezpośrednio są zbierane dane osobowe zgodnie z art. 13 ust. 1 i 2 RODO oraz w stosunku do osób, których dane zostały zebrane z innego źródła, aniżeli bezpośrednio od osoby, której dane dotyczą zgodnie z art. 14 ust.1 i 2 RODO.
2. Zwolnienie z realizacji obowiązku informacyjnego wynikającego z art. 13 ust. 1 i 2 RODO znajduje zastosowanie w sytuacji, gdy osoba, której dane dotyczą dysponuje już tymi informacjami oraz w przypadkach uregulowanych w powszechnie obowiązujących przepisach prawa.
3. Wzór ogólny klauzuli informacyjnej zawierającej informacje, o których mowa w art. 13 ust. 1 i 2 RODO – służącej za podstawę do konstruowania szczegółowych klauzul informacyjnych na potrzeby Jednostki, stanowi załącznik nr 3 do Polityki.
4. Administrator realizuje obowiązek informacyjny z art. 13 ust. 1 i 2 RODO w jeden z następujących sposobów:
5. co do zasady obowiązek informacyjny należy spełnić poprzez przekazanie klauzuli informacyjnej w momencie zbierania danych osobowych, o których mowa w art. 13 ust. 1 i 2 RODO przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie;
6. poprzez dołączenie klauzuli informacyjnej spełniającej obowiązek informacyjny do formularzy przygotowanych przez stowarzyszenie, dostępnych za pośrednictwem strony internetowej stowarzyszenia oraz w jego siedzibie;
7. poprzez zamieszczenie klauzuli informacyjnej spełniającej obowiązek informacyjny w odpowiedniej zakładce strony internetowej stowarzyszenia

oraz w sposób szczegółowo wskazany w źródłach prawa powszechnie obowiązującego.

• Wzór ogólny klauzuli informacyjnej zawierającej informacje, o których mowa w art. 14 ust. 1 i 2 RODO, służącej za podstawę do konstruowania szczegółowych klauzul informacyjnych na potrzeby Jednostki, stanowi załącznik nr 4 do Polityki.
• Zwolnienie z realizacji obowiązku informacyjnego na podstawie art. 14 ust. 1 i 2 RODO znajduje zastosowanie w sytuacji, gdy zostanie spełniona jedna z przesłanek wyszczególnionych w art. 14 ust. 5 RODO.
• Administrator realizuje obowiązek informacyjny z art. 14 ust. 1 i 2 RODO w jeden
  z następujących sposobów: 
• poprzez zamieszczenie klauzuli informacyjnej spełniającej obowiązek informacyjny w odpowiedniej zakładce strony internetowej stowarzyszenia

oraz w sposób szczegółowo wskazany w źródłach prawa powszechnie obowiązującego.

Art. 9. Prawa osób, których dane dotyczą

1. Osobie, której dane są przetwarzane przysługują następujące prawa:
2. prawo dostępu do danych;
3. prawo do sprostowania danych;
4. prawo do usunięcia danych;
5. prawo do ograniczenia przetwarzania danych;
6. prawo do przenoszenia danych;
7. prawo do sprzeciwu;
8. prawo do wniesienia skargi do organu nadzorczego.
9. Szczegółowe zasady realizowania ww. praw zostały opisane w załączniku nr 5 do Polityki.

Art. 10. Procedura nadawania upoważnień do przetwarzania danych osobowych

1. Do przetwarzania danych osobowych mogą mieć dostęp osoby posiadające pisemne upoważnienia do przetwarzania danych osobowych nadane przez Administratora, przy czym osoby te zobowiązane są złożyć oświadczenie o zachowaniu w tajemnicy danych osobowych lub winny podlegać odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
2. Administrator (Prezes Stowarzyszenia lub podczas jego nieobecności jego zastępca)   przygotowuje stosowne upoważnienie do przetwarzania danych osobowych.
3. Upoważnienie jest przygotowywane na podstawie wzoru upoważnienia do przetwarzania danych osobowych stanowiącego załącznik nr 6 do Polityki.
4. Administrator uprawniony jest do odwołania nadanego upoważnienia do przetwarzania danych osobowych w każdym czasie.
5. Zatwierdzone przez Administratora upoważnienie do przetwarzania danych osobowych Administrator (Prezes Stowarzyszenia lub podczas jego nieobecności jego zastępca)  rejestruje w ewidencji osób upoważnionych do przetwarzania danych, której wzór stanowi załącznik nr 8 do Polityki.
6. W przypadku zmiany osoby upoważnionej albo w przypadku wystąpienia innych okoliczności, które wpływają bezpośrednio na rodzaj i zakres przetwarzanych danych osobowych, Administrator (Prezes Stowarzyszenia lub podczas jego nieobecności jego zastępca) przygotowuje nowe upoważnienia do przetwarzania danych osobowych.
7. W przypadku zaistnienia innej przyczyny skutkującej odwołaniem upoważnienia,  Administrator (Prezes Stowarzyszenia lub podczas jego nieobecności jego zastępca) odnotowuje zmiany w ewidencji osób upoważnionych do przetwarzania danych osobowych – załącznik nr 8. Powyższe dotyczy także przetwarzania danych osobowych w związku z organizacją w stowarzyszeniu stażu, praktyki, wolontariatu.
8. Administrator przed dopuszczeniem każdej osoby do wykonywania obowiązków zobowiązany jest do odebrania od niego oświadczenia o zachowaniu
   tajemnicy danych osobowych, którego wzór stanowi załącznik nr 7 do Polityki.

Art. 11. Rejestrowanie czynności przetwarzania danych

1. Wszystkie czynności przetwarzania realizowane przez Administratora zamieszcza się w Rejestrze czynności przetwarzania danych osobowych, który w celu jego obowiązywania wprowadza się odrębnym aktem administracyjnym.
2. Wszystkie czynności przetwarzania powierzone Administratorowi przez innego Administratora, stowarzyszenie zamieszcza w Rejestrze wszystkich kategorii czynności przetwarzania, który w celu jego obowiązywania wprowadza się odrębnym aktem administracyjnym.
3. W przypadku zmian w przepisach prawa lub nałożenia na stowarzyszenie obowiązku wykonania zadań  w związku z realizacją, których występuje konieczność przetwarzania danych osobowych, Użytkownicy uzyskujący taką informację zobowiązani są do poinformowania Administratora, który na podstawie przekazanych informacji dokonuje uzupełnienia lub zmian w Rejestrze czynności przetwarzania danych osobowych.
4. W przypadku uzyskania informacji o powierzeniu przetwarzania danych osobowych Jednostce – na podstawie umowy lub innego instrumentu prawnego – Użytkownik ten jest zobowiązany do poinformowania Administratora, który na podstawie przekazanych informacji dokonuje uzupełnienia lub zmian w Rejestrze wszystkich kategorii czynności przetwarzania
5. Rejestry, o których mowa w ust. 1 i 2 przyjmują formę pisemną, jak również formę elektroniczną, która powinna być prowadzona w systemie informatycznym równolegle z formę pisemną.
6. Administrator jest zobowiązany do udostępnienia ww. rejestrów na żądanie organu nadzorczego. Ww. rejestry nie stanowią dokumentów udostępnianych na podstawie ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (t. j. Dz. U. z 2022 r., poz. 902).

Objaśnienie:

Rejestr czynności przetwarzania danych osobowych prowadzony jest przez stowarzyszenie w przypadku, w którym stowarzyszenie występuje jako Administrator.

   W Rejestrze tym zamieszcza się następujące informacje:

1. imię i nazwisko lub nazwę oraz dane kontaktowe Administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela Administratora,
2. cele przetwarzania,
3. opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,
4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń,
6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Rejestr wszystkich kategorii czynności przetwarzania prowadzony jest przez stowarzyszenie, w przypadku, w którym stowarzyszenie występuje jako Podmiot przetwarzający dane osobowe na zlecenie.

   W Rejestrze tym zamieszcza się wszystkie następujące informacje:

1. imię i nazwisko lub nazwa oraz dane kontaktowe Podmiotu przetwarzającego lub Podmiotów przetwarzających oraz każdego Administratora, w imieniu którego działa Podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela Administratora lub Podmiotu przetwarzającego,
2. kategorie przetwarzań dokonywanych w imieniu każdego z Administratorów,
3. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń,
4. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Art. 12. Szkolenia z zakresu ochrony danych osobowych

1. Szkolenia z zakresu ochrony danych osobowych mają na celu podnoszenie świadomości pracowników, zarządu stowarzyszenia oraz innych osób przetwarzających dane na temat obowiązujących przepisów, dobrych praktyk i procedur związanych z ochroną danych.
2. Szkolenia obejmują następujące zagadnienia:
3. podstawowe zasady ochrony danych osobowych zgodnie z RODO,
4. obowiązki administratora i procesora danych,
5. prawa osób, których dane dotyczą,
6. zasady bezpieczeństwa przetwarzania danych,
7. procedury reagowania na incydenty związane z ochroną danych.
8. Każde szkolenie wewnętrzne powinno być udokumentowane poprzez sporządzenie dokumentów potwierdzających uczestnictwo w takim szkoleniu przez jego uczestników (lista obecności lub zaświadczenie/certyfikat imienny dla Użytkownika).

Art. 13.  Dostęp do danych osobowych przez podmioty trzecie oraz weryfikacja podmiotu przetwarzającego

1. Administrator może przekazać podmiotowi trzeciemu (niebędącemu osobą, której dane dotyczą) przetwarzane przez siebie dane osobowe w ramach:
2. udostępnienia – jeżeli jest to przewidziane w powszechnie obowiązujących przepisach prawa;
3. powierzenia – jeżeli podmiot trzeci przetwarza dane w imieniu Administratora i na jego udokumentowane polecenie w rozumieniu art. 28 RODO.

2. W przypadku powierzenia przetwarzania danych konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych pomiędzy Administratorem
   a Podmiotem przetwarzającym (zwanym również Procesorem) dane na zlecenie, który przetwarza dane w imieniu Administratora bądź posłużenie się innym instrumentem prawnym, który podlega prawu Unii lub prawu polskiemu i wiąże zarówno Podmiot przetwarzający jak i Administratora.
3. Administrator przed powierzeniem przetwarzania danych osobowych zobligowany jest do uzyskania informacji o stosowanych przez Procesora środkach technicznych
   i organizacyjnych, za pomocą listy kontrolnej Procesora stanowiącej załącznik nr 9 do Polityki.
4. W przypadku wątpliwości w zakresie udzielonych przez potencjalny Podmiot przetwarzający informacji w liście kontrolnej, Jednostka powinna dokonać oceny czy ww. podmiot zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych by przetwarzanie spełniało wymogi rozporządzenia RODO i chroniło prawa osób, których dane dotyczą.
5. Administrator lub osoba przez niego wyznaczona przygotowuje i weryfikuje umowy powierzenia przetwarzania danych lub inne instrumenty prawne przed ich zawarciem.
6. Administrator przyjął minimalne wymagania co do treści umowy powierzenia przetwarzania danych, której wzór stanowi załącznik nr 10 do Polityki.
7. Administrator po zawarciu każdej umowy powierzenia odnotowuje ten fakt w rejestrze zawartych umów powierzenia, którego wzór stanowi załącznik nr 11 do Polityki.

Art. 14.  Zasady anonimizacji danych osobowych

1. Anonimizacji dokumentów w formie papierowej należy dokonywać poprzez sporządzenie kopii dokumentu, na której dane zostaną zakryte bądź zamazane w taki sposób, aby nie można ich było odczytać. Następnie taki dokument powinien być ponownie skopiowany np. przy użyciu kserokopiarki lub skanera. Oryginały ww. dokumentów gromadzi są we właściwych teczkach. Zbędne lub wadliwie wykonane kopie dokumentów należy niszczyć na bieżąco.
2. Anonimizacji dokumentów w formie elektronicznej należy dokonywać przy użyciu przeznaczonych do tego systemów,które to narzędzia służą do automatyzacji ukrywania danych osobowych oraz innych informacji wrażliwych z obrazów dokumentów. Ważne jest, aby odbiorca przygotowanego w ww. sposób dokumentu nie mógł odczytać danych osobowych identyfikujących podmiot.

Art. 15. Zasady postępowania z dokumentami papierowymi zawierającymi dane osobowe

1. W stosunku do dokumentów papierowych stanowiących wydruki z systemu informatycznego Jednostki oraz wszelkich innych dokumentów zawierających dane osobowe, osoby upoważnione są zobowiązane do zachowania następujących środków ostrożności:
2. wydruki z systemu informatycznego i wszelkie inne dokumenty zawierające dane osobowe powinny być niedostępne dla osób nieuprawnionych;
3. wydruki z systemu informatycznego i wszelkie inne dokumenty zawierające dane osobowe nie mogą być pozostawione w drukarce lub kserokopiarce ogólnodostępnej;
4. wydruki niepotrzebne i nieprzydatne powinny być na bieżąco niszczone za pomocą niszczarki właściwej klasy;
5. dokumenty zawierające dane osobowe, których nie można zniszczyć z przyczyn technicznych lub formalnych, powinny być składowane w miejscu z ograniczonym dostępem, systematycznie weryfikowane, a następnie archiwizowane zgodnie
   z obowiązującymi w tym zakresie przepisami.

Art. 16. Naruszenia ochrony danych osobowych

1. Administrator stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych.
2. Procedura zarządzania naruszeniami ochrony danych stanowi załącznik nr 12 do Polityki.

Art. 17.  Ochrona danych osobowych w fazie projektowania i domyślna ochrona danych

1. Obowiązek   uwzględnienia   ochrony   danych   w   fazie   projektowania spoczywa na Administratorze.
2. Administrator zobligowany jest do przeprowadzenia szczegółowej analizy i opisu planowanego procesu przetwarzania danych. Ponadto w przypadku, gdy do przetwarzania wykorzystywane będą narzędzia dostarczane Administratorowi przez zewnętrznych dostawców wymagane jest zaangażowanie tych podmiotów.
   W przypadku dostawcy będącego podmiotem przetwarzającym uwzględnienia ochrony danych w fazie projektowania oparte jest na zasadach wynikających z art. 28 RODO.
3. Kluczowym wymogiem związanym z ochroną danych osobowych w fazie projektowania i domyślną ochrony danych jest niedopuszczenie do przetwarzania danych w sposób, który naruszałby poszczególne wymogi RODO poprzez:
4. zebranie informacji o celach danego projektu oraz planowanych środkach realizacji tych celów;
5. określenie adekwatnych – dla danego projektu – środków technicznych i organizacyjnych służących do ochrony danych osobowych;
6. ocenę, czy z projektem łączą się ryzyka dla praw lub wolności i przyjęcia określonego mechanizmu postępowania z tym ryzykiem (ocena ryzyka może doprowadzić do konieczności przeprowadzenia pełnej oceny skutków a nawet uprzednich konsultacji z Prezesem Urzędu Ochrony Danych Osobowych);
7. przypisanie ról w organizacji w zakresie dokonywania ww. ocen;
8. przeszkolenie pracowników przed rozpoczęciem przetwarzania nowego projektu;
9. planowanie terminów retencji danych;
10. ustalenie szczegółowej podstawy prawnej podjęcia działań w danym procesie;
11. ustalenie potencjalnych zagrożeń wewnętrznych i zewnętrznych;
12. ustalenie potencjalnych odbiorców danych.
13. Wymóg ochrony danych osobowych w fazie projektowania wymaga nie tylko oceny danego procesu przetwarzania danych przed jego rozpoczęciem, ale także monitorowania zgodności w czasie przetwarzania.  Z punktu widzenia mechanizmu oceny nowych projektów i zarządzania projektami wprowadzono Rejestr czynności przetwarzania danych, który powinien podlegać bieżącym aktualizacjom.
14. Administrator zobowiązany jest do uwzględnienia procesu w stosownych upoważnieniach dla osób obsługujących proces.

Art. 18. Przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowych

1. Przekazywanie danych osobowych do państwa trzeciego (tj. państwa spoza Europejskiego Obszaru Gospodarczego, zwanego dalej „EOG”) lub do organizacji międzynarodowych może nastąpić wyłącznie w zgodzie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO).
   1. Dane osobowe mogą być przekazywane do państw trzecich, w odniesieniu do których Komisja Europejska wydała decyzję stwierdzającą odpowiedni poziom ochrony danych osobowych. W takich przypadkach przekazywanie danych nie wymaga dodatkowych zgód ani środków zabezpieczających.
      1. W przypadku braku decyzji Komisji Europejskiej stwierdzającej odpowiedni poziom ochrony, przekazywanie danych może nastąpić pod warunkiem wdrożenia odpowiednich zabezpieczeń, takich jak:
2. standardowe klauzule umowne przyjęte przez Komisję Europejską,
3. wiążące reguły korporacyjne zatwierdzone przez odpowiedni organ nadzorczy,
4. certyfikaty lub kodeksy postępowania przewidziane w RODO.

4. W przypadku braku decyzji Komisji Europejskiej oraz odpowiednich zabezpieczeń, dane mogą być przekazane do państwa trzeciego jedynie w sytuacjach wyjątkowych, m.in., gdy:

1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przekazanie danych po uprzednim poinformowaniu o potencjalnym ryzyku,
2. przekazanie danych jest niezbędne do wykonania umowy pomiędzy osobą, której dane dotyczą, a Administratorem,
3. przekazanie danych jest konieczne ze względów ważnego interesu publicznego,
4. przekazanie danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą.

5.  Administrator zobowiązany jest do:

1. weryfikacji podstawy prawnej przekazywania danych,
2. zapewnienia odpowiednich zabezpieczeń ochrony danych,
3. dokumentowania przekazywania danych oraz stosowanych zabezpieczeń,
4. informowania osób, których dane dotyczą, o przekazywaniu ich danych do państwa trzeciego.

6. Administrator regularnie monitoruje zgodność przekazywania danych osobowych do państw trzecich z obowiązującymi przepisami oraz przeprowadza okresowe audyty w celu zapewnienia należytej ochrony danych osobowych.

Art. 19. Ochrona danych osobowych w ramach e-usług.

1. Administrator może wdrożyć i stosować narzędzia elektroniczne, środki komunikacji elektronicznej, inne środki łączności oraz usługi online w celu załatwiania spraw
   w kontaktach z podmiotami trzecimi w zw. z ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz. U. z 2024 r. poz. 1513).
2. Przy wdrażaniu ww. rodzaju systemów i narzędzi teleinformatycznych, Administrator ma obowiązek wydać stosowne polecenia i instrukcje w celu zapewnienia należytej ochrony danych osobowych przetwarzanych przez osoby upoważnione.

 

Rozdział III

Procedury zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

Art. 20. Zasady zabezpieczenia dostępu do systemów informatycznych

1. W przypadku dostępu Użytkowników do systemów informatycznych (dziedzinowych
   i operacyjnych) należy stosować metodę uwierzytelnienia poprzez wpisanie indywidualnego identyfikatora /login-u oraz hasła.
2. Hasło powinno składać się z unikalnego zestawu znaków, zawierających małe i wielkie litery, cyfry oraz znaki specjalne. Hasło powinno być regularnie zmieniane przez Użytkownika oraz niezwłocznie w przypadku podejrzenia, że hasło mogło zostać ujawnione osobie nieuprawnionej. Co do zasady, hasło powinno składać się z minimum 12 znaków i być zmieniane co min. 180 dni. Hasła do systemów dziedzinowych powinny być tworzone w schemacie określonym przez dostawcę oprogramowania.
3. Użytkownik zobowiązany jest do zachowania poufności hasła i niezapisywania
   go w sposób jawny.

Art. 21. Zasady zarządzania sprzętem elektronicznym i oprogramowaniem

1. Użytkownik zobowiązany jest korzystać ze sprzętu elektronicznego w sposób zgodny
    z jego przeznaczeniem i chronić go przed jakimkolwiek zniszczeniem lub uszkodzeniem.
2. Użytkownik ma obowiązek niezwłocznie zgłosić Administratorowi utratę lub zniszczenie powierzonego sprzętu.
3. Użytkownik nie może bez zgody Administratora instalować dodatkowych urządzeń
   (np. twardych dysków, pamięci) lub podłączać do systemu informatycznego niezatwierdzonych urządzeń.
4. Użytkownik nie może bez zgody Administratora korzystać z prywatnego sprzętu elektronicznego (np. laptopów, telefonów, aparatów fotograficznych, nośników typu pendrive’y) do wykonywania zadań stowarzyszenia.
5. Użytkownik zobowiązany jest do korzystania wyłącznie z oprogramowania dopuszczonego do stosowania w Jednostce.

Art. 22. Zasady korzystania z poczty elektronicznej

1. Użytkownik jest zobowiązany do korzystania z przyznanego mu adresu poczty elektronicznej wyłącznie w celu prowadzenia korespondencji stowarzyszenia.
2. Użytkownik nie może używać adresu poczty elektronicznej stowarzyszenia do celów prywatnych, w szczególności do rejestracji w serwisach społecznościowych, dokonywania zakupów w sklepach internetowych itp.
3. Użytkownik powinien zachować szczególną ostrożność przy wpisywaniu adresu odbiorcy wiadomości.
4. Użytkownik podczas wysyłania wiadomości e-mail do wielu adresatów jednocześnie, powinien użyć metody „Ukryte do wiadomości – UDW”. Zabronione jest rozsyłanie wiadomości e-mail do wielu adresatów z użyciem opcji „Do wiadomości – DW”.
5. Użytkownik powinien zastosować zabezpieczenia kryptograficzne przy przesyłaniu załączników do wiadomości e-mail. Zabezpieczenia kryptograficzne mogą polegać na przesłaniu zahasłowanych plików w formie załącznika, jednak hasło powinno być przekazane adresatowi za pośrednictwem innego kanału komunikacji np.  wiadomości sms bądź podczas rozmowy telefonicznej przeprowadzonej po uprzednim zweryfikowaniu tożsamości adresata.
6. Użytkownik powinien zachować szczególną ostrożność podczas odbierania poczty elektronicznej, w szczególności – jeżeli nie ma pewności co do autentyczności adresata wiadomości – nie powinien otwierać zawartych w niej plików i linków ani dołączonych załączników. Tego typu wiadomości, w większości przypadków mogą zawierać załączniki ze szkodliwym kodem, które po ich otwarciu infekują komputer Użytkownika.
7. W wyniku działania takiego szkodliwego oprogramowania może dojść do poważnych incydentów, łącznie z pełną utratą danych osobowych lub ich zaszyfrowaniem przez kryptowirusy. W takim przypadku Użytkownik powinien niezwłocznie poinformować o zdarzeniu Administratora.
8. Użytkownik powinien regularnie przeglądać folder „Spam” i usuwać niepotrzebne wiadomości.

Art. 23. Zasady korzystania z Internetu

1. Użytkownik powinien korzystać z dostępu do sieci Internet wyłącznie w celach niezbędnych do wykonywania zadań stowarzyszenia.
2. Użytkownik nie powinien otwierać stron internetowych zawierających treści nie związane bezpośrednio z merytoryką pracy, ze względu na możliwość przypadkowego pobrania złośliwego kodu, który może automatycznie zainfekować system operacyjny komputera.
3. Użytkownik ponosi pełną odpowiedzialność za szkody spowodowane przez oprogramowanie instalowane bez zgody Administratora.
4. Użytkownik nie może korzystać ze stron internetowych, na których prezentowane są treści o charakterze przestępczym, hackerskim, pornograficznym lub innym zakazanym przez prawo (na większości stron tego typu może być zaimplementowany złośliwy kod, który może automatycznie zainfekować system operacyjny komputera w sposób niewidoczny dla Użytkownika).
5. Użytkownik nie może pobierać aplikacji z sieci Internet bez wcześniejszej zgody Administratora.
6. Użytkownik, w przypadku korzystania z szyfrowanego połączenia przez przeglądarkę internetową, powinien zwrócić uwagę na pojawienie się odpowiedniej ikony („kłódka”) oraz adresu www. rozpoczynającego się frazą ”https:”. Dla pewności należy „kliknąć” na ikonkę „kłódki” i sprawdzić, czy właścicielem certyfikatu jest wiarygodny właściciel.
7. Użytkownik powinien zachować szczególną ostrożność w przypadku podejrzanego żądania lub prośby zalogowania się na stronę (np. na stronę banku) lub podania przez Internet jego loginów i haseł, PIN-ów, numerów kart płatniczych.

Art. 24. Zasady korzystania z bankowości elektronicznej

1. Użytkownik, który wykonuje przelewy bankowe zobowiązany jest do regularnej zmiany hasła oraz nieprzechowywania go w formie pisemnej wraz z loginem.
2. Użytkownik zobowiązany jest do zapamiętania lub przechowywania hasła dostępu oraz innych danych służących do uwierzytelniania i autoryzacji w bezpiecznym miejscu.
3. Użytkownik nie może opuścić stanowiska pracy bez wylogowania się i zamknięcia przeglądarki internetowej.
4. Użytkownik logujący się do bankowości elektronicznej nie powinien korzystać
   z nieznanych sieci bezprzewodowych.
5. W celu zalogowania się do systemu bankowości elektronicznej, Użytkownik nie powinien wchodzić na stronę internetową banku za pośrednictwem linków znajdujących się w korespondencji elektronicznej.
6. Administrator jest zobowiązany do wyposażenia komputerów służących do korzystania z bankowości elektronicznej w aktualne oprogramowanie oraz zabezpieczenia systemu na poziomie wysokim (m.in. oprogramowanie antywirusowe, włączony firewall) oraz do wykonywania okresowej kontroli zgodności ustawień sprzętu informatycznego z zasadami dotyczącymi bezpieczeństwa teleinformatycznego przekazanymi przez bank, który obsługuje bankowość elektroniczną.
7. Użytkownicy obsługujący bankowość elektroniczną są zobligowani do zapoznania się
   z zasadami bezpieczeństwa teleinformatycznego przekazanymi przez bank, który obsługuje bankowość elektroniczną.

Art. 25. Komunikacja i czynności serwisowe na odległość

1. Komunikacja z zewnątrz powinna być realizowana tylko poprzez mechanizmy szyfrujące zapewniające odpowiednie bezpieczeństwo (np. VPN, Team Viewer, AnyDesk). W przypadku podmiotów zewnętrznych dokonujących czynności serwisowych (np. aktualizacji oprogramowania dziedzinowego) dostęp taki powinien być poprzedzony autoryzacją (np. podaniem hasła do Team Viewer, które wygasa po skończonej sesji).
2. Komunikację należy prowadzić tylko za pomocą bezpiecznych metod transmisji,
   w tym włączenia transmisji szyfrowanej lub przeniesienia usług sieciowych na serwer posiadający taką możliwość.

Art. 26. Zasady pracy z urządzeniami mobilnymi

1. Administrator zabrania korzystania z publicznych sieci WiFi, chyba że połączenie jest dodatkowo zabezpieczone kanałem VPN oraz pozostawiania urządzenia bez nadzoru Użytkownika, w szczególności w miejscach ogólnodostępnych dla szerokiego grona osób trzecich.
2. Użytkownik nie może pozostawiać urządzenia mobilnego bez opieki ani pożyczać go osobie trzeciej.
3. Użytkownik powinien używać tylko rozwiązań posiadających silne mechanizmy szyfrowania transmisji i ochrony danych.

Art. 27. Zasady zabezpieczania sprzętu elektronicznego i systemu informatycznego

1. Komputery stacjonarne i przenośne powinny być zabezpieczone oprogramowaniem antywirusowym, które sprawuje ciągły nadzór (ciągła praca w tle) nad pracą systemu.
2. Sprawdzanie obecności wirusów komputerowych w systemie informatycznym oraz ich usuwanie powinno odbywać się przy wykorzystaniu ww. oprogramowania zainstalowanego na stacjach roboczych oraz komputerach przenośnych.
3. Użytkownik jest obowiązany każdorazowo zawiadomić Administratora o pojawiających się komunikatach, wskazujących na wystąpienie zagrożenia wywołanego szkodliwym oprogramowaniem – wirusa lub w przypadku sygnalizowanych problemów z działaniem oprogramowania antywirusowego.

Art. 28. Zasady korzystania z elektronicznych nośników danych

1. Użytkownik może korzystać wyłącznie z szyfrowanych, elektronicznych nośników danych w szczególności pendrive’ów, dysków zewnętrznych, nośników optycznych przeznaczonych do użytku na wyznaczone cele stowarzyszenia.
2. Użytkownik korzystający z elektronicznych nośników danych w całym okresie użytkowania odpowiedzialny jest za bezpieczeństwo danych. W przypadku zgubienia nośnika Użytkownik jest zobowiązany niezwłocznie powiadomić o tym fakcie Administratora.
3. Użytkownik korzystający z ww. urządzeń zobowiązany jest do:
4. przechowywania danych na dysku szyfrowanym;
5. transportu nośnika w sposób minimalizujący ryzyko kradzieży lub zniszczenia oraz stosownego jego zabezpieczenia przed uszkodzeniem;
6. zdecydowanego i skutecznego uniemożliwienia skorzystania z nośnika osobom nieuprawnionym (np. rodzina, dzieci, znajomi).

Art. 29. Zasady wykonywania przeglądów, serwisu i konserwacji sprzętu elektronicznego i nośników danych

1. Użytkownik nie może samodzielne dokonywać napraw sprzętu elektronicznego, wymiany jego podzespołów oraz wykonywać innych czynności nie związanych bezpośrednio z jego eksploatacją lub nie dopuszczonych do wykonywania przez producenta sprzętu w instrukcji obsługi.
2. W przypadku serwisowania infrastruktury teleinformatycznej przez podmioty zewnętrzne, należy wymontować dyski twarde przed oddaniem ich do serwisu. W sytuacji, gdy do serwisu należy oddać cały zasób z dyskiem twardym, Administrator winien trwale usunąć wszystkie dane z dysku za pomocą certyfikowanych urządzeń. Jeżeli Administrator nie ma możliwości wymontowania dysku z urządzenia lub trwałego usunięcia danych, powinien on podpisać stosowną umowę powierzenia danych z firmą serwisową.
3. Użytkownik ma obowiązek niezwłocznie powiadomić Administratora o wszelkich nieprawidłowościach i awariach sprzętu informatycznego, mogących prowadzić do próby naruszenia lub naruszenia bezpieczeństwa danych osobowych.

Art. 30. Zasada utylizacji sprzętu elektronicznego

1. W przypadku wycofania sprzętu elektronicznego z użycia, dane osobowe na nim zapisane powinny być kasowane przy użyciu przeznaczonego do tego oprogramowania do bezpiecznego usuwania danych, najlepiej za pomocą certyfikowanego urządzenia np. demagnetyzera.
2. W przypadku braku możliwości programowego usunięcia danych ze sprzętu elektronicznego podlega on fizycznemu zniszczeniu.
3. Zniszczenie sprzętu elektronicznego powinno być potwierdzane protokołem zniszczenia.

Rozdział  IV

Inne środki organizacyjne i techniczne służące do zabezpieczania danych osobowych

Art. 31. Zasady bezpiecznej pracy

1. Każda osoba działająca z upoważnienia Administratora i mająca dostęp do danych, zobowiązana jest do stosowania następujących zasad bezpieczeństwa:
2. polityki „czystego biurka” – w trakcie pracy na biurku powinny znajdować się tylko te materiały, które są niezbędne do wykonywania obowiązków służbowych. 
   W przypadku opuszczenia stanowiska pracy przez osobę upoważnioną, materiały zawierające dane, wymagające szczególnej ochrony powinny być zabezpieczone przed dostępem osób nieuprawnionych. Po zakończeniu dnia pracy każda osoba zobowiązana jest do zabezpieczenia wszelkich dokumentów i nośników zawierających istotne dane, w celu uniemożliwienia dostępu do nich osobom nieuprawnionym;
3. polityki „czystego ekranu” – w przypadku chwilowego opuszczenia stanowiska pracy każda osoba zobowiązana jest do wylogowania się z systemu, bądź zablokowania dostępu do pulpitu stacji roboczej w celu uniemożliwienia dostępu do systemu operacyjnego lub aplikacji osobom nieuprawnionym. Ponadto
   w trakcie pracy należy mieć otwarte tylko te aplikacje, które są niezbędne do wykonywania obowiązków służbowych;
4. takiego ustawienia monitora, aby osoby niepowołane nie mogły zapoznać się
   z informacjami wyświetlanymi na monitorze;
5. bieżącego niszczenia niepotrzebnej dokumentacji papierowej oraz przechowywania pozostałej dokumentacji papierowej w zabezpieczonych szafach, zamykanych przynajmniej na klucz;
6. niepozostawiania osób postronnych w pomieszczeniu, w którym przetwarzane są dane osobowe, bez obecności osoby upoważnionej;
7. zachowania poufności wszelkich informacji, w tym danych osobowych poprzez złożenie stosownego oświadczenia;

Art. 32.  Zarządzanie ryzykiem w ochronie danych osobowych

1. Administrator analizuje możliwe sytuacje i naruszenia ochrony danych osobowych uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia
   i wadze zagrożenia, zwane dalej „analizami ryzyka”.
2. Administrator przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii.
3. Analiza ryzyka powinna zapewniać:
4. zidentyfikowanie ryzyka;
5. oszacowanie ryzyka z punktu widzenia następstw dla działalności Jednostki oraz prawdopodobieństwa wystąpienia takiego ryzyka;
6. informowanie o następstwach wystąpienia ryzyka;
7. ustanowienie priorytetów w postępowaniu z ryzykiem;
8. regularne monitorowanie i przegląd różnych typów ryzyka oraz procesu zarządzania ryzykiem;
9. zbieranie informacji w celu doskonalenia podejścia do zarządzania ryzykiem.
10. Administrator dokumentuje wykonaną analizę ryzyka w postaci raportu.
11. Administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych w przypadkach, w których zgodnie z analizą ryzyka, ryzyko naruszenia praw i wolności osób jest wysokie oraz w każdym przypadku, gdy wymagają tego obowiązujące przepisy prawa i wytyczne Prezesa Urzędu Ochrony Danych Osobowych.

Art. 33. Monitorowanie, testowanie i mierzenie stosowanych środków technicznych
 i organizacyjnych służących do zabezpieczania danych osobowych

1.  Monitorowanie, testowanie i mierzenie stosowanych środków technicznych
i organizacyjnych służących do zabezpieczania danych osobowych jest kluczowym elementem w zapewnieniu zgodności z przepisami o ochronie danych osobowych. Wykonywanie ww. czynności jest niezbędne do tego, aby systematycznie oceniać, czy zastosowane środki ochrony danych są odpowiednie, skuteczne i zgodne z wymogami bezpieczeństwa.

2. Procedura regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania określona jest w Załączniku nr 14 do Polityki.

Rozdział  V

Postanowienia końcowe

Art. 34. Informacje dotyczące Polityki ochrony danych osobowych

1. Każda osoba mająca dostęp do danych osobowych Jednostki zobowiązana jest zapoznać się z Polityką ochrony danych osobowych oraz jej aktualizacjami i potwierdzić ten fakt własnoręcznym podpisem na wykazie, którego wzór stanowi załącznik nr 15 do Polityki.
2. Polityka winna podlegać regularnym przeglądom i aktualizacji w przypadku zmian
    w otoczeniu organizacyjno-prawnym Administratora.
3. Dokument aktualnej Polityki przechowywany jest również w wersji tradycyjnej (papierowej) i dostępny jest w siedzibie stowarzyszenia. Administrator udostępnia Politykę każdemu Użytkownikowi na jego żądanie

Art. 35. Wykaz załączników                                                                                                      

Załącznik nr 1 – Wzór oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych.

Załącznik nr 2 – Wzór oświadczenia o wycofaniu zgody na przetwarzanie danych osobowych.

Załącznik nr 3 – Wzór ogólnej klauzuli informacyjnej z art. 13 ust. 1 i 2.

Załącznik nr 4 – Wzór ogólnej klauzuli informacyjnej z art. 14 ust. 1 i 2.

Załącznik nr 5 – Procedura realizacji praw osób których dane dotyczą.

Załącznik nr 6 – Wzór upoważnienia do przetwarzania danych osobowych.

Załącznik nr 7 – Wzór oświadczenia o zachowaniu tajemnicy danych osobowych.

Załącznik nr 8 – Ewidencja osób upoważnionych do przetwarzania danych osobowych. 

Załącznik nr 9 – Lista kontrolna Procesora.

Załącznik nr 10 – Wzór umowy powierzenia przetwarzania danych osobowych.

Załącznik nr 11 – Wzór rejestru zawartych umów powierzenia przetwarzania danych osobowych.

Załącznik nr 12 – Procedura zarządzania naruszeniami ochrony danych osobowych.

Załącznik nr 13 – Opis środków technicznych stosowanych do zabezpieczania. danych osobowych i wykaz obszaru przetwarzania.

Załącznik nr 14 – Procedura regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Załącznik nr 15 – Wykaz osób zapoznanych z Polityką ochrony danych osobowych.