Muzeum Ziemi Piskiej - Polityka Ochrony Danych

Polityka Ochrony Danych

• 
• 

POLITYKA OCHRONY DANYCH W MUZEUM ZIEMI PISKIEJ

POSTANOWIENIA OGÓLNE

1.        Politykę Ochrony Danych w Muzeum Ziemi Piskiej wprowadza się w celu wdrożenia i przestrzegania ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w:

a)       Rozporządzeniu Parlamentu Europejskiego i Rady Unii Europejskiej nr  2016/679 z dnia 27.04.2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - ogólne rozporządzenie o ochronie danych
(Dz. Urz. UE L 119 z 04.05.2016) – zwanym dalej RODO;

b)       Ustawie z dnia 10.05.2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000);

c)        Ustawie z dnia 21.02.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. 2019 poz. 730);

d)       Rozporządzeniu Prezesa Rady Ministrów z dnia 31.05.2019 r. w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych (Dz. U. 2019 poz. 1041);

e)       Innych obowiązujących aktach prawnych.

2.        Polityka Ochrony Danych w Muzeum Ziemi Piskiej jest udostępniana na stronie www.muzeumziemipiskiej.pl wszystkim osobom odwiedzającym i/lub współpracującym z Muzeum celem zapoznania się z jej treścią.

3.        Polityka dotyczy wszystkich danych osobowych, niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) przetwarzanych w:

Muzeum Ziemi Piskiej

NIP: 8491027365;

Regon: 001391497

Siedziba: 12-200 Pisz, Pl. Daszyńskiego 7

4.        Administratorem Danych Osobowych ADO, jest Dyrektor Muzeum Ziemi Piskiej – dr Aneta Karwowska.

5.        Administrator Danych Osobowych zgodnie z art. 37 RODO wyznacza Inspektora Danych Osobowych IOD w osobie   pana Roberta Polity.

6.        Inspektor Ochrony Danych – IOD zostaje powołany w celu:

1. informowania, doradzania i rekomendowania określonych działań Administratorowi lub podmiotowi przetwarzającemu,

2. realizowania obowiązków informacyjnych,

3. monitorowania przestrzegania przepisów prawa - identyfikacji i analizy procesów przetwarzania,

4. szacowania ryzyka związanego z operacjami przetwarzania z uwzględnieniem charakteru, zakresu

   i kontekstu celów przetwarzania,

5. współpracy z organem nadzorczym i pełnienia funkcji punktu kontaktowego dla organu nadzorczego,

6. stałego nadzoru bezpieczeństwa przetwarzania danych osobowych wewnątrz organizacji,

7. przeprowadzania szkoleń dla osób zatrudnionych oraz dbania o właściwy poziom wiedzy

   w obszarze ochrony danych osobowych.

7.        Inspektor Ochrony Danych (IOD) jest punktem kontaktowym, z którym możesz się skontaktować
w sprawach ochrony swoich danych osobowych i realizacji przysługujących Ci uprawnień.

Z Inspektorem Ochrony Danych możesz skontaktować się w jeden z poniższych sposobów:

listownie: IOD Muzeum Ziemni Piskiej, Plac Daszyńskiego 7, 12-200 Pisz;

e-mail: mzppisz@wp.pl (w temacie wiadomości proszę wpisać „Sprawy IOD”)

telefonicznie: +48  600311425

8.        Dla skutecznej realizacji Polityki Ochrony Danych w Muzeum Ziemi Piskiej Administrator Danych Osobowych zapewnia:

a)       odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,

b)       kontrolę i nadzór nad przetwarzaniem danych osobowych,

c)        monitorowanie zastosowanych środków ochrony.

9.        Monitorowanie przez Administratora Danych Osobowych zastosowanych środków ochrony obejmuje m.in.:

a)       działania pracowników i gości Muzeum,

b)       naruszanie zasad dostępu do danych osobowych,

c)        zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.

10.     Administrator Danych Osobowych zapewnia, że czynności wykonywane w związku z przetwarzaniem
i zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz odpowiednimi przepisami prawa.

PRZETWARZANE DANYCH OSOBOWYCH

1. Dane osobowe przetwarzane przez Administratora Danych Osobowych gromadzone są w zbiorach danych.

2. Administrator Danych Osobowych nie podejmuje czynności przetwarzania, które mogłyby się wiązać

   z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób.

3. Administrator danych prowadzi Rejestr Czynności Przetwarzania.

ODPOWIEDZIALNOŚĆ W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

1. Wszystkie osoby zatrudnione w Muzeum Ziemi Piskiej zobowiązane są do przetwarzania danych osobowych zgodnie

   z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Osobowych polityką ochrony danych,

   a także innymi dokumentami wewnętrznymi i procedurami związanymi z przetwarzaniem danych osobowych

   w Muzeum.

2. Wszystkie dane osobowe przetwarzane są w Muzeum z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:

3. w każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw

   dla przetwarzania danych osobowych,

4. dane osobowe przetwarzane są rzetelnie i w sposób przejrzysty,

5. dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach,

6. dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu,

7. dane osobowe są prawidłowe i w razie potrzeby uaktualniane,

8. czas przechowywania danych osobowych jest ograniczony do okresu ich przydatności

   do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane,

9. wobec osób, których dane osobowe są przetwarzane wykonywany jest obowiązek informacyjny,

10. dane osobowe są zabezpieczone przed naruszeniami zasad ich ochrony.

11. Administrator Danych Osobowych nie przekazuje osobom, których dane osobowe dotyczą, informacji w sytuacji,

    w której dane osobowe te muszą zostać poufne zgodnie z obowiązkiem zachowania tajemnicy.

12. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:

13. naruszenie bezpieczeństwa systemu informatycznego, w których przetwarzane są dane osobowe,

14. udostępnianie danych osobowych osobom lub podmiotom do tego nieupoważnionym,

15. zaniechanie obowiązku zapewnienia ochrony danym osobowym,

16. niedopełnienie obowiązku zachowania w tajemnicy sposobu zabezpieczenia danych osobowych,

17. przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania,

18. uszkodzenie, utrata, niekontrolowana zmiana lub nieuprawnione kopiowanie danych osobowych,

19. naruszenie praw osób, których dane osobowe są przetwarzane.

20. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych każdy pracownik Muzeum zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia

    i do niezwłocznego powiadomienia Inspektora Ochrony Danych Osobowych i Administratora Danych Osobowych.

21. Administrator Danych Osobowych jest zobowiązany do dopilnowania, aby:

22. pracownicy byli odpowiednio przeszkoleni i przygotowani do przetwarzania danych osobowych,

23. pracownicy przetwarzający dane osobowe byli pisemnie upoważnieni do przetwarzania,

24. pracownicy przetwarzający dane osobowe zobowiązali się do zachowania danych osobowych przetwarzanych w Muzeum w tajemnicy.

25. Pracownicy Muzeum zobowiązani są, pod rygorem kar dyscyplinarnych, do:

    1. ścisłego przestrzegania zakresu nadanego upoważnienia,

    2. przetwarzania i ochrony danych osobowych zgodnie z przepisami,

    3. zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia,

    4. zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.

OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH

1. Obszar, w którym przetwarzane są dane osobowe obejmuje wszystkie pomieszczenia Muzeum Ziemi Piskiej zlokalizowane w 12-200 Pisz Plac Daszyńskiego 7.

2. Dodatkowo obszar, w którym przetwarzane są dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym powyżej.

ŚRODKI ORGANIZACYJNO-TECHNICZNE ZAPEWNIAJĄCE OCHRONĘ DANYCH

1. Administratora Danych Osobowych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych.

2. Zastosowane środki ochrony są adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. Środki te obejmują:

   1. ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe,

   2. zamykanie pomieszczeń, w których przetwarzane są dane osobowe na czas nieobecności pracowników,

   3. zabezpieczenie dokumentów obejmujących dane osobowe w zamykanych szafkach i/lub sejfach,

   4. przetwarzanie zbiorów danych na autoryzowanym służbowym sprzęcie informatycznym Muzeum,

   5. wyposażenie stacji roboczych w indywidualną ochronę antywirusową i przed złośliwym oprogramowaniem,

   6. dostęp do stacji roboczej i jej systemu operacyjnego za pomocą procesu uwierzytelnienia z wykorzystaniem hasła,

   7. wykorzystanie ,mechanicznej niszczarki dokumentów do usuwania dokumentów zawierających dane osobowe,

   8. ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu programów typu firewall,

   9. wykonywanie kopii awaryjnych danych na dedykowanym nośniku cyfrowym,

   10. zabezpieczania danych hasłem przy ich transmisji.

NARUSZENIA ZASAD OCHRONY DANYCH OSOBOWYCH

1. W przypadku stwierdzenia naruszenia zasad ochrony danych osobowych Administrator Danych Osobowych wraz

   z Inspektorem Ochrony Danych dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

2. W sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator Danych Osobowych zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu – Prezesowi Urzędu Ochrony Danych Osobowych, bez zbędnej zwłoki i nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator Danych Osobowych zawiadamia o incydencie także osobę, której dane dotyczą.

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

1. Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie

   w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w RODO i tylko jeżeli są to dane, które może ujawnić bez naruszenia tajemnicy służbowej.

2. Przed powierzeniem przetwarzania danych osobowych Administrator Danych Osobowych w miarę możliwości uzyska informacje o dotychczasowych praktykach procesora (podmiotu, któremu powierzone zostaną dane) dotyczących zabezpieczenia danych osobowych.

MONITORING WIZYJNY

1. Administrator Danych Osobowych może prowadzić monitoring wizyjny (Closed-Circuit TeleVision CCTV)

   w pomieszczeniach Muzeum. Celem prowadzenia monitoringu CCTV jest zapewnienie bezpieczeństwa pracownikom

   i ochrona mienia. Stała obserwacja obiektu prowadzona jest w związku z prawnie uzasadnionym interesem realizowanym przez Administratora (RODO art. 6 ust. 1 lit. f). Wizerunek pracowników i gości Muzeum nie jest wykorzystywany do innych celów niż wskazane powyżej. Miejsca objęte monitoringiem CCTV są czytelnie

   i jednoznacznie oznakowane.

2. Dane osobowe pozyskane z monitoringu będą przechowywane przez okres 30 dni od dnia nagrania,

   po czym zostaną trwale zniszczone.

PRZEKAZYWANIE DANYCH DO PAŃSTWA TRZECIEGO

1. Administrator Danych Osobowych co do zasady nie będzie przekazywał danych osobowych do państwa trzeciego.

2. W przypadku wystąpienia konieczności przekazania danych osobowych do państwa trzeciego Administrator Danych Osobowych wykona to tylko i wyłącznie za zgodą osoby, której dane dotyczą.

SZKOLENIE

1. Każdy pracownik przed dopuszczeniem do pracy w systemie przetwarzającym dane osobowe w formie cyfrowej i/lub papierowej jest przeszkolony w zakresie ochrony danych osobowych.

2. Szkolenie obejmuje swoim zakresem zapoznanie użytkownika z:

   1. przepisami prawa o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi;

   2. zasadami przetwarzania danych osobowych w Muzeum Ziemi Piskiej;

   3. strukturą i zasadami użytkowania systemu informatycznego służącego do przetwarzania danych osobowych;

3. Szkolenie zakończone jest wydaniem przez Administratora upoważnienia do przetwarzania danych osobowych dla osoby szkolonej i przyjęciem od niej oświadczenia o zachowaniu tajemnicy.

POSTANOWIENIA KOŃCOWE

1. Za niedopełnienie obowiązków wynikających z niniejszej Polityki grozi odpowiedzialność na podstawie Kodeksu Pracy, Przepisów o Ochronie Danych Osobowych oraz Kodeksu Karnego w odniesieniu do przetwarzanych danych.

2. Integralną część niniejszej Polityki ochrony danych osobowych są następujące dokumenty wewnętrzne Muzeum:

• Rejestr czynności przetwarzania danych osobowych.

• Umowy powierzenia przetwarzania danych osobowych (w przypadku powierzania).

• Rejestr upoważnień do przetwarzania danych osobowych w Muzeum Ziemi Piskiej.

• Upoważnienia do przetwarzania danych osobowych.

• Oświadczenia osoby przetwarzającej dane osobowe.

• Klauzula informacyjna dla pracowników Muzeum.

• Klauzula informacyjna dla gości zwiedzających oraz uczestników imprez odbywających się

  na terenie Muzeum Ziemi Piskiej

• Klauzula informacyjna dotycząca monitoringu wizyjnego w Muzeum Ziemi Piskiej.

• Zasady przetwarzania danych osobowych.

• Procedura zgłoszenia naruszenia ochrony danych.

• Rejestr naruszeń ochrony danych osobowych.