Jesteś tutaj: Start>Polityka Ochrony Danych
Polityka Ochrony Danych
POLITYKA OCHRONY DANYCH W MUZEUM ZIEMI PISKIEJ
POSTANOWIENIA OGÓLNE
1. Politykę Ochrony Danych w Muzeum Ziemi Piskiej wprowadza się w celu wdrożenia i przestrzegania ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w:
a) Rozporządzeniu Parlamentu Europejskiego i Rady Unii Europejskiej nr 2016/679 z dnia 27.04.2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - ogólne rozporządzenie o ochronie danych
(Dz. Urz. UE L 119 z 04.05.2016) – zwanym dalej RODO;
b) Ustawie z dnia 10.05.2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000);
c) Ustawie z dnia 21.02.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. 2019 poz. 730);
d) Rozporządzeniu Prezesa Rady Ministrów z dnia 31.05.2019 r. w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych (Dz. U. 2019 poz. 1041);
e) Innych obowiązujących aktach prawnych.
2. Polityka Ochrony Danych w Muzeum Ziemi Piskiej jest udostępniana na stronie www.muzeumziemipiskiej.pl wszystkim osobom odwiedzającym i/lub współpracującym z Muzeum celem zapoznania się z jej treścią.
3. Polityka dotyczy wszystkich danych osobowych, niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) przetwarzanych w:
Muzeum Ziemi Piskiej
NIP: 8491027365;
Regon: 001391497
Siedziba: 12-200 Pisz, Pl. Daszyńskiego 7
4. Administratorem Danych Osobowych ADO, jest Dyrektor Muzeum Ziemi Piskiej – dr Aneta Karwowska.
5. Administrator Danych Osobowych zgodnie z art. 37 RODO wyznacza Inspektora Danych Osobowych IOD w osobie pana Roberta Polity.
6. Inspektor Ochrony Danych – IOD zostaje powołany w celu:
-
informowania, doradzania i rekomendowania określonych działań Administratorowi lub podmiotowi przetwarzającemu,
-
realizowania obowiązków informacyjnych,
-
monitorowania przestrzegania przepisów prawa - identyfikacji i analizy procesów przetwarzania,
-
szacowania ryzyka związanego z operacjami przetwarzania z uwzględnieniem charakteru, zakresu
i kontekstu celów przetwarzania,
-
współpracy z organem nadzorczym i pełnienia funkcji punktu kontaktowego dla organu nadzorczego,
-
stałego nadzoru bezpieczeństwa przetwarzania danych osobowych wewnątrz organizacji,
-
przeprowadzania szkoleń dla osób zatrudnionych oraz dbania o właściwy poziom wiedzy
w obszarze ochrony danych osobowych.
7. Inspektor Ochrony Danych (IOD) jest punktem kontaktowym, z którym możesz się skontaktować
w sprawach ochrony swoich danych osobowych i realizacji przysługujących Ci uprawnień.
Z Inspektorem Ochrony Danych możesz skontaktować się w jeden z poniższych sposobów:
listownie: IOD Muzeum Ziemni Piskiej, Plac Daszyńskiego 7, 12-200 Pisz;
e-mail: mzppisz@wp.pl (w temacie wiadomości proszę wpisać „Sprawy IOD”)
telefonicznie: +48 600311425
8. Dla skutecznej realizacji Polityki Ochrony Danych w Muzeum Ziemi Piskiej Administrator Danych Osobowych zapewnia:
a) odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
b) kontrolę i nadzór nad przetwarzaniem danych osobowych,
c) monitorowanie zastosowanych środków ochrony.
9. Monitorowanie przez Administratora Danych Osobowych zastosowanych środków ochrony obejmuje m.in.:
a) działania pracowników i gości Muzeum,
b) naruszanie zasad dostępu do danych osobowych,
c) zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
10. Administrator Danych Osobowych zapewnia, że czynności wykonywane w związku z przetwarzaniem
i zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz odpowiednimi przepisami prawa.
PRZETWARZANE DANYCH OSOBOWYCH
-
Dane osobowe przetwarzane przez Administratora Danych Osobowych gromadzone są w zbiorach danych.
-
Administrator Danych Osobowych nie podejmuje czynności przetwarzania, które mogłyby się wiązać
z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób.
-
Administrator danych prowadzi Rejestr Czynności Przetwarzania.
ODPOWIEDZIALNOŚĆ W ZAKRESIE OCHRONY DANYCH OSOBOWYCH
-
Wszystkie osoby zatrudnione w Muzeum Ziemi Piskiej zobowiązane są do przetwarzania danych osobowych zgodnie
z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Osobowych polityką ochrony danych,
a także innymi dokumentami wewnętrznymi i procedurami związanymi z przetwarzaniem danych osobowych
w Muzeum.
-
Wszystkie dane osobowe przetwarzane są w Muzeum z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
-
w każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw
dla przetwarzania danych osobowych,
-
dane osobowe przetwarzane są rzetelnie i w sposób przejrzysty,
-
dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach,
-
dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu,
-
dane osobowe są prawidłowe i w razie potrzeby uaktualniane,
-
czas przechowywania danych osobowych jest ograniczony do okresu ich przydatności
do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane,
-
wobec osób, których dane osobowe są przetwarzane wykonywany jest obowiązek informacyjny,
-
dane osobowe są zabezpieczone przed naruszeniami zasad ich ochrony.
-
Administrator Danych Osobowych nie przekazuje osobom, których dane osobowe dotyczą, informacji w sytuacji,
w której dane osobowe te muszą zostać poufne zgodnie z obowiązkiem zachowania tajemnicy.
-
Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:
-
naruszenie bezpieczeństwa systemu informatycznego, w których przetwarzane są dane osobowe,
-
udostępnianie danych osobowych osobom lub podmiotom do tego nieupoważnionym,
-
zaniechanie obowiązku zapewnienia ochrony danym osobowym,
-
niedopełnienie obowiązku zachowania w tajemnicy sposobu zabezpieczenia danych osobowych,
-
przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania,
-
uszkodzenie, utrata, niekontrolowana zmiana lub nieuprawnione kopiowanie danych osobowych,
-
naruszenie praw osób, których dane osobowe są przetwarzane.
-
W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych każdy pracownik Muzeum zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia
i do niezwłocznego powiadomienia Inspektora Ochrony Danych Osobowych i Administratora Danych Osobowych.
-
Administrator Danych Osobowych jest zobowiązany do dopilnowania, aby:
-
pracownicy byli odpowiednio przeszkoleni i przygotowani do przetwarzania danych osobowych,
-
pracownicy przetwarzający dane osobowe byli pisemnie upoważnieni do przetwarzania,
-
pracownicy przetwarzający dane osobowe zobowiązali się do zachowania danych osobowych przetwarzanych w Muzeum w tajemnicy.
-
Pracownicy Muzeum zobowiązani są, pod rygorem kar dyscyplinarnych, do:
-
ścisłego przestrzegania zakresu nadanego upoważnienia,
-
przetwarzania i ochrony danych osobowych zgodnie z przepisami,
-
zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia,
-
zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.
OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH
-
Obszar, w którym przetwarzane są dane osobowe obejmuje wszystkie pomieszczenia Muzeum Ziemi Piskiej zlokalizowane w 12-200 Pisz Plac Daszyńskiego 7.
-
Dodatkowo obszar, w którym przetwarzane są dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym powyżej.
ŚRODKI ORGANIZACYJNO-TECHNICZNE ZAPEWNIAJĄCE OCHRONĘ DANYCH
-
Administratora Danych Osobowych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych.
-
Zastosowane środki ochrony są adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. Środki te obejmują:
-
ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe,
-
zamykanie pomieszczeń, w których przetwarzane są dane osobowe na czas nieobecności pracowników,
-
zabezpieczenie dokumentów obejmujących dane osobowe w zamykanych szafkach i/lub sejfach,
-
przetwarzanie zbiorów danych na autoryzowanym służbowym sprzęcie informatycznym Muzeum,
-
wyposażenie stacji roboczych w indywidualną ochronę antywirusową i przed złośliwym oprogramowaniem,
-
dostęp do stacji roboczej i jej systemu operacyjnego za pomocą procesu uwierzytelnienia z wykorzystaniem hasła,
-
wykorzystanie ,mechanicznej niszczarki dokumentów do usuwania dokumentów zawierających dane osobowe,
-
ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu programów typu firewall,
-
wykonywanie kopii awaryjnych danych na dedykowanym nośniku cyfrowym,
-
zabezpieczania danych hasłem przy ich transmisji.
NARUSZENIA ZASAD OCHRONY DANYCH OSOBOWYCH
-
W przypadku stwierdzenia naruszenia zasad ochrony danych osobowych Administrator Danych Osobowych wraz
z Inspektorem Ochrony Danych dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
-
W sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator Danych Osobowych zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu – Prezesowi Urzędu Ochrony Danych Osobowych, bez zbędnej zwłoki i nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
-
Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator Danych Osobowych zawiadamia o incydencie także osobę, której dane dotyczą.
POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
-
Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie
w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w RODO i tylko jeżeli są to dane, które może ujawnić bez naruszenia tajemnicy służbowej.
-
Przed powierzeniem przetwarzania danych osobowych Administrator Danych Osobowych w miarę możliwości uzyska informacje o dotychczasowych praktykach procesora (podmiotu, któremu powierzone zostaną dane) dotyczących zabezpieczenia danych osobowych.
MONITORING WIZYJNY
-
Administrator Danych Osobowych może prowadzić monitoring wizyjny (Closed-Circuit TeleVision CCTV)
w pomieszczeniach Muzeum. Celem prowadzenia monitoringu CCTV jest zapewnienie bezpieczeństwa pracownikom
i ochrona mienia. Stała obserwacja obiektu prowadzona jest w związku z prawnie uzasadnionym interesem realizowanym przez Administratora (RODO art. 6 ust. 1 lit. f). Wizerunek pracowników i gości Muzeum nie jest wykorzystywany do innych celów niż wskazane powyżej. Miejsca objęte monitoringiem CCTV są czytelnie
i jednoznacznie oznakowane.
-
Dane osobowe pozyskane z monitoringu będą przechowywane przez okres 30 dni od dnia nagrania,
po czym zostaną trwale zniszczone.
PRZEKAZYWANIE DANYCH DO PAŃSTWA TRZECIEGO
-
Administrator Danych Osobowych co do zasady nie będzie przekazywał danych osobowych do państwa trzeciego.
-
W przypadku wystąpienia konieczności przekazania danych osobowych do państwa trzeciego Administrator Danych Osobowych wykona to tylko i wyłącznie za zgodą osoby, której dane dotyczą.
SZKOLENIE
-
Każdy pracownik przed dopuszczeniem do pracy w systemie przetwarzającym dane osobowe w formie cyfrowej i/lub papierowej jest przeszkolony w zakresie ochrony danych osobowych.
-
Szkolenie obejmuje swoim zakresem zapoznanie użytkownika z:
-
przepisami prawa o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi;
-
zasadami przetwarzania danych osobowych w Muzeum Ziemi Piskiej;
-
strukturą i zasadami użytkowania systemu informatycznego służącego do przetwarzania danych osobowych;
-
Szkolenie zakończone jest wydaniem przez Administratora upoważnienia do przetwarzania danych osobowych dla osoby szkolonej i przyjęciem od niej oświadczenia o zachowaniu tajemnicy.
POSTANOWIENIA KOŃCOWE
-
Za niedopełnienie obowiązków wynikających z niniejszej Polityki grozi odpowiedzialność na podstawie Kodeksu Pracy, Przepisów o Ochronie Danych Osobowych oraz Kodeksu Karnego w odniesieniu do przetwarzanych danych.
-
Integralną część niniejszej Polityki ochrony danych osobowych są następujące dokumenty wewnętrzne Muzeum:
-
Rejestr czynności przetwarzania danych osobowych.
-
Umowy powierzenia przetwarzania danych osobowych (w przypadku powierzania).
-
Rejestr upoważnień do przetwarzania danych osobowych w Muzeum Ziemi Piskiej.
-
Upoważnienia do przetwarzania danych osobowych.
-
Oświadczenia osoby przetwarzającej dane osobowe.
-
Klauzula informacyjna dla pracowników Muzeum.
-
Klauzula informacyjna dla gości zwiedzających oraz uczestników imprez odbywających się
na terenie Muzeum Ziemi Piskiej
-
Klauzula informacyjna dotycząca monitoringu wizyjnego w Muzeum Ziemi Piskiej.
-
Zasady przetwarzania danych osobowych.
-
Procedura zgłoszenia naruszenia ochrony danych.
-
Rejestr naruszeń ochrony danych osobowych.