Załącznik nr 1 do Uchwały nr 3/2020 Walnego Zgromadzenia Członków z dnia 18 czerwca 2020 r. POLITYKA OCHRONY DANYCH W STOWARZYSZENIU MIŁOŚNIKÓW WSI KRYG „KRYGOWIACY” z siedzibą w Krygu Rozdział I Postanowienia ogólne § 1 1. Niniejsza Polityka ochrony danych określa zasady dotyczące przetwarzania i zabezpieczenia danych osobowych (w tym: politykę prywatności, politykę bezpieczeństwa oraz) w Stowarzyszeniu Miłośników Wsi Kryg „Krygowiacy” z siedzibą w Krygu, Kryg 454, 38-304 Kryg, zarejestrowanego w rejestrze stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz publicznych zakładów opieki zdrowotnej Krajowego Rejestru Sądowego pod numerem 0000814003, której akta są przechowywane przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie Wydział XII Gospodarczy Krajowego Rejestru Sądowego, NIP 738-215-90-96, REGON 384899974, zgodnie z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L.2016.119.1 ze zm.). 2. Niniejszy dokument stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 RODO. 3. Polityka ma zastosowanie do wszystkich danych osobowych przetwarzanych w Stowarzyszeniu Miłośników Wsi Kryg „Krygowiacy” w ramach procesów przetwarzania danych osobowych. 4. Obowiązek ochrony danych osobowych przetwarzanych w Stowarzyszeniu Miłośników Wsi Kryg „Krygowiacy” dotyczy wszystkich osób, które mają do nich dostęp bez względu na zajmowane stanowisko oraz miejsce wykonywania pracy, jak również charakter stosunku pracy. 5. Każda osoba, która ma mieć dostęp do danych osobowych, będzie mogła je przetwarzać wyłącznie na podstawie otrzymanego upoważnienia. 6. Osoby mające dostęp do danych osobowych są zobowiązane do zapoznania się z Polityką ochrony danych osobowych w Stowarzyszeniu Miłośników Wsi Kryg „Krygowiacy” i innymi powiązanymi z nią dokumentami oraz stosowania zawartych w nich regulacji. 7. Polityka ochrony danych osobowych w Stowarzyszeniu Miłośników Wsi Kryg „Krygowiacy” zachowuje zgodność z innymi wewnętrznymi regulacjami z obszaru bezpieczeństwa informacji obowiązującymi w Stowarzyszeniu. 8. Nadzór nad opracowaniem i aktualizacją Polityki sprawuje Zarząd Stowarzyszenia. 9. Zarząd Stowarzyszenia zatwierdza, w drodze uchwały Politykę ochrony danych osobowych Stowarzyszenia Miłośników Wsi Kryg „Krygowiacy” i jej aktualizacje. § 2 1. Na potrzeby niniejszej Polityki Ochrony Danych w Stowarzyszeniu Miłośników Wsi Kryg „Krygowiacy”, poniższe słowa i wyrażenia pisane wielką literą będą miały znaczenie tutaj im przypisane, przy czym wyjątek stanowić będzie jasno określony kontekst wskazujący na inne znaczenie. Występujące w niniejszej Polityce zwroty oznaczają: 1) Administrator Danych Osobowych (ADO) – Zarząd Stowarzyszenia Miłośników Wsi „Kryg” i/lub podmiot wskazany każdorazowo w Podsystemie Ochrony Danych – w odniesieniu do danych objętych tym Podsystemem Ochrony Danych; 2) RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L.2016.119.1 ze zm.). 3) Stowarzyszenie – Stowarzyszenie Miłośników Wsi Kryg „Krygowiacy” z siedzibą w Krygu, Kryg 454, 38-304 Kryg, zarejestrowane w rejestrze stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz publicznych zakładów opieki zdrowotnej Krajowego Rejestru Sądowego pod numerem 0000814003, której akta są przechowywane przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, Wydział XII Gospodarczy Krajowego Rejestru Sądowego, o nadanym NIP 738-215-90-96, nr REGON 384899974; 4) Polityka – niniejszą Politykę ochrony danych w Stowarzyszeniu Miłośników Wsi Kryg „Krygowiacy” wraz ze stanowiącymi jej integralną część załącznikami; 5) Pracownik Stowarzyszenia – osobę zatrudnioną przez Stowarzyszenie/realizującą na rzecz Stowarzyszenia zadania w oparciu o: umowę o pracę i/lub umowę cywilnoprawną (w tym zwłaszcza umowę zlecenie, umowę o dzieło, umowę agencyjną) i/lub inny stosunek, w tym m.in.: na zasadach określonych w ustawie z dnia 24 kwietnia 2003 r. o działalności pożytku publicznego i o wolontariacie (j.t. Dz. U. z 2019 r. poz. 688 ze zm.), praktykanta, stażystę Stowarzyszenia, posiadającą pisemne upoważnienie do przetwarzania danych nadane przez ADO; 6) Dane Osobowe – wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Stowarzyszenie, w ramach realizacji zadań statutowych, przetwarza dane osobowe dotyczące m.in. – lecz nie wyłącznie: a) Pracowników Stowarzyszenia; b) Uczestników Projektów; c) osób, których dane są przetwarzane w związku z badaniem kwalifikowalności wydatków w Projektach, w tym m.in. oferentów (wykonawców), uczestników komisji przetargowych; 7) Dane Osobowe Szczególne – szczególne kategorie danych określone w art. 9 RODO, w tym: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby; jak również dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa, o których mowa w art. 10 RODO; 8) Dokument – dowolny nośnik, tradycyjny lub elektroniczny, na którym utrwalone (zapisane) są dane osobowe; 9) Inspektor Ochrony Danych (IOD) – osobę wyznaczoną przez Zarząd Stowarzyszenia, która realizuje zadania monitorowania przestrzegania przepisów o ochronie danych osobowych w Stowarzyszeniu, i inne zadania określone m.in. w art. 39 RODO, UODO, innych powszechnie obowiązujących przepisów z zakresu ochrony danych osobowych oraz niniejszej Polityce; 10) Komórka Organizacyjna (KO) – jednostkę organizacyjną Stowarzyszenia, utworzoną w sposób przewidziany w Statucie Stowarzyszenia, w tym wszelkie jednostki terenowe/oddziały/koła Stowarzyszenia; 11) Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych; 12) Odbiorca Danych – podmiot, któremu udostępniane są dane osobowe; 13) Osoba Upoważniona – osobę upoważnioną do przetwarzania danych osobowych przez ADO, mającą bezpośredni dostęp do danych przetwarzanych w systemie informatycznym lub w dokumentacji papierowej; 14) Podmiot Przetwarzający – podmiot, któremu Stowarzyszenie powierza czynności przetwarzania danych osobowych w swoim imieniu; 15) Profilowanie – dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się; 16) Przetwarzanie Danych Osobowych – operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; 17) Projekt – przedsięwzięcie zmierzające do osiągnięcia założonego celu, określonego wskaźnikami, z określonym początkiem i końcem realizacji, zgłoszone do objęcia albo objęte współfinansowaniem ze środków zewnętrznych (np.: środków UE w ramach Regionalnego Programu Operacyjnego Województwa Małopolskiego,) odnośnie którego Stowarzyszenie złożyło wniosek o dofinansowanie wraz z załącznikami; 18) Podsystem Ochrony Danych – zbiór zasad i reguł postępowania dotyczących przetwarzania danych osobowych w związku z realizacją przez Stowarzyszenie Projektów. W przypadku każdorazowej realizacji Projektu przez Stowarzyszenie Podsystem ochrony danych obowiązujących w Stowarzyszeniu zostanie określony w odrębnym dokumencie, który zostanie przyjęty do stosowania odrębną uchwałą Zarządu Stowarzyszenia i/lub który jest stosowany w Stowarzyszeniu w chwili wejścia w życie niniejszej Polityki. Aktualnie stosowane przez Stowarzyszenie Podsystemy ochrony danych zostały ujęte w Załączniku nr 1 do niniejszej Polityki. 19) PUODO – Prezes Urzędu Ochrony Danych Osobowych; 20) UODO – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (j. t. Dz. U. z 2019 r., poz. 1781); 21) Zasób danych osobowych – wszystkie dane osobowe, niezależnie od sposobu ich utrwalenia, zarówno w formie elektronicznej – w systemie informatycznym oraz na nośnikach (płyty CD/DVD/BD, pamięci flash i inne) jak i papierowej przetwarzane przez Stowarzyszenie/KO w celu realizacji jej zadań; 22) System Informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu Przetwarzania Danych. Rozdział II Zarządzanie przetwarzaniem danych osobowych oraz ich bezpieczeństwem § 3 1. Zarząd Stowarzyszenia jest odpowiedzialny za Przetwarzanie i ochronę Danych Osobowych w Stowarzyszeniu, zgodnie z przepisami prawa, w tym za wdrożenie niniejszej Polityki. 2. Zarząd Stowarzyszenia wyznacza IOD, który wykonuje zadania określone w art. 39 RODO oraz związane z monitorowaniem zasad przetwarzania danych osobowych w Stowarzyszeniu. 3. Zarząd Stowarzyszenia może wyznaczyć zastępców IOD oraz inne osoby, które wchodzą w skład Zespołu IOD i wspomagają wykonywanie zadań monitorowania ochrony danych w Stowarzyszeniu/KO. § 4 1. Zarząd Stowarzyszenia / osoby wyznaczone przez Zarząd, stosownie do postanowień §3 ust. 2 i 3 Polityki jest odpowiedzialny/są odpowiedzialni za zarządzanie procesami przetwarzania danych osobowych w swoich komórkach/ w Stowarzyszeniu. Do obowiązków Zarządu / osób wyznaczonych przez Zarząd, stosownie do postanowień §3 ust. 2 i 3 Polityki, należy: 1) zarządzanie czynnościami przetwarzania danych osobowych w ramach zadań, realizowanych przez swoje KO/przez Stowarzyszenie; 2) występowanie z wnioskami do ADO o nadanie, zmianę lub cofnięcie uprawnień Osobom upoważnionym do określonych zasobów danych osobowych przetwarzanych w systemie informatycznym, zgodnie z zakresem upoważnienia do przetwarzania danych osobowych; 3) zapoznanie Pracowników Stowarzyszenia i/lub innych Osób upoważnionych i/lub Odbiorców danych i/lub osób, których dane są przetwarzane z zasadami przetwarzania i ochrony danych w podległej KO/w Stowarzyszeniu. Powyższy obowiązek nie dotyczy tych Rozdziałów niniejszej Polityki, które mają charakter niejawny, tj. m.in. polityki ochrony danych osobowych oraz instrukcji zarządzania systemem informatycznym, stanowiącej Załącznik nr 9 do niniejszej Polityki 4) wypełnianie obowiązków dotyczących zabezpieczenia obszaru przetwarzanych danych osobowych w podległej KO/w Stowarzyszeniu; 5) zgłaszanie do IOD zamiaru rozpoczęcia nowego procesu przetwarzania danych osobowych lub zmiany w czynnościach przetwarzania danych realizowanych w KO/ w Stowarzyszeniu; 6) w przypadku zbierania danych osobowych, konsultowanie z IOD podstaw prawnych przetwarzania danych osobowych, w tym zbierania i archiwizowanie zgód osób na przetwarzanie ich danych osobowych w wymaganych przepisami przypadkach; 7) ustalanie w porozumieniu z IOD zasad tworzenia kopii zapasowych plików z danymi osobowymi, znajdującymi się na stacjach roboczych użytkowników w podległej KO/w Stowarzyszeniu; 8) realizacja procesu udostępniania danych osobowych innemu podmiotowi lub osobie, której dane dotyczą; 9) realizacja procesów związanych z powierzaniem przetwarzania danych osobowych przez Stowarzyszenie innym podmiotom – zgodnie z zawartymi umowami powierzenia przetwarzania danych osobowych. § 5 1. Zarząd Stowarzyszenia/IOD/osoba wyznaczona przez Zarząd, stosownie do postanowień §3 ust. 2 i 3 Polityki jest odpowiedzialny/a za: 1) przygotowanie upoważnienia do przetwarzania danych osobowych dla Osób upoważnionych; 2) przechowywanie nadanych upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu tajemnicy danych osobowych i sposobów ich zabezpieczania wraz z dokumentacją dotyczącą Pracownika Stowarzyszenia (tj. m.in. aktami osobowymi lub umowami cywilnoprawnymi lub innymi dokumentami, na podstawie których nawiązano współpracę z Pracownikiem Stowarzyszenia); 3) prowadzenie aktualnej ewidencji Osób upoważnionych do przetwarzania danych osobowych; 4) zarządzanie systemem informatycznym służącym do przetwarzania danych osobowych w Stowarzyszeniu; 5) zapewnienie bezpieczeństwa systemów informatycznych przetwarzających dane osobowe. Rozdział III Upoważnianie osób do przetwarzania danych osobowych § 6 1. Wszystkie osoby, które wykonują czynności związane z przetwarzaniem Danych osobowych w Stowarzyszeniu, w ramach wykonywania zadań służbowych na stanowiskach pracy lub prac zleconych, muszą posiadać pisemne upoważnienie do przetwarzania Danych osobowych oraz podpisać oświadczenie o zachowaniu tajemnicy danych oraz sposobów ich zabezpieczenia (wzór upoważnienia oraz oświadczenia stanowi Załącznik nr 3 do niniejszej Polityki). 2. Upoważnienia do przetwarzania Danych osobowych nadaje Zarząd Stowarzyszenia/ osoba wyznaczona przez Zarząd, stosownie do postanowień §3 ust. 2 i 3 Polityki na podstawie pełnomocnictwa od Zarządu Stowarzyszenia. Upoważnienia do Przetwarzania Danych osobowych są przygotowywane i przechowywane przez IOD. 3. Każda osoba upoważniona do przetwarzania danych osobowych przechodzi szkolenie z zasad ochrony danych w Stowarzyszeniu. 4. Szkolenia wstępne i okresowe dla osób upoważnionych przeprowadzi IOD wg ustalonego uprzednio przez Zarząd w porozumieniu z IOD planu. Rozdział IV Podstawowe zasady, które powinny przestrzegać osoby upoważnione do przetwarzania danych osobowych §7 1. Osoba upoważniona do przetwarzania danych osobowych w Stowarzyszeniu jest zobowiązana do: 1) zapoznania się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz dokumentacją dotyczącą ochrony danych osobowych w Stowarzyszeniu; 2) przechodzenia okresowych szkoleń z obszaru ochrony danych osobowych; 3) przetwarzania danych osobowych wyłącznie w celu i zakresie wynikającym z nałożonych obowiązków służbowych; 4) zachowania wyjątkowej staranności przy przetwarzaniu danych osobowych, w szczególności danych wrażliwych w celu ochrony interesów osób, których dane dotyczą; 5) stosowania określonych w Stowarzyszeniu procedur i środków przetwarzania oraz zabezpieczania danych osobowych; 6) podporządkowania się poleceniom Zarządu albo IOD w zakresie ochrony danych osobowych; 7) zachowania w poufności Danych Osobowych oraz danych stanowiących tajemnicę przedsiębiorstwa; 8) zabezpieczenia danych osobowych przed: ich utratą, uszkodzeniem lub zniszczeniem, zmianą lub ich udostępnieniem osobom nieupoważnionym; 9) dopilnowania, aby przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej; 10) dopilnowania, aby przeznaczone do usunięcia dokumenty, zawierające Dane Osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie – zabronione jest wyrzucanie dokumentów do koszy na śmieci bez ich uprzedniej właściwej anonimizacji; 11) przestrzegania procedur właściwego użytkowania systemów informatycznych, w których przetwarza się Dane Osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł; 12) zachowania należytej staranności podczas przekazywania Danych Osobowych drogą telefoniczną (konieczność właściwej identyfikacji rozmówcy, konieczność ustalenia, czy rozmówca jest uprawniony do pozyskania Danych Osobowych, przekazywanie jedynie niezbędnych informacji); 13) przesyłania Danych Osobowych za pomocą sieci Internet jedyne z użyciem metod kryptograficznych (szyfrowanie danych, kanały bezpiecznej transmisji); 14) niewysyłania za pomocą wiadomości e-mail Danych Osobowych na prywatne adresy, niekopiowania Danych na inne nośniki bez uzasadnionej potrzeby; 15) zachowania należytej ostrożności przy transporcie Dokumentów oraz nośników informatycznych, zawierających Dane Osobowe, poza obszarem przetwarzania w Stowarzyszeniu. 16) niepozostawiania Dokumentów, zawierających Dane Osobowe na / w urządzeniach wielofunkcyjnych (drukowanie, kopiowanie, skanowanie, faxowanie i in.); 17) nieopuszczania stanowiska bez zabezpieczenia Dokumentów papierowych, zawierających Dane Osobowe (zasada „clean desk policy”) oraz bez zabezpieczania dostępu do Danych przetwarzanych w systemie informatycznym (zasada „clear screen policy”); 18) informowania o zdarzeniu operacyjnym dotyczącym Danych Osobowych, zgodnie z obowiązującymi w tym zakresie procedurami; 19) niezwłocznego zaprzestania przetwarzania Danych Osobowych po ustaniu stosunku zatrudnienia. Rozdział V Prowadzenie rejestrów czynności przetwarzania danych osobowych § 8 1. Stowarzyszenie prowadzi rejestr czynności Przetwarzania Danych Osobowych zgodnie z wymaganiami art. 30 ust. 1 RODO w stosunku do danych których Stowarzyszenie jest Administratorem; 2. Wzór rejestru czynności jest określony w Załączniku nr 4 do niniejszej Polityki. 3. Za prowadzenie rejestrów czynności odpowiedzialny jest Zarząd Stowarzyszenia/osoba wyznaczona przez Zarząd, stosownie do postanowień §3 ust. 3 Polityki. Podmiot wskazany w zdaniu poprzedzającym inwentaryzuje procesy Przetwarzania Danych Osobowych w Stowarzyszeniu, przypisując do nich określone czynności Przetwarzania Danych. 4. Zarząd Stowarzyszenia/IOD/osoba wyznaczona przez Zarząd, stosownie do postanowień §3 ust. 3 Polityki, dokonuje przeglądów procesów Przetwarzania Danych w celach aktualizacji prowadzonych rejestrów. 5. Zarząd Stowarzyszenia/ osoba wyznaczona przez Zarząd, stosownie do postanowień §3 ust. 3 Polityki mają obowiązek na bieżąco informować IOD o procesach Przetwarzania Danych Osobowych realizowanych w swoich KO / w Stowarzyszeniu oraz o wszelkich zmianach w tych procesach, w szczególności dotyczących: 1) celów Przetwarzania Danych, w tym realizowanych czynności; 2) kategorii osób, których dane są przetwarzane; 3) zakresów Przetwarzanych Danych; 4) Podmiotów Przetwarzających, którym dane są powierzane; 5) Odbiorców danych, którym dane są udostępniane; 6) podejrzeń związanych z nieuprawnionym dostępem do danych i / lub stwierdzonych naruszeniach związanych z ochroną danych. Rozdział VI Realizacja obowiązków przy przetwarzaniu danych osobowych § 9 1. Osoby odpowiedzialne w Stowarzyszeniu za procesy, w których zbierane są dane osobowe, mają obowiązek zachowania szczególnej staranności przy ich zbieraniu, w tym: 1) sprawdzać czy są spełnione podstawy prawne na pozyskiwanie danych osobowych, zgodnie z art. 6 RODO oraz art. 9 – 10 RODO; 2) zbierać dane osobowe dla określonych, zgodnych z prawem, celów realizowanych w Stowarzyszeniu; 3) zbierać dane w zakresie adekwatnym do celów w jakich Dane osobowe będą przetwarzane w Stowarzyszeniu. 2. Za stosowanie właściwych oświadczeń zgody przy zbieraniu danych osobowych odpowiada Zarząd Stowarzyszenia/IOD/osoba wyznaczona przez Zarząd, stosownie do postanowień §3 ust. 3 Polityki, a odpowiedzialna za proces zbierania danych. 3. Oświadczenia dotyczące odbierania zgody na przetwarzanie danych osobowych muszą być konsultowane z IOD. 4. IOD może ustalić obowiązujące wzory oświadczeń zgody dla poszczególnych procesów przetwarzania danych realizowanych w Stowarzyszeniu. § 10 1. Osoby, które wykonują zadania związane ze zbieraniem danych osobowych są odpowiedzialne za realizację obowiązków informacyjnych określonych w art. 13 i 14 RODO. 2. Za stosowanie właściwych klauzuli informacyjnych przy zbieraniu danych osobowych odpowiada Zarząd/ osoba odpowiedzialna za proces zbierania danych. 3. Klauzule informacyjne muszą być konsultowane z IOD. 4. IOD może ustalić obowiązujące wzory klauzul informacyjnych dla poszczególnych procesów przetwarzania danych realizowanych w Stowarzyszeniu. § 11 1. Dane osobowe zbierane w ramach procesów realizowanych w Stowarzyszeniu są przetwarzane przez czas określony przez właściwe przepisy prawa lub wewnętrzne przepisy kancelaryjno-archiwalne. 2. Za określenie odpowiednich czasów retencji danych osobowych w procesach przetwarzania danych w Stowarzyszeniu odpowiada IOD. 3. Dane osobowe, dla których okres przetwarzania nie wynika z obowiązujących przepisów prawa i dla których nie jest możliwe określenie z góry tego okresu w wewnętrznych przepisach kancelaryjno – archiwalnych, są przetwarzane tak długo, jak długo istnieje jednocześnie podstawa prawna oraz cel dla ich przetwarzania. 4. Ustanie celu przetwarzania danych jest równoznaczne z koniecznością usunięcia danych osobowych. 5. Dane osobowe przetwarzane wyłącznie w oparciu o przesłankę zgody na przetwarzanie danych osobowych są usuwane zawsze niezwłocznie po wycofaniu takiej zgody. 6. Każda osoba odpowiedzialna w Stowarzyszeniu za określony proces lub procesy przetwarzania danych osobowych co najmniej jeden raz w każdym roku kalendarzowym przeprowadza weryfikację zasobów danych osobowych prowadzonych w formie papierowej jak i elektronicznej, obejmującą: 1) sprawdzenie, czy dane osobowe, dla których upłyną okres przechowywania wynikający z przepisów prawa lub wewnętrznych przepisów kancelaryjno-archiwalnych zostały usunięte; 2) sprawdzenie, czy w odniesieniu do danych osobowych, których czas przechowywania nie został określony przez właściwe przepisy prawa lub wewnętrzne przepisy kancelaryjno-archiwalne, nadal istnieje podstawa prawna oraz cel przetwarzania danych osobowych. 7. W przypadku ustalenia w trakcie weryfikacji, o której mowa w ust. 6, że okres przetwarzania danych osobowych upłynął bądź nie istnieje podstawa prawna lub cel do dalszego przetwarzania danych osobowych, dane osobowe powinny zostać trwale usunięte z nośników papierowych, elektronicznych oraz systemów informatycznych. 8. Szczegółowe zasady usuwania lub anonimizacji danych w systemach informatycznych są ustalane i realizowane przez IOD. § 12 1. Osoby, które udostępniają w imieniu Stowarzyszenia dane osobowe do podmiotu zewnętrznego (w formie papierowej lub elektronicznej), przed ich udostępnieniem mają obowiązek sprawdzić czy istnieją podstawy prawne umożliwiające wykonanie tych czynność, w tym: 1) wymóg prawa dotyczący udostępnienia danych; 2) zgoda osoby na udostępnienie danych innemu podmiotowi; 3) zapis w umowie z podmiotem współpracującym, przy spełnieniu warunku, że udostępnienie nie narusza praw i wolności osoby, której dane dotyczą; 4) wniosek o udostępnienie danych od podmiotu uprawnionego, ze wskazaniem podstawy prawnej do otrzymywania danego rodzaju danych osobowych. 2. Każda sytuacja dotycząca udostępnienia danych osobowych, rodząca wątpliwości, winna być konsultowana z IOD. § 13 1. W sytuacji powierzania czynności przetwarzania danych osobowych zewnętrznemu podmiotowi (podmiotowi przetwarzającemu), należy zawrzeć z nim umowę powierzenia przetwarzania danych osobowych zgodnie z art. 28 ust. 3 RODO. 2. W trakcie dokonywania wyboru podmiotu przetwarzającego należy zweryfikować czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których dane dotyczą. 3. Osoby, które przygotowują w imieniu Stowarzyszenia umowę z podmiotem zewnętrznym, któremu zlecone zostanie wykonywanie czynności związanych z przetwarzaniem danych osobowych zobowiązane są skonsultować odpowiednie zapisy dotyczące powierzenia przetwarzania danych z IOD. 4. Wzór umowy powierzenia znajduje się w Załączniku nr 5 do niniejszej Polityki. 5. Kontrola podmiotów przetwarzających, którym zostały powierzone czynności przetwarzania danych osobowych należących do Stowarzyszenia jest przeprowadzana przez IOD lub inne wyznaczone osoby zgodnie z zapisami zawartymi w umowach powierzenia przetwarzania danych osobowych, w odniesieniu do uprawnienia określonego w art. 28 ust. 3 lit. h RODO. § 14 1. W sytuacji przekazywania danych osobowych do podmiotu znajdującego się w państwie trzecim (poza Europejskim Obszarem Gospodarczym) należy taką sytuację skonsultować z IOD. 2. IOD może ustalić wzory zapisów do umów w ramach, których dochodzi do transferu danych do państwa trzeciego lub organizacji międzynarodowej. Rozdział VII Realizacja praw osób, których dane dotyczą § 15 1. Każdej osobie, której dane osobowe są przetwarzane przez Stowarzyszenie przysługują prawa określone w art. 15 – 22 RODO, w tym: 1) prawo dostępu do danych jej dotyczących; 2) prawo do sprostowania danych; 3) prawo do ograniczenia przetwarzania; 4) prawo do przenoszenia danych; 2. Za rozpatrywanie złożonych do Stowarzyszenia żądań w zakresie uprawnień, o których mowa w ust.1 odpowiada w IOD. 3. W sytuacji powierzania danych podmiotom przetwarzającym lub udostępniania danych innym administratorom danych należy ich powiadamiać o każdym sprostowaniu lub ograniczeniu przetwarzania danych, które było wynikiem realizacji wniosku otrzymanego od osoby, której dane dotyczą. Rozdział VIII Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczania danych osobowych § 16 1. Dobór środków technicznych i organizacyjnych dotyczących przetwarzania i zabezpieczania danych osobowych w Stowarzyszeniu realizowany jest w oparciu o szacowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą. 2. Przy doborze zabezpieczeń należy oceniać ryzyko zarówno w kontekście skutków dla osoby, której dane dotyczą w tym np. dyskryminacja, pozbawienie przysługujących praw, szkody majątkowe i niemajątkowe), jak również ryzyko w kontekście skutków dla Stowarzyszenia w przypadku niepodjęcia działań związanych z zapewnieniem przetwarzania danych osobowych zgodnie z RODO. 3. Ustalone wymagania dotyczące zabezpieczenia danych osobowych w odniesieniu do danego procesu przetwarzania danych osobowych są odnotowywane przez IOD w prowadzonym rejestrze czynności przetwarzania danych osobowych. § 17 1. Planowanie realizacji nowych procesów związanych z przetwarzaniem danych osobowych, w tym w szczególności nowych systemów informatycznych służących do przetwarzania danych osobowych, musi uwzględniać zasady ochrony danych w fazie projektowania („privacy by design”) oraz domyślnej ochrony danych („privacy by default”) 2. Za realizację w Stowarzyszeniu obowiązków, o których mowa w ust. 1 odpowiada IOD. § 18 1. W przypadku realizacji procesów przetwarzania danych osobowych w Stowarzyszeniu, które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania należy dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych zgodnie z art. 35 RODO. 2. Za realizację w Stowarzyszeniu obowiązków, o których mowa w ust.1 odpowiada IOD/osoba wyznaczona przez Zarząd, stosownie do postanowień §3 ust. 3 Polityki. 3. Wykonanie oceny skutków dla danego procesu przetwarzania danych – w przypadkach gdy nie jest dokonywane przez IOD – jest z Nim konsultowane. IOD stwierdza czy w danym przypadku takie działanie jest konieczne. 4. IOD w prowadzonym rejestrze czynności przetwarzania danych osobowych, wskazuje procesy dla których należy przeprowadzać ocenę skutków oraz odnotowuje jej przeprowadzenie. 5. Jeżeli dokonana ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby nie zostały zastosowane środki w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania należy skonsultować się z PUODO. 6. W przypadku konieczności przeprowadzenia konsultacji z PUODO, IOD przygotowuje odpowiedni wniosek o konsultacje zgodnie z art. 36 RODO i kontaktuje się w tej sprawie z organem. Rozdział IX Postępowanie w sytuacji naruszenia ochrony danych § 19 1. W sytuacji powzięcia informacji o naruszeniu lub podejrzeniu naruszenia ochrony danych osobowych należy postępować zgodnie z zasadami wynikającymi z art. 33 i 34 RODO. 2. IOD przygotowuje wykaz sytuacji, które można uznać za naruszenie ochrony danych osobowych, z uwzględnieniem naruszenia prawa i wolności osób, których dane dotyczą. 3. Zgłoszenia naruszenia ochrony danych osobowych przez osobę, której dane dotyczą lub inną osobę spoza Stowarzyszenia są przyjmowane i rozpatrywane przez IOD. 4. Szacowanie ryzyka dotyczące sytuacji naruszenia ochrony danych jest przeprowadzane przez Zarząd Stowarzyszenia w porozumieniu z IOD. § 20 5. W sytuacji stwierdzenia wystąpienia naruszenia ochrony danych osobowych oraz prawdopodobieństwa zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, informacja o naruszeniu powinna zostać zgłoszona do PUODO. 6. Zgłoszenie naruszenia przygotowuje IOD w terminie 24 godzin po stwierdzeniu naruszenia, zgodnie z wymaganiami art. 33 RODO. 7. Zgłoszenie przekazywane jest do PUODO w formie elektronicznej za pomocą systemu informatycznego zgodnie z trybem określonym przez tenże organ. § 21 1. W sytuacji gdy stwierdzone naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o naruszeniu należy zawiadomić wszystkie osoby, których dane dotyczą. IOD analizuje czy w odniesieniu do wymogów art. 34 ust. 3 RODO zawiadomienie osób, których dane dotyczą, będzie wymagane. 2. Zawiadomienie o naruszeniu przygotowuje IOD po potwierdzeniu konieczności jego realizacji zgodnie z Załącznikiem nr 6 do Polityki. § 22 1. Wszystkie stwierdzone naruszenia ochrony danych osobowych są dokumentowane przez IOD. 2. Wzór ewidencji naruszeń ochrony danych osobowych stanowi Załącznik nr 7 do Polityki. Rozdział X Rozliczalność zgodności realizacji obowiązków RODO § 23 1. W celu weryfikacji zastosowanych w Stowarzyszeniu środków technicznych i organizacyjnych, zapewniających przetwarzanie danych osobowych zgodnie z RODO, wykonuje się ich monitorowanie. 2. Monitorowanie ochrony danych osobowych prowadzone jest: 1) na bieżąco przez pracowników Stowarzyszenia, którzy przetwarzają dane osobowe/na bieżąco przez Zarząd; 2) poprzez audyty okresowe i doraźne (w sytuacji wystąpienia incydentów naruszenia ochrony danych) wykonywane przez IOD; 3) podczas audytów wewnętrznych przeprowadzanych przez upoważnione podmioty. 3. IOD okresowo analizuje zgodność dokumentacji przetwarzania danych osobowych przyjętej w Stowarzyszeniu z przepisami o ochronie danych osobowych oraz nadzoruje jej aktualizację. Rozdział XI Odpowiedzialność karna za naruszenie zasad ochrony danych § 24 1. Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi, określonymi w art. 107 – 108 UODO oraz w art. 130, 266 – 269, 287 Kodeksu karnego. 2. Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w ust. 1, naruszenie zasad ochrony danych osobowych, obowiązujących w Stowarzyszeniu, może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością na podstawie przepisów prawa pracy. Rozdział XII Postanowienia końcowe § 25 1. Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie. 2. Zarząd Stowarzyszenia/IOD/osoba wyznaczona przez Zarząd, stosownie do postanowień §3 ust. 3 Polityki jest zobowiązany zapoznać z treścią Polityki Pracowników Stowarzyszenia. § 26 1. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO oraz UODO. 2. Pracownicy Stowarzyszenia zobowiązani są do bezwzględnego stosowania zasad określonych w Polityce. Załączniki: Załącznik nr 1 Podsystemy ochrony danych osobowych Załącznik nr 2 Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych Załącznik nr 3 Wzór dokumentu upoważnienia do przetwarzania danych osobowych Załącznik nr 4 Wzór rejestru czynności przetwarzania danych osobowych prowadzonego przez administratora Załącznik nr 5 Wzór umowy powierzenia przetwarzania danych osobowych Załącznik nr 6 Wzór ewidencji naruszeń ochrony danych Załącznik nr 7 Wzór zawiadomienia osoby, której dane dotyczą, o naruszeniu jej danych osobowych Załącznik nr 8 Wzór Zarządzenia dot. wyznaczenia IOD Załącznik nr 9 Instrukcja Zarządzania systemem informatycznym Załącznik nr 10 Wzór wykazu budynków i pomieszczeń