OGÓLNA POLITYKA OCHRONY DANYCH OSOBOWYCH
SZKOŁA PODSTAWOWA
W GIERAŁTOWCU

str.1

SPIS TREŚCI
ROZDZIAŁ 1 Postanowienia ogólne ..................................................................................... 3
ROZDZIAŁ 2 Definicje ......................................................................................................... 3
ROZDZIAŁ 3 Zakres i cel stosowania ................................................................................... 4
ROZDZIAŁ 4 Zbiory danych osobowych ............................................................................. 6
ROZDZIAŁ 5 Obowiązek informacyjny ............................................................................... 6
ROZDZIAŁ 6 Upoważnienia i ewidencja osób upoważnionych ........................................... 7
ROZDZIAŁ 7 Obowiązki osób upoważnionych i ich odpowiedzialność .............................. 7
ROZDZIAŁ 8 Szkolenia osób upoważnionych ................................................................... 10
ROZDZIAŁ 9 Udostępnienie i powierzanie danych osobowych ........................................ 10
ROZDZIAŁ 10 Zasady zabezpieczenia danych osobowych ............................................... 11
ROZDZIAŁ 11 Postanowienia końcowe ............................................................................. 11

str.2

ROZDZIAŁ 1 Postanowienia ogólne
§ 1 Celem Ogólnej Polityki Ochrony Danych Osobowych zwanej dalej „Polityką”, jest określenie zasad przetwarzania i zabezpieczania danych osobowych, aby uzyskać optymalny i zgodny z wymogami obowiązujących aktów prawnych sposób przetwarzania informacji zawierających dane osobowe.
§ 2
1. Polityka została opracowana w związku z wymogami zawartymi w art. 24 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. 2. W razie zmiany obowiązujących przepisów prawa powodujących niezgodność niniejszego dokumentu z nimi, Polityka, oraz dokumenty z nią powiązane, zostaną dostosowane do obowiązujących przepisów. § 3
Ochrona danych osobowych realizowana jest poprzez zastosowanie zabezpieczeń fizycznych, opracowanie odpowiednich zasad przetwarzania danych, stosowanie oprogramowania systemowego i aplikacji oraz nadzór osób upoważnionych do przetwarzania danych.
ROZDZIAŁ 2 Definicje
§ 4
Przez użyte w Polityce określenia należy rozumieć: 1) administrator – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; 2) podmiot – Szkoła Podstawowa w Gierałtowcu, Gierałtowiec 42, 59-500 Złotoryja 3) Inspektor ochrony danych (IOD) – osoba wyznaczona przez administratora, posiadająca kwalifikacje zawodowe, a w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wypełniania zadań wynikających z zapisów RODO; 4) RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; 5) dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
6) zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie; 7) przetwarzanie danych – operacja lub zestaw operacji wykonanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; 8) upoważniony – osoba będąca pracownikiem administratora lub osoba wykonującą na rzecz administratora usługi, która w związku z wykonywaniem czynności ma dostęp do danych osobowych, a do ich przetwarzania została pisemnie upoważniona przez administratora; 9) podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora, czyli działający na jego zlecenie; 10) system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych; 11) system tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem danych osobowych zapisanych na papierze; 12) zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem; 13) administrator systemu informatycznego (ASI) – osoba upoważniona przez administratora do administrowania i zarządzania systemami informatycznymi; 14) identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym; 15) hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

str.3

ROZDZIAŁ 3 Zakres i cel stosowania

§ 5
1. Administratorem jest: Dyrektor Szkoły Podstawowej w Gierałtowcu
2. Osobą działającą w imieniu administratora jest: Inspektor Ochrony Danych Osobowych
3. Administrator odpowiedzialny jest za prawidłową organizację ochrony danych osobowych w podmiocie.
4. Administrator może powołać Inspektora ochrony danych – wzór upoważnienia z opisem zakresu obowiązków stanowi zał. nr 1 do niniejszej Polityki. W przypadku braku obowiązku powołania IOD administrator dokumentuje brak zasadności powołania IOD uwzględniając specyfikę i zakres przetwarzania danych osobowych w podmiocie.

str.4

§ 6
1. Celem Polityki jest opracowanie zasad postępowania z danymi osobowymi zgodnie z przepisami prawa, aby zapewnić ich ochronę przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem, zniszczeniem lub nieupoważnioną zmianą.
2. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
a) poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
b) integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
c) rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
d) integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
e) dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
3. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych, a zarządzanie ryzykiem rozumiane jest jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informatycznych służących do przetwarzania danych osobowych. § 7 1. Zapisy Polityki zobowiązane są stosować wszystkie osoby, które w podmiocie mają dostęp do danych osobowych. 2. Polityka dotyczy wszystkich danych osobowych przetwarzanych w podmiocie, niezależnie od formy ich przetwarzania (system tradycyjny, systemy informatyczne).
3. Polityka ma zastosowanie wobec wszystkich komórek organizacyjnych w tym oddziałów, samodzielnych stanowisk pracy i wszystkich procesów przebiegających w ramach przetwarzania danych osobowych. § 8 Politykę stosuje się w szczególności do: a) danych osobowych przetwarzanych w systemach informatycznych; b) wszystkich informacji dotyczących danych osobowych zawartych w przetwarzanych zbiorach; c) wszystkich lokalizacji – budynków i pomieszczeń, w których są przetwarzane dane (wykaz miejsc przetwarzania danych stanowi zał. nr 2 do niniejszej Polityki); d) wszystkich informacji danych zawartych w opisie struktury zbiorów; e) informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych; f) rejestru osób dopuszczonych do przetwarzania danych osobowych; g) innych dokumentów zawierających dane osobowe.
§ 9 Zakresy ochrony danych osobowych określone przez dokumenty Polityki mają zastosowanie do systemów informatycznych, w których są przetwarzane dane osobowe, a w szczególności do: a) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie; b) wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie; c) wszystkich pracowników, stażystów i innych osób mających dostęp do informacji podlegających ochronie.

str.5

ROZDZIAŁ 4 Zbiory danych osobowych
§ 10
1. Administrator lub powołany IOD ma stały nadzór nad określanymi w zał. nr 3 do niniejszej Polityki zbiorami danych osobowych. Wykaz zbiorów danych zawiera informacje o: a) systemach informatycznych służących do przetwarzania poszczególnych zbiorów, b) podstawie prawnej przetwarzania danych (zasada legalności), c) terminie usuwania lub okresowych przeglądów danych pod kątem dalszej ich przydatności (zasada ograniczenia przechowywania). 2. Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych określona została w zał. nr 4 do niniejszej Polityki i podlega stałej weryfikacji pod kątem adekwatności gromadzonych danych w stosunku do celu przetwarzania (zasada minimalizacji).
ROZDZIAŁ 5 Obowiązek informacyjny
§ 11
1. W celu realizacji obowiązku informacyjnego administrator, w przypadku pozyskiwania danych osobowych od osób fizycznych przedstawia klauzule informacyjne zawierające elementy takie jak: dane kontaktowe administratora, dane Inspektora ochrony danych (jeśli został powołany), cel przetwarzania danych, podstawa prawna przetwarzania (jeśli istnieje), okres przechowywania danych lub kryteria określenia tego okresu, informacje o prawach przyznanych przepisami prawa, np.: prawo do dostępu do swoich danych, prawo do sprostowania danych, prawo do odwołania zgody na przetwarzanie (jeśli zgoda jest podstawą do przetwarzania tych danych),informacje o prawie do wniesienia skargi do organu nadzorczego, gdy osoba, której dane dotyczą uzna, ze przetwarzanie jej danych odbywa się z naruszeniem przepisów ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r., informacje czy podanie danych jest warunkiem zawarcia umowy lub wymogiem ustawowym (jeśli dotyczy), informacje czy podanie danych jest obowiązkowe i jakie są ewentualne konsekwencje niepodania danych.
2. Klauzule informacyjne stosowane są w szczególności: w procesie rekrutacji, przy zatrudnianiu pracowników, przy zawieraniu umów z osobami fizycznymi, przy pozyskiwaniu danych w celach marketingowych, przy pozyskiwaniu danych poprzez formularze na stronach internetowych, na wszelkich formularzach służących do pozyskiwania danych osobowych.
3. Administrator lub powołany IOD ma stały nadzór nad prawidłowym kształtem klauzul informacyjnych, dba o to, by były one czytelne, zrozumiałe i jasno przedstawiały informacje na temat procesu przetwarzania danych.

str.6

ROZDZIAŁ 6 Upoważnienia i ewidencja osób upoważnionych
§ 12
1. Do przetwarzania danych dopuszczone są wyłącznie osoby posiadające upoważnienie nadane przez administratora. Wzór upoważnienia stanowi zał. nr 5 do niniejszej Polityki.
2. Administrator nadając uprawnienia pracownikom, którzy przetwarzają dane odbiera od pracownika oświadczenie o zachowaniu danych w poufności oraz o zapoznaniu się z przepisami i wewnętrznymi politykami określającymi zasady zabezpieczania i przetwarzania danych osobowych w podmiocie.
3. W celu nadzoru nad ważnością i zakresem upoważnień administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która stanowi zał. nr 6 do niniejszej Polityki. Ewidencja zawiera informacje takie jak: a) imię i nazwisko upoważnionego, b) zakres upoważnienia, c) datę nadania upoważnienia, d) datę ustania upoważnienia (uzupełnianą w momencie odwołania upoważnienia – zakończenia stosunku pracy lub zmiany zakresu upoważnienia np. w przypadku zmiany stanowiska).
ROZDZIAŁ 7 Obowiązki osób upoważnionych i ich odpowiedzialność
§ 13
1. Osoba korzystająca z komputera przenośnego w celu przetwarzania danych osobowych zobowiązana jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed zniszczeniem.

str.8

2. Pracownicy zobowiązani są przetwarzać dane zgodnie z prawem – wykorzystywać dane zgodnie z celem, dla którego zostały zebrane.
3. Należy zabezpieczać dane osobowe przed ich utratą, uszkodzeniem, zniszczeniem czy zmianą i nie udostępniać osobom nieupoważnionym.
4. Osoby upoważnione zobowiązuje się do stosowania określonych przez administratora procedur i środków przetwarzania oraz zabezpieczania danych osobowych, a także do podporządkowania się poleceniom przełożonych w zakresie ochrony danych osobowych.
5. Zadaniem osoby upoważnionej jest dopilnowanie, by przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej.
6. Dokumenty zawierające dane osobowe niezbędne do pracy w terenie należy przechowywać w warunkach gwarantujących ich należytą ochronę, tj. w teczkach uniemożliwiających odczytanie zawartości dokumentów.
7. Pozostawanie w pracy po godzinach pracy może mieć miejsce tylko w związku z pełnionymi obowiązkami i za zgodą administratora lub osoby przez niego upoważnionej.
8. Po zakończeniu pracy: a) komputery wyłącza się, a komputery przenośne (w przypadku jego używania) zabezpiecza się w zamykanych szafkach, b) dokumenty zawierające dane osobowe zabezpiecza się poprzez zamknięcie w biurku/szafie, a klucze od biurek i szaf przechowuje się w uzgodnionym dla siebie miejscu, c) pomieszczenie zamyka się na klucz, zaraz po sprawdzeniu czy w pomieszczeniu nie pozostały niezabezpieczone dokumenty zawierające dane osobowe.
9. Pracownicy mają zachować szczególną ostrożność przy otwieraniu wiadomości mailowych zawierających załączniki, zwłaszcza w przypadku otrzymania wiadomości od nieznanego nadawcy.
10. W przypadku używania zewnętrznych nośników danych (pendrive, dyski zewnętrzne) na komputerach służbowych pracownik ponosi odpowiedzialność za skutki ich używania.
11. Pracownicy, których zakres obowiązków wymaga dokonywania czynności służbowych związanych z dokumentacją zawierającą dane osobowe poza obszarem przetwarzania danych, a także czynności związanych z przesyłaniem i transportem korespondencji, są zobowiązani stosować środki zapewniające ochronę tych danych osobowych podczas ich transportu, przechowywania i użytkowania poza obszarem siedziby pracodawcy, a w szczególności zabezpieczyć te dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
12. Każdy pracownik, który podejrzewa, iż mogło nastąpić naruszenie bezpieczeństwa ochrony danych osobowych lub podejrzewa próbę dokonania takiego naruszenia przez osoby nieupoważnione, jest zobowiązany do niezwłocznego poinformowania o powyższym Dyrektora Szkoły Podstawowej w Gierałtowcu, który prowadzi postępowanie kontrolne, pod kątem wyjaśnienia okoliczności ewentualnego naruszenia bezpieczeństwa danych osobowych.
13. Pracownicy w celu skutecznego usunięcia błędnie utworzonych lub niepotrzebnych już wydruków z danymi osobowymi mają obowiązek używać niszczarki do dokumentów. Obowiązkiem pracownika jest dopilnowanie, by przeznaczone do usunięcia dokumenty, zawierające dane osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie.
14. W przypadku przejścia na inne stanowisko lub rozwiązania stosunku pracy, pracownik upoważniony do dostępu do danych osobowych zobowiązany jest rozliczyć się z dokumentów zawierających dane osobowe.

str.9

§ 14
Użytkownik komputera przenośnego zobowiązany jest do:
a) transportu komputera w sposób minimalizujący ryzyko kradzieży lub zniszczenia, a w szczególności: transportowania komputera w bagażu podręcznym, nie pozostawiania komputera w samochodzie, przechowalni bagażu, itp.,
b) przenoszenia komputera w torbie przeznaczonej do przenoszenia komputerów przenośnych,
c) korzystania z komputera w sposób minimalizujący ryzyko podejrzenia danych przez osoby nieupoważnione, w szczególności zabrania się korzystania z komputera w miejscach publicznych i w środkach transportu publicznego,
d) nie zezwalania osobom nieupoważnionym do korzystania z komputera przenośnego, na którym przetwarzane są dane osobowe,
e) zabezpieczania komputera przenośnego hasłem i blokowanie dostępu przed użyciem przez osoby postronne,
f) kopiowania danych osobowych przetwarzanych na komputerze przenośnym do systemu informatycznego w celu umożliwienia wykonania kopii awaryjnej tych danych,
g) umożliwienia, poprzez podłączenie komputera do sieci informatycznej administratora w celu aktualizacji wzorców wirusów w programie antywirusowym,
h) utrzymania konfiguracji oprogramowania systemowego w sposób wymuszający korzystanie z haseł,
i) wykorzystywania haseł odpowiedniej jakości zgodnie z wytycznymi dotyczącymi tworzenia haseł w systemie informatycznym przetwarzającym dane osobowe,
j) zmiany haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzającego dane osobowe.
§ 15
1. Pracownicy, których zakres obowiązków wymaga dokonywania czynności służbowych z dokumentacją zawierającą dane osobowe poza obszarem przetwarzania danych, a także czynności związanych z przesyłaniem i transportem korespondencji ponoszą pełną odpowiedzialność za powierzony im sprzęt oraz dokumentację znajdującą się poza siedzibą administratora. 2. Odpowiedzialność za bezpieczeństwo dokumentacji lub akt wynoszonych poza obszar przetwarzania danych ponosi pracownik, który te akta wynosi, z chwilą ich pobrania. Odpowiedzialność ta dotyczy również danych znajdujących się na nośnikach cyfrowych 3. Wszyscy pracownicy upoważnieni do przetwarzania danych osobowych zobowiązani są do stosowania reguł zawartych w niniejszej Polityce i dokumentach powiązanych. 4. Wobec osoby, która w przypadku stwierdzenia lub podejrzenia naruszenia bezpieczeństwa danych osobowych nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła osoby odpowiedzialnej za nadzorowanie naruszeń, lub nie stosuje się do obowiązków wynikających z wewnętrznych polityk można wszcząć postępowanie dyscyplinarne. Kara dyscyplinarna orzeczona wobec osoby uchylającej się od powiadomienia nie wyklucza odpowiedzialności karnej tej osoby, zgodnie z przepisami oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat.

str.10

ROZDZIAŁ 8 Szkolenia osób upoważnionych § 16 1. Każda osoba przed dopuszczeniem do pracy ze zbiorami danych osobowych w wersji papierowej lub mająca dostęp do systemu informatycznego służącego do przetwarzania danych osobowych zostaje poddana przeszkoleniu w zakresie ochrony danych osobowych. 2. Za zorganizowanie szkolenia odpowiada Dyrektor Szkoły Podstawowej w Gierałtowcu 3. Zakres szkolenia obejmuje zaznajomienie upoważnionego z przepisami z zakresu ochrony danych osobowych i wydanymi na ich podstawie wytycznymi oraz instrukcjami obowiązującymi u administratora w zakresie zasad pracy z danymi osobowymi w zbiorach tradycyjnych i przetwarzanych za pomocą systemów informatycznych. 4. Szkolenia osób upoważnionych odbywają się cyklicznie, a powtarzane są zwłaszcza gdy: a) częste są uchybienia przy przetwarzaniu danych osobowych wynikające z zaniedbań pracowników, b) nastąpiła zmiana przepisów dotyczących przetwarzania i zabezpieczania danych osobowych. 5. Dokument zaświadczający odbycie szkolenia przechowywany jest w aktach osobowych pracownika.
ROZDZIAŁ 9 Udostępnienie i powierzanie danych osobowych
§ 17
1. Administrator bądź pracownicy upoważnieni do przetwarzania danych osobowych mogą udostępniać dane osobowe wnioskującemu z zachowaniem zasady, że udostępnienie danych osobowych nie może naruszać praw i wolości osoby, których dane dotyczą. Wzór wniosku o udostępnienie danych stanowi zał. nr 7 do niniejszej Polityki. Każdorazowe udostępnienie danych jest odnotowane w rejestrze udostępniania, który stanowi zał. nr 8 do niniejszej Polityki.
2. Powierzenie przetwarzania danych osobowych administrator korzysta wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi prawa i chroniło prawa osób, których dane dotyczą.
3. W przypadku powierzenia przetwarzania danych może mieć miejsce na podstawie pisemnej umowy zawartej między administratorem a podmiotem przetwarzającym, która określa w szczególności przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Wzór umowy powierzenia danych stanowi zał. nr 9 do niniejszej Polityki.
4. W umowie powierzenia administrator gwarantuje sobie prawo do osobistej lub zleconej (audyt zewnętrzny) kontroli wykonania przedmiotu umowy w siedzibie podmiotu przetwarzającego m. in. w zakresie odpowiedniego zabezpieczania danych oraz przestrzegania właściwych przepisów prawa.
5. Wykaz podmiotów, którym powierzono przetwarzanie danych stanowi zał. nr 10 do niniejszej Polityki.

str.11

6. Powierzenie przetwarzania danych uregulowane w Polityce nie ma zastosowania do przekazywania danych podmiotom upoważnionym do ich przetwarzania na mocy przepisów prawa, w tym w szczególności ZUS, Prokuraturze, Policji, Sądom, Komornikom, itd.
ROZDZIAŁ 10 Zasady zabezpieczenia danych osobowych
§ 18 1. Administrator lub powołany Inspektor ochrony danych jest odpowiedzialny za zastosowanie adekwatnych do istniejących zagrożeń zabezpieczeń. Zastosowane zabezpieczenia mają zminimalizować ryzyko wystąpienia niebezpiecznych zdarzeń – ograniczyć ryzyko zabrania danych przez osobę nieuprawnioną, uszkodzenia lub zniszczenia danych. 2. W podmiocie wprowadza się zabezpieczenia: a) organizacyjne – polegające na wprowadzeniu w placówce rozwiązań organizacyjnych zapewniających przejrzystość reguł zabezpieczających przetwarzane dane; b) techniczne – środki ochrony zawarte w oprogramowaniu, sprzęcie komputerowym i urządzeniach telekomunikacyjnych; c) fizyczne – zapewniające ochronę pomieszczeń i miejsc przechowywania danych osobowych, aby utrudnić ich naruszenie. 3. Wykaz wprowadzonych w podmiocie zabezpieczeń stanowi zał. nr 11 do niniejszej Polityki.
ROZDZIAŁ 11 Postanowienia końcowe
§ 19
1. W sprawach nieuregulowanych w wewnętrznej polityce administratora mają zastosowanie przepisy prawa z zakresu ochrony danych osobowych.
2. Administrator lub wyznaczony Inspektor ochrony danych dokonuje systematycznej analizy wdrożonych dokumentów z zakresu ochrony danych osobowych w celu oceny ich aktualności i ewentualnej ich aktualizacji. Analiza taka dokonywana jest nie rzadziej niż raz w roku
3. W celu wykazania realizacji obowiązku nadzoru nad dokumentacją z zakresu ochrony danych osobowych prowadzony jest zał. nr 12 do niniejszej Polityki zawierający zestawienie informacji o aktualizowanych załącznikach do niniejszej Polityki lub aktualizacji treści dokumentów powiązanych.
4. Wykaz dokumentów powiązanych z niniejszą Polityką stanowi zał. nr 13 do niniejszej Polityki.
5. Wszyscy pracownicy upoważnieni do przetwarzania danych osobowych zobowiązani są do zapoznania się z niniejszą Polityką i dokumentami powiązanymi. Wykaz osób zapoznanych z wewnętrznymi zasadami ochrony danych osobowych stanowi zał. nr 14 do niniejszej Polityki.
6. Integralną część niniejszej Polityki stanowią załączniki:

str.12

Zał. nr 1 – Upoważnienie dla Inspektora ochrony danych Zał. nr 2 – Wykaz budynków i pomieszczeń Zał. nr 3 – Wykaz zbiorów danych Zał. nr 4 – Opis struktury zbiorów danych Zał. nr 5 – Wzór upoważnienia do przetwarzania danych Zał. nr 6 – Ewidencja osób upoważnionych Zał. nr 7 – Wniosek o udostępnienie danych Zał. nr 8 – Zestawienie udostępnianych danych Zał. nr 9 – Wzór umowy powierzenia danych Zał. nr 10 – Wykaz podmiotów, którym powierzono przetwarzanie danych Zał. nr 11 – Wykaz wprowadzonych zabezpieczeń Zał. nr 12 – Zestawienie informacji o aktualizacji wewnętrznych polityk Zał. nr 13 – Wykaz dokumentów powiązanych z Polityką Zał. nr 14 – Wykaz osób zapoznanych z zapisami wewnętrznych polityk
§ 20 Niniejszy dokument wchodzi w życie z dniem 25 maja 2018r.

Podpis:
Administrator