1. Niniejsza Polityka Bezpieczeństwa i Przetwarzania Danych Osobowych, zwana dalej Polityką, stanowi zbiór zasad i regulacji ochrony danych osobowych w Oddziale Międzyuczelnianym Polskiego Towarzystwa Turystyczno-Krajoznawczego w Warszawie
   z siedzibą przy ul. Senatorskiej 11, 00-075 Warszawa, zwanym dalej OM.
   Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).
2. Polityka zawiera opis zasad ochrony danych obowiązujących w OM.
3. Za wdrożenie, utrzymanie, nadzór i monitorowanie przestrzegania niniejszej Polityki jest odpowiedzialny Zarząd OM, zaś za stosowanie niniejszej Polityki odpowiedzialni są:
   a. członkowie OM;
   b. współpracownicy świadczący usługi na podstawie umowy cywilnoprawnej;
   c. wolontariusze;
   d. inne wyznaczone osoby.
4. OM powinien zapewnić zgodność postępowania podmiotów przetwarzających dane osobowe z niniejszą Polityką w odpowiednim zakresie, gdy dochodzi do przekazania im danych osobowych przez OM.
5. Użyte w niniejszej Polityce definicje oznaczają:
   a. Administrator Danych – Oddział Międzyuczelniany Polskiego Towarzystwa Turystyczno-Krajoznawczego w Warszawie z siedzibą przy ul. Senatorskiej 11, 00-075 Warszawa;
   b. Poufność danych – rozumie się przez to własność zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
   c. Użytkownik – osoba upoważniona przez Administratora Danych do przetwarzania danych osobowych.
   d. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie.
   e. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika).

§ 1
Postanowienia ogólne

1. Polityka dotyczy wszystkich danych osobowych przetwarzanych w OM, niezależnie
   od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
2. Polityka jest przechowywana w wersji elektronicznej.
3. Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie
   do przetwarzania danych osobowych, na wniosek tych osób, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią, a także wszystkim, których dane są przetwarzane.

§ 2

Dane osobowe przetwarzane przez OM

1. Administrator danych prowadzi rejestr czynności przetwarzania.
2. Rejestr jest narzędziem służącym do weryfikacji i rozliczania zgodności z ochroną danych.
3. OM stale identyfikuje i weryfikuje podstawy prawne przetwarzania danych i rejestruje
   je w Rejestrze.
4. Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać
   z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.

§ 3

Zarządzanie bezpieczeństwem

1. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa, a także innymi dokumentami wewnętrznymi i procedurami związanymi
   z Przetwarzaniem danych osobowych w OM.
2. Wszystkie dane osobowe są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa na podstawie jednej z przewidzianych przepisami prawa podstaw dla przetwarzania danych.
3. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności:
   a. naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;
   b. udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom
   do tego nieupoważnionym;
   c. niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia;
   d. zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;
   e. przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
   f. spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych;
   g. naruszenie praw osób, których dane są przetwarzane.
4. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych Użytkownik lub podmiot przetwarzający zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do powiadomienia Administratora Danych o zdarzeniu niezwłocznie, jednak nie później
   niż po upływie 24 godzin od powzięcia wiedzy o wystąpieniu zdarzenia.
5. Do obowiązków Administratora Danych w zakresie nawiązywania współpracy z wolontariuszami lub osobami podejmującymi czynności na rzecz Administratora Danych na podstawie innych umów cywilnoprawnych należy zapewnienie, by:
   a. Wolontariusze byli odpowiednio przygotowani do wykonywania swoich obowiązków,
   b. każdy z przetwarzających Dane osobowe był pisemnie upoważniony do ich przetwarzania,
   c. każda z tych osób zobowiązała się do zachowania danych osobowych przetwarzanych w OM w tajemnicy.

§ 4

Powierzenie przetwarzania danych osobowych

Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi przepisami prawa.

§ 5
Realizacja praw jednostki

1. OM jest zobowiązany zapewnić gwarancje ochrony praw i wolności osób trzecich.
2. OM dba o przejrzystość i sposób przekazywanych informacji i komunikacji z osobami, których dane przetwarza.
3. OM ułatwia osobom korzystanie z ich praw poprzez wszelkie działania prawem dozwolone.
4. OM dokłada wszelkich starań w celu terminowej realizacji obowiązków względem tych osób.
5. OM dokumentuje sposób realizacji obowiązków informacyjnych, zawiadomień
   i żądań osób.
6. Na żądanie osoby dotyczące dostępu do jej danych, OM informuje osobę o przetwarzaniu jej danych oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących.
7. OM niezwłocznie informuje osobę o rozpatrzeniu lub odmowie rozpatrzenia żądania
   i o prawach osoby z tym związanych.
8. OM uzupełnia i aktualizuje dane, w tym na żądanie osoby. OM ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych.
9. Na żądanie osoby OM usuwa dane, gdy:
   a. dane nie są niezbędne do celów, w których zostały zebrane ani przetwarzane w innych celach,
   b. dane były przetwarzane niezgodnie z prawem,
   c. zgoda na ich przetwarzanie została cofnięta,
   d. brak jest podstawy prawnej przetwarzania,
   e. osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
   f. konieczność usunięcia wynika z realizacji obowiązku prawnego.

§ 6
Obowiązki informacyjne

1. Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie
   z treścią art. 13 i 14 RODO.
2. OM informuje osobę o przetwarzaniu jej danych podczas pozyskiwania danych od tej osoby.
3. OM informuje osoby o wszelkich operacjach przeprowadzanych na danych osobowych,
   w tym o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych.
4. OM niezwłocznie zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.

§ 7

Określenie środków niezbędnych dla zapewnienia prawidłowego przetwarzanych danych

1. Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności przetwarzanych danych.
2. Zastosowane środki ochrony, w tym techniczne i organizacyjne, powinny być adekwatne do stwierdzonego poziomu ryzyka, w tym:
   a. Wstęp do pomieszczeń, w których przetwarzane są dane osobowe, powinien być ograniczony jedynie do osób odpowiednio upoważnionych.
   b. Pomieszczenia powinny być zamykane na czas nieobecności Użytkowników, w sposób uniemożliwiający dostęp do nich osób nieupoważnionych.
   c. Szafki, w których przechowywane są dokumenty zawierające dane osobowe, powinny być zamykane.
   d. Usuwanie dokumentów zawierających dane osobowe powinno być przeprowadzane
   w niszczarce.
   e. Sieć powinna być odpowiednio zabezpieczona.
   f. Sprzęt komputerowy powinien być chroniony przed złośliwym oprogramowaniem.
   g. Urządzenia, na których przechowywane są dane (komputer stacjonarny, urządzenia przenośne) powinny być zabezpieczone odpowiednimi hasłami.
   h. Foldery na wirtualnym dysku powinny być zabezpieczone hasłem.
   i. Hasło powinno być zmieniane co najmniej raz na 6 miesięcy i tylko zarząd OM powinien mieć do niego dostęp.

§ 8

Postępowanie w przypadku naruszenia zasad ochrony danych osobowych

1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw
   lub wolności osoby fizycznej.
2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki –
   jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
3. W przypadku naruszenia ochrony danych osobowych, Administrator niezwłocznie zawiadamia o incydencie także osobę,
   której dane dotyczą.

§ 9
Postanowienia końcowe

Przed dopuszczeniem do wykonania zadań na rzecz OM z dostępem do danych osobowych, każdy wolontariusz zobowiązany jest do zapoznania się z przepisami dotyczącymi ochrony danych osobowych, w tym z niniejszą Polityką.