Regulamin Ochrony Danych Osobowych

Regulamin

Ochrony Danych Osobowych

w Spółdzielni Mieszkaniowej

w Sulechowie

  1. PODSTAWA PRAWNA
  2. Ustawa z dnia 29 sierpnia1997 r. o ochronie danych osobowych ( t. jedn. Dz.U z 3.09.2014 r. poz. 1182 )
  3. Ustawa z dnia 16.09.1982 r. Prawo Spółdzielcze ( tekst jedn. Dz.U z 2013 r. poz. 1443)
  4. Ustawa z dnia 15.12.2000 r. o spółdzielniach mieszkaniowych ( tekst jednolity D.U z 2013 r. poz. 1222 z późn. zm.).
  1. POSTANOWIENIA  OGÓLNE

§ 1.

  1. Ochrona danych osobowych w Spółdzielni Mieszkaniowej w Sulechowie ma na celu zapewnienie ochrony prywatności osób, których dane Spółdzielnia przetwarza.
  2. Regulamin niniejszy określa zasady ochrony danych osobowych i sposobu zabezpieczenia zbiorów danych osobowych, będących w posiadaniu Spółdzielni, a także określa obowiązki administratora danych osobowych oraz prawa osób, których dane Spółdzielnia przetwarza.

§ 2.

  1. Przez użyte w treści sformułowania należy rozumieć :
    1. dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
    2. zbiór danych – każdy posiadający strukturę zestaw danych osobowych dostępnych według określonych kryteriów, w którym dane są przetwarzane w szczególności :

-        w kartotekach

-        w skorowidzach

-        w księgach

-        w wykazach

-        w rejestrach

-        w systemach informatycznych

  1. przetwarzanie danych – wszelkie operacje  wykonywane na danych osobowych i ich zbiorach, w szczególności : zbieranie, utrwalanie , przechowywanie, opracowywanie, zmienianie, udostępnianie i suwanie danych osobowych,
  2. usuwanie danych osobowych – zniszczenie  danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą,
  3. administrator danych osobowych – podmiot zajmujący się przetwarzaniem danych osobowych. Administratorem danych osobowych jest Spółdzielnia Mieszkaniowa w Sulechowie, a w jej imieniu Zarząd Spółdzielni,
  4. administrator bezpieczeństwa informacji – osoba odpowiedzialna za bezpieczeństwo danych osobowych w systemie informatycznym wyznaczona przez administratora danych osobowych,
  5. system informatyczny – system przetwarzania informacji wraz ze związanymi z nim ludźmi oraz zasobami technicznymi i finansowymi, który dostarcza i rozprowadza informacje.

§ 3

Celem zabezpieczenia zbiorów danych osobowych członków Spółdzielni Mieszkaniowej oraz innych osób, posiadających tytuły prawne do lokali w budynkach wchodzących w skład nieruchomości będących w zarządzie Spółdzielni, pracowników i kontrahentów Spółdzielni, a także zabezpieczenia ich przetwarzania, jest uniemożliwienie dostępu do zbioru danych osobom nieuprawnionym, bądź zbierania ich przez osobę nieuprawnioną oraz zabezpieczenia danych przed ich uszkodzeniem lub zniszczeniem.

§ 4

  1. Spółdzielnia jako administrator danych osobowych przetwarza dane osobowe swoich członków dla realizacji celów statutowych w zakresie:
    1. prowadzenia rejestru członków,
    2. prowadzenia rejestru właścicieli lokali, nie będących członkami Spółdzielni,
    3. prowadzenia rejestru lokali, dla których ustanowiono przedmiot odrębnej własności  lokali,
    4. sporządzania list niezbędnych dla obliczania opłat za użytkowanie lokali,
    5. prowadzenia rejestru lokal, dla których zostały założone księgi wieczyste z adnotacją o ustanowionych hipotekach,
    6. gromadzenia i przetwarzania danych osobowych zawartych w indywidualnych aktach członków Spółdzielni,
    7. wywieszania spisu mieszkańców i umieszczania nazwisk przy instalacji domofonowej.
    8. Spółdzielnia jako administrator danych osobowych przetwarza dane osobowe swoich pracowników w zakresie określonym przepisami Kodeksu Pracy, poprzez gromadzenie i przetwarzanie akt osobowych pracowników.
  1. ZASADY  DOSTĘPU PRACOWNIKÓW SPÓŁDZIELNI DO DANYCH OSOBOWYCH

§ 5

  1. Spółdzielnia jako administrator danych osobowych jest obowiązana zapewnić kontrolę nad tym jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
  2. Dostęp do zbioru danych osobowych oraz do ich przetwarzania mogą mieć wyłącznie osoby, które uzyskały pisemne upoważnienie, wydane przez Zarząd Spółdzielni.
  3. Zarząd Spółdzielni prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych – użytkowników systemu informatycznego, zawierający :

- imię i nazwisko pracownika

- stanowisko

- zakres, w jakim pracownik został dopuszczony do przetwarzania danych osobowych w systemie informatycznym,

- datę wydania upoważnienia,

- datę utraty upoważnienia,

- indywidualny identyfikator pracownika.

  1. Pracownik, który uzyskał upoważnienie do dostępu do zbioru danych osobowych i ich przetwarzania powinien być zapoznany z przepisami dotyczącymi ochrony danych osobowych.
  2. Pracownik Spółdzielni, który uzyskał dostępu do zbioru danych osobowych i ich przetwarzania, zobowiązany jest do złożenia oświadczenia o zachowaniu ich w tajemnicy. Obowiązek ten istnieje również po ustaniu zatrudnienia przy przetwarzaniu danych osobowych.
  3. Upoważnienie, o którym mowa w ust. 2 oraz oświadczenie pracownika o zachowaniu danych osobowych dołączone zostaną do akt osobowych pracownika.
  4. Indywidualny zakres czynności pracownika, dopuszczonego do przetwarzania danych osobowych powinien określać jego obowiązki wynikające z czynności związanych z przetwarzaniem danych osobowych oraz zakres, w jakim pracownik został upoważniony do przetwarzania tych danych.

§ 6

  1. Dane osobowe są przechowywane i przetwarzane w Spółdzielni w wydzielonych i zabezpieczonych pomieszczeniach określonych uchwałą Zarządu Spółdzielni.
  2. Do pomieszczeń, o których mowa w ust. 1 mogą mieć dostęp jedynie pracownicy Spółdzielni, o których mowa w § 5.
  3. Pomieszczenia, w których przechowywane i przetwarzane są dane osobowe, są zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych osobowych.
  1. OCHRONA DANYCH OSOBOWYCH

§ 7

  1. Przy obsłudze systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych mogą być zatrudnieni wyłącznie pracownicy posiadający upoważnienie wydane przez Zarząd Spółdzielni.
  2. Pracownikowi zatrudnionemu przy przetwarzaniu danych osobowych w systemie informatycznym, Administrator bezpieczeństwa informacji,  wyznaczony przez administratora danych  osobowych przydziela odrębny identyfikator i hasło.
  3. Identyfikator powinien być wpisany do ewidencji pracowników zatrudnionych przy przetwarzaniu danych osobowych.
  4. Ustalony identyfikator pracownika nie podlega zmianie w okresie jego zatrudnienia, a po wykreśleniu użytkownika  z systemu informatycznego nie może być przydzielony innemu pracownikowi.
  5. Hasło przydzielone pracownikowi podlega zmianie co 12 miesięcy.
  6. Hasło powinno zawierać od 6 do 10 znaków, w tym litery duże i małe oraz znaki specjalne i cyfry.
  7. Hasło przydzielone pracownikowi zatrudnionemu przy przetwarzaniu danych osobowych pracownik powinien utrzymać w tajemnicy, także po upływie jego ważności.
  8. Bezpośredni dostęp do systemu informatycznego zawierającego dane osobowe może nastąpić wyłącznie po podaniu identyfikatora i hasła.
  9. Identyfikator osoby, która utraciła uprawnienia dostępu do systemu informatycznego zawierającego dane osobowe, należy natychmiast wyrejestrować z systemu i unieważnić jej hasło.

§ 8

  1. Zarząd Spółdzielni wyznacza „administratora bezpieczeństwa informacji” (ABI) odpowiedzialnego za bezpieczeństwo danych osobowych gromadzonych, nadzorującego przestrzeganie zasad ochrony danych osobowych.
  2. Administrator bezpieczeństwa informacji odpowiedzialny jest za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadkach wykrycia naruszeń w systemie zabezpieczeń.
  3. Administratorem bezpieczeństwa informacji może być osoba, która ma pełną zdolność do czynności prawnych, korzysta z pełni praw publicznych, posiada odpowiednią wiedzę z zakresu ochrony danych osobowych i nie była karana za przestępstwo umyślne.
  4.  Zarząd Spółdzielni zgłasza powołanie administratora bezpieczeństwa informacji do rejestru ABI prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych – w ciągu 30 dni od dnia jego powołania.

§ 9

  1. Do zadań administratora bezpieczeństwa informacji należy :
    1. zapewnienie przestrzegania w Spółdzielni przepisów o ochronie danych osobowych, w szczególności poprzez :

- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych zgodnie z wymogami określonymi w art. 36 c ustawy o ochronie danych osobowych,

- nadzorowanie sporządzania i aktualizowania przez administratora danych, dokumentacji dotyczącej przetwarzania danych oraz stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych,

- zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

  1.  prowadzenie rejestru zbiorów danych osobowych przetwarzanych    przez Spółdzielnię.
  1. Administrator bezpieczeństwa informacji w zakresie zadań związanych z ochroną danych osobowych podlega bezpośrednio kierownikowi Spółdzielni.
  2. Spółdzielnia zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji, niezbędne dla należytego wykonywania jego zadań.

§ 10

  1. Pracownik zatrudniony przy przetwarzaniu danych osobowych w systemie informatycznym obowiązany jest niezwłocznie powiadomić administratora bezpieczeństwa gdy :

-        stwierdzi naruszenie zabezpieczenia systemu informatycznego,

-        stan urządzeń, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakości komunikacji sieci mogą wskazywać na naruszenie zabezpieczeń tych danych.

  1. Administrator bezpieczeństwa informacji po stwierdzeniu naruszenia systemu informatycznego ma obowiązek :

- zabezpieczyć ślady pozwalające na określenie przyczyny naruszenia systemu informatycznego,

- przeanalizować i określić skutki naruszenia systemu informatycznego,

- określić czynniki, które spowodowały naruszenie systemu informatycznego,

- dokonać niezbędnych korekt w systemie informatycznym polegających na zabezpieczeniu systemu przed ponownym jego naruszeniem,

- powiadomić Zarząd Spółdzielni o naruszeniu systemu informatycznego jego przyczynach i skutkach oraz podjętych działaniach korygujących system.

§ 11

System informatyczny powinien zapewnić odnotowanie :

- daty wprowadzenia i modyfikacji danych osobowych,

- identyfikatora użytkownika systemu wprowadzającego dane,

- informację, komu, kiedy i w jakim zakresie dane zostały udostępnione oraz żądanie zaprzestania przetwarzania danych po jego udostępnieniu.

§ 12

  1. System informatyczny służący do przetwarzania danych osobowych musi pozwalać na udostępnienie tych danych na piśmie w formie powszechnie zrozumiałej.
  2. Dane przedstawione w formie pisemnej powinny zawierać informacje określone w § 11.

§ 13

Urządzenia i systemy informatyczne służące do przetwarzania danych osobowych zasilane energią elektryczną, powinny być zabezpieczone przed utratą danych spowodowaną awarią zasilania lub zakłóceniami sieci zasilającej.

§ 14

  1. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych.
  2. Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania danych osobowych, pozbawia się wcześniej zapisu tych danych
  3. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych, albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.
  4. Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia, należy zniszczyć w stopniu uniemożliwiającym ich odczytanie.

§ 15

  1. Kopie awaryjne nie powinny być przechowywane w tych samych pomieszczeniach, w których są przechowywane zbiory danych osobowych, eksploatowanych na bieżąco.
  2. Kopie awaryjne należy sprawdzać okresowo tj. raz w miesiącu i bezzwłocznie niszczyć po stwierdzeniu ustania ich użyteczności dla odtworzenia danych w przypadku awarii systemu.

§ 16

  1. Pomieszczenia, w których przetwarzane są dane osobowe, muszą być zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych osobowych, w sposób uniemożliwiający dostęp do tych pomieszczeń osób nieuprawnionych.
  2. Przebywanie osób nieuprawnionych oraz dostęp do danych osobowych w pomieszczeniu, w którym przetwarzane są dane osobowe, jest możliwe jedynie w obecności osoby zatrudnionej przy przetwarzaniu tych danych i za zgodą zarządu Spółdzielni.
  3. W pomieszczeniach, w których przebywają osoby postronne, monitory powinny być ustawione w taki sposób, aby uniemożliwić im wgląd w dane osobowe.

§ 17

Osoba użytkująca przenośny komputer, służący do przetwarzania danych osobowych, obowiązana jest zachować szczególną ostrożność podczas transportu i przechowywania tego komputera poza obszarem, o którym mowa w § 6 ust. 1 w celu zapobieżenia tych dostępowi do tych danych osobom niepowołanym. W szczególności powinna zabezpieczyć komputer i nie zezwalać na używanie komputera osobom nieuprawnionym do dostępu do danych osobowych.

  1. UDOSTĘPNIANIE  DANYCH  OSOBOWYCH

§ 18

  1. Zarząd Spółdzielni udostępni dane osobowe członka Spółdzielni Walnemu Zgromadzeniu i Radzie Nadzorczej jedynie w przypadku, gdy w sprawie danego członka toczy się postepowanie wewnątrzspółdzielcze w trybie określonym postanowieniami statutu Spółdzielni.
  2. Dane osobowe członka Spółdzielni są udostępniane organom samorządowym Spółdzielni, rozpatrującym jego sprawę w postępowaniu wewnątrzspółdzielczym, tylko w zakresie mogącym mieć znaczenie dla danej sprawy.
  3. Zarząd Spółdzielni jest zobowiązany udostępnić Radzie Nadzorczej wszelkie sprawozdania i księgi oraz dokumenty dotyczące  działalności statutowej Spółdzielni. Prawo wglądu we wszystkie dokumenty, księgi i sprawozdania przysługuje Radzie Nadzorczej jako organowi kolegialnemu.
  4. Indywidualni członkowie Rady Nadzorczej mogą korzystać z tego prawa, jeżeli zostali do tego upoważnieni uchwałą organu powierzającego im przeprowadzenie badań określonej dziedziny działalności Spółdzielni, których wyniki mogą być przedstawiane do określonej dziedziny działalności Spółdzielni, których wyniki mogą być przedstawiane do oceny organu.
  5. Dokumenty udostępnione organom samorządowym nie mogą być wynoszone poza siedzibę Spółdzielni w żadnej postaci tj. oryginałów, kserokopii czy odpisów.
  6. W przypadku podjęcia przez Radę Nadzorczą uchwały o zleceniu badania dokumentów, sporządzania ekspertyzy lub opinii uprawnionym specjalistom – biegłym, dokumenty wskazane przez Radę Nadzorczą przygotowuje ( sporządza kopie ) i parafuje upoważniony przez Zarząd pracownik Spółdzielni.
  7. Zarząd Spółdzielni jest zobowiązany do poinformowania członków organów samorządowych Spółdzielni, rozpatrujących sprawę członka Spółdzielni w postepowaniu wewnątrzspółdzielczym o przepisach dotyczących prawnej ochrony danych osobowych.
  8. Członkowie organów samorządowych Spółdzielni zobowiązani są do złożenia pisemnego oświadczenia o zachowaniu w tajemnicy danych osobowych. Wzór oświadczenia stanowi załącznik do regulaminu.

§ 19

  1. Udostępnianie danych osobowych przetwarzanych przez Spółdzielnię osobom fizycznym lub podmiotom publicznym, uprawnionym do ich otrzymania na podstawie przepisów prawa , może nastąpić na pisemny umotywowany wniosek, chyba że przepis szczególny stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych oraz wskazywać ich zakres i przeznaczenie.
  2. Spółdzielnia może udostępnić dane osobowe innym podmiotom np. w celu rozliczania kosztów zużytej energii cieplnej, wydrukowania książeczek do wnoszenia opłat czynszowych – w drodze umowy zawartej na piśmie.
  3. Umieszczanie nazwiska w spisie mieszkańców domu lub instalacji domofonowej , wymaga zgody osoby, której dane te dotyczą.
  4. Spółdzielnia może odmówić udostępnienia danych osobowych w przypadkach określonych ustawą o ochronie danych osobowych.
  1. PRAWA OSÓB,  KTÓRYCH  DANE  SĄ  PRZETWARZANE

§ 20

  1. Osoba, której dane są przetwarzane przez Spółdzielnię, ma prawo do :
    1. informacji o :
      1. sposobie przetwarzania danych osobowych (ręczne przetwarzanie danych, metody informatyczne, w tym sieci komputerowej)
      2. sposobie udostępniania danych osobowych oraz odbiorcach lub kategorii odbiorców danych, którym te dane są udostępniane,
      3. czy taki zbiór istnieje oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy,
      4. celu, zakresie i sposobie przetwarzania danych, oraz od kiedy dane były przetwarzane,
      5. źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy służbowej, państwowej czy zawodowej
  2. żądania uzupełnienia, uaktualnienia i sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane.
  3. wniesienia w przypadkach wymienionych w art. 23 ust. 1 pkt. 4 i 5 Ustawy o ochronie danych osobowych, pisemnego umotywowanego żądania  zaprzestania przetwarzania  jej danych ze względu na szczególną sytuację.
  1. PRZEPISY  KOŃCOWE

§ 21

  1. Udostępnienie członkom Spółdzielni danych objętych ustawą z dnia 29.08.1997 r. o ochronie danych osobowych, a także innych danych prawem chronionych wymaga upoważnienia przepisów odpowiednich ustaw.
  2. Osoby przetwarzające dane z naruszeniem ustawy o ochronie danych osobowych podlegają odpowiedzialności karnej określone w  § 49 do  § 54 ustawy o ochronie danych osobowych.

Regulamin niniejszy obowiązuje członków organów samorządowych tj. Rady Nadzorczej, Zarządu Spółdzielni oraz pracowników Spółdzielni.

Regulamin niniejszy został uchwalony uchwałą Rady Nadzorczej Nr 26/2015 z dnia 27.08.2015 r. i obowiązuje od dnia 27.08.2015 r.

REKLAMY

Copyright © SM KAMIENNA 2010-2019. All rights reserved.