Polityka ochrony danych osobowych

Polityka Ochrony Danych Osobowych Powiatowego Urzędu Pracy w Krakowie, ul. Centralna 15

§1 Postanowienie ogólne

1. Celem wdrożenia niniejszej polityki jest zapewnienie należytej ochrony danych osobowych będących w zasobach administratora danych, w szczególności adekwatnej do zagrożeń i kategorii danych osobowych objętych ochroną oraz uzyskanie optymalnego dla działalności Urzędu i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe.

2. Powiatowy Urząd Pracy przetwarza dane osobowe oraz wytwarza i administruje dokumentacją zawierającą takie dane, dlatego podlega ustawie o ochronie danych osobowych. Dane osobowe przetwarzane w Powiatowym Urzędzie Pracy w Krakowie, ul. Centralna 15 dotyczą klientów Powiatowego Urzędu Pracy (bezrobotnych i pracodawców) oraz pracowników Urzędu. Nieuprawnione ujawnienie danych osobowych może narazić na szkodę prawnie chroniony interes osób, których te dane dotyczą.

3. Polityka ochrony danych Powiatowego Urzędu Pracy określa sposób prowadzenia oraz zakres dokumentacji odnoszącej się do sposobu przetwarzania danych osobowych, a także określa środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych - odpowiednie do zagrożeń oraz kategorii danych objętych ochroną.

4. Zakres przedmiotowy stosowania niniejszej polityki obejmuje wszystkie zbiory danych osobowych przetwarzane przez administratora danych - odnosi się swoją treścią do informacji:

1) w formie papierowej - przetwarzanej w ramach systemu tradycyjnego;

2) w formie elektronicznej - przetwarzanej w ramach systemu informatycznego.

5. Zakres podmiotowy stosowania niniejszej polityki obejmuje wszystkich pracowników oraz osoby, przy pomocy, których administrator danych wykonuje swoje czynności, które posiadają dostęp do danych osobowych.

§2 Podstawy prawne

1. Akty prawne, które normują działanie Powiatowego Urzędu Pracy:

a. Konstytucja Rzeczypospolitej Polskiej;

b. Ustawa z dnia 05 czerwca 1998 r. o samorządzie powiatowym;

c. Ustawa z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy;

d. Rozporządzenie Ministra Pracy i Polityki Społecznej z dnia 12 listopada 2012 r. w sprawie rejestracji bezrobotnych i poszukujących pracy, w celu realizacji zadań wynikających z tej ustawy.

2. Akty prawne dotyczące przetwarzania/bezpieczeństwa informacji:

a) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych;

b) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;

c) Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 12 grudnia 2014 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych;

d) Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 27 listopada 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji;

e) Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego;

f) Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;

g) Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

§3 Definicje

Użyte w niniejszej dokumentacji przetwarzania danych osobowych definicje i pojęcia są wspólne dla wszystkich dokumentów powiązanych z niniejszą dokumentacją oraz dla wszystkich pozostałych dokumentów, które zostały przyjęte przez Administratora w zakresie ochrony danych osobowych.

Definicje i pojęcia:

1. Polityka oznacza niniejszą Politykę ochrony danych osobowych.

2. RODO oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s.1).

3. Administrator Danych Osobowych (ADO) - organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Administratorem danych jest Dyrektor Urzędu, który ponosi pełnię odpowiedzialności wynikającej z przepisów ustawy o ochronie danych osobowych w odniesieniu do zbiorów danych osobowych znajdujących się w jego dyspozycji.

4. Dane osobowe - oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer PESEL, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

5. Zbiór danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

6. Dane specjalne oznaczają dane wymienione w art. 9 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

7. Dane karne oznaczają dane wymienione w art. 10 RODO, tj. dane dotyczące wyroków skazujących i naruszeń prawa.

8. Dane dzieci oznaczają dane osób poniżej 16 roku życia.

9. Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

10. Ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.

11. Podmiot przetwarzający oznacza organizację lub osobę, której Powiatowy Urząd Pracy w Krakowie, ul. Centralna 15 powierzył przetwarzanie danych osobowych. (np. usługi niezbędne do funkcjonowania Urzędu).

12. Eksport danych oznacza przekazanie danych do Stanów Zjednoczonych lub organizacji międzynarodowej.

13. Organ nadzorczy - Prezes Urzędu Ochrony Danych Osobowych.

14. IOD lub Inspektor oznacza Inspektora Ochrony Danych Osobowych.

15. RCPD lub Rejestr oznacza Rejestr Czynności Przetwarzania Danych Osobowych.

16. Upoważnienie - nadawane przez Administratora wskazujące Jan i Kowalski osobę, która ma prawo przetwarzać dane w zakresie wskazanym w tym oświadczeniu.

17. Ustawa - rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

18. Użytkownik systemu - rozumie się przez to osobę upoważnioną, która otrzymała dostęp do sieci umożliwiający korzystanie z sieci Internet oraz login i hasło do systemu.

19. Login - identyfikator użytkownika (login) - ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym.

20. Hasło - ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

§4 Zasady ochrony danych

Powiatowy Urząd Pracy w Krakowie, ul. Centralna 15 przetwarza dane osobowe z poszanowaniem następujących dziesięciu zasad:

1) w oparciu o podstawę prawną i zgodnie z prawem (legalizm);

2) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami ("ograniczenie celu");

3) rzetelnie i uczciwie (rzetelność);

4) w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);

5) w konkretnych celach i nie "na zapas" (minimalizacja);

6) nie więcej niż potrzeba (adekwatność);

7) z dbałością o prawidłowość danych (prawidłowość);

8) nie dłużej niż potrzeba (czasowość);

9) zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo);

10) Administrator jest odpowiedzialny za przestrzeganie obowiązujących przepisów prawa i musi być w stanie wykazać ich przestrzeganie ("rozliczalność").

§5 Administrator Danych Osobowych

1. Administrator dokłada należytej staranności w celu ochrony interesów osób, których dane osobowe dotyczą, w szczególności jest obowiązany zapewnić, aby dane: były przetwarzane zgodnie z prawem, zbierane dla oznaczonych celów, merytorycznie poprawne i adekwatne do celów w jakich są zbierane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą oraz aby zapewniona była legalność, bezpieczeństwo, prawa jednostki i rozliczalność danych.

2. Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę danych osobowych odpowiednią do zagrożeń oraz kategorii przetwarzanych danych oraz zabezpiecza posiadane dane przed: ich udostępnieniem, zmianą, utratą, uszkodzeniem, zniszczeniem lub przetwarzaniem przez osobę nieupoważnioną.

3. Administrator deklaruje pełne zaangażowanie i determinację celem zapewnienia bezpieczeństwa przetwarzanych danych osobowych, a także prawidłowego zabezpieczenia systemu informatycznego służącego do przetwarzania danych osobowych.

4. Administrator w szczególności zapewnia:

a) środki tec