RODO

Inspektorem ochrony danych w Domu Pomocy Społecznej św. Antoni w Świętochłowicach, ul. Kubiny 11 jest Pan Tomasz Piesiur, kontakt mailowy: abi@medialearning.pl

Obowiązek informacyjny

Caritas Archidiecezji Katowickiej Dom Pomocy Społecznej św. Antoni w Świętochłowicach, ul. Kubiny 11, zgodnie z art. 13 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) informuje Panią/Pana, że:

administratorem Pani/Pana danych osobowych jest Caritas Archidiecezji Katowickiej Dom Pomocy Społecznej św. Antoni w Świętochłowicach, ul. Kubiny 11,
Kontakt z Inspektorem Ochrony Danych – abi@medialearning.pl
przetwarzanie Pani/Pana danych osobowych jest niezbędne w związku z obowiązkiem prawnym ciążącym na administratorze – zgodnie z art. 6 ust. 1 lit. c RODO,
podstawą prawną do przetwarzania danych osobowych jest ustawa z dnia 12 marca 2004 r. o pomocy społecznej (tj. Dz. U. z 2017 r., poz. 1769 ze zm.) oraz art. 9 ust. 2 lit. h ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r., a także dane są przetwarzane w celu realizacji zadań zleconych jednostce przez podmioty uprawnione na podstawie przepisów odrębnych,
dane mogą być przekazywane podmiotom upoważnionym na podstawie przepisów prawa oraz podmiotom zewnętrznym zajmującym się bieżącą obsługą DPS (na podstawie podpisanej umowy powierzenia danych),
dane będą przechowywane przez okres niezbędny dla realizacji prawnie uzasadnionych interesów administratora, w tym do prawidłowego wykonania decyzji kierujących mieszkańców do DPS. Po spełnieniu celu, dla którego dane zostały zebrane, dane mogą być przechowywane jedynie w celach archiwalnych,
posiada Pani/Pan prawo do dostępu, sprostowania lub ograniczenia przetwarzania,
osoba przekazująca swoje dane ma prawo do wniesienia skargi do Urzędu Ochrony Danych Osobowych,
podanie przez Panią/Pana danych osobowych jest wymogiem ustawowym,
Pani/Pana dane nie będą przetwarzane w sposób zautomatyzowany, w tym nie będzie wobec nich profilowania.

Regulamin Bezpieczeństwa podczas wykonywania pracy zdalnej

Niniejszy regulamin stanowi wykaz podstawowych obowiązków z zakresu przestrzegania zasad ochrony danych osobowych podczas wykonywania pracy zdalnej na polecenie Pracodawcy zgodnie z przepisami RODO dla:

Pracowników
Współpracowników
Pracowników podmiotów trzecich, posiadających dostęp do danych osobowych

Każda z w/w osób powinna zapoznać się z poniższym regulaminem oraz zobowiązać się do stosowania zasad w nim zawartych

1. Regulamin określa zasady wykonywania pracy zdalnej zgodnie z zasadami ochrony danych osobowych

2. Stosowane w Regulaminie pojęcie "Pracownik" należy rozumieć jako Osobę zatrudnioną w formie etatu, kontraktu, umowy cywilnoprawej, osobę fizyczną prowadzącą własną działalność gospodarczą z dostępem do zasobów sprzętowych i informacyjnych Pracodawcy. Pojęcie "Pracodawca" należy rozumieć jako Pracodawcę w kontekście Kodeksu pracy oraz Zleceniodawcę usług

1. Zasady bezpiecznego użytkowania sprzętu IT przeznaczonego do pracy zdalnej

Użytkownik odpowiada za zabezpieczenie sprzętu IT (laptop, tablet, smartfon) przed zniszczeniem, uszkodzeniem, utratą oraz kradzieżą
Użytkownik zobowiązany jest do przechowywania danych osobowych związanych z wykonywaniem zadań służbowych na zaszyfrowanych dyskach, partycjach, kartach pamięci zamontowanych w sprzęcie IT
Użytkownik zobowiązany jest do zabezpieczenia dostępu do sprzętu IT, nośników (dysków przenośnych, pendrive, CD, DVD, kart typu flash) oraz danych osobowych na nich zawartych przed osobami postronnymi oraz domownikami
Użytkownik zobowiązany jest do bezpiecznego przewożenia sprzętu IT (bagażnik samochodu, torba na laptop)
Zakazane jest wynoszenie niezaszyfrowanych nośników z zapisanymi danymi osobowymi poza siedzibę Pracodawcy
Dane osobowe przechowywane na nośnikach (dyskach przenośnych, pendrive, CD, DVD, kartach typu flash) poza siedzibą Pracodawcy muszą być zaszyfrowane.
Zakazane jest kopiowanie/zapisywanie danych osobowych związanych z wykonywaniem zadań służbowych na niezabezpieczone prywatne nośniki zewnętrzne
Pliki z danym osobowymi przechowywane na niezabezpieczonych nośnikach na sprzęcie IT firmowym lub prywatnym powinny być zabezpieczone hasłem (hasłowanie plików typu office, hasłowanie plików spakowanych w formatach 7zip, Winrar, Winzip)
Przy wykorzystaniu sieci publicznej, użytkownik zobowiązuje się do stosowania zabezpieczonego przed podsłuchem połączenia zdalnego (VPN, SSL)
W przypadku pracy terminalowej, użytkownik zobowiązany jest do pracy z użyciem pulpitu zdalnego
Dostęp do domowej sieci WiFi powinien być zabezpieczony hasłem
Rekomendowana jest zmiana hasła i loginu dostępowego do routera
Sprzęt IT powinien być zabezpieczony aktywnym firewallem
Aktywny program antywirusowy
Automatyczne blokowanie sprzętu IT po dłuższym braku aktywności
Praca na koncie z uprawnieniami niższymi niż administracyjne
Aplikacje do transferu danych powinny być uzgodnione z informatykiem a dostęp do ich poprzez uwierzytelnienie

2. Zarządzanie uprawnieniami

Każdy użytkownik programów i systemu operacyjnego zobowiązany jest do pracy na własnym koncie.
Zabronione jest udostępnianie konta innemu użytkownikowi
Użytkownik nie może zmieniać swoich uprawnień bez konsultacji z przełożonym
Użytkownik komputera oraz programów rozpoczyna i kończy pracę logowaniem i wylogowaniem się
Użytkownik przed tymczasowym odejściem od komputera musi włączyć wygaszacz ekranu zabezpieczony hasłem (np. z użyciem kombinacji klawiszy WINDOWS + L) lub wylogować się z systemu bądź z programu
Zabrania się uruchamiania jakiejkolwiek aplikacji lub programu na prośbę innej osoby, o ile nie została ona zweryfikowana jako pracownik (działu informatyki, przełożony). Dotyczy to zwłaszcza programów przesłanych za pomocą poczty elektronicznej lub wskazanych w formie hiperlinku
Po zakończeniu pracy, użytkownik zobowiązany jest wylogować się z systemu informatycznego oraz zabezpieczyć nośniki elektroniczne, magnetyczne i optyczne na których znajdują się dane osobowe

3. Zabezpieczenie dokumentacji papierowej

Pracownik jest zobowiązany do przechowywania dokumentacji papierowej zawierającej dane osobowe w sposób uniemożliwiający dostęp osobom postronnym, nieupoważnionym, domownikom, np. przechowując je w zamykanych na klucz szafach, biurkach, sejfach
Zabrania się pozostawiania dokumentów w miejscach dostępnych dla osób postronnych do których mogłyby mieć wgląd
Zabrania się wyrzucania niezniszczonych dokumentów na śmietnik
Należy zapewnić bezpieczne przewożenie dokumentacji papierowej np. w teczkach, aktówkach, plecakach w celu zabezpieczenia ich przed zagubieniem i kradzieżą

4. Zasady korzystania z internetu

Zabrania się instalowania na sprzęcie IT programów i aplikacji (pobieranych z internetu lub instalowanych z nośników) bez konsultacji z informatykiem / przełożonym
Użytkownik ponosi odpowiedzialność za szkody spowodowane przez samowolną instalację oprogramowania
Zabrania się wchodzenia na strony z nielegalnym oprogramowaniem, pobierania i instalacji takiego oprogramowania
W przypadku pracy w aplikacjach webowych zabrania się użycia opcji autouzupełniania formularzy i zapamiętywania haseł

5. Zasady korzystania z poczty elektronicznej

Pliki zawierające dane osobowe (np. w formacie Word, Excel, Pdf lub spakowane np. w formacie zip, rar) przed wysłaniem ich do osób trzecich powinny być zabezpieczone hasłem, które powinno być przekazane do odbiorcy telefonicznie lub SMS
W przypadku zabezpieczenia plików hasłem, obowiązuje minimum (np. 8) znaków: duże i małe litery i cyfry lub znaki specjalne
Użytkownicy powinni zwracać szczególną uwagę na poprawność adresu odbiorcy poczty
WAŻNE: Nie otwierać załączników poczty pochodzącej z egzotycznych/ nietypowych domen
WAŻNE: Nie wolno „klikać” na hiperlinki w podejrzanej poczcie, gdyż grozi to zainfekowaniem komputera a nawet całej sieci
WAŻNE: Nie wolno wprowadzać loginów i haseł do formularzy zawartych w poczcie, gdyż mogą to być próby wyłudzenia danych dostępowych, czyli tzw. phishingu (mail przesłany rzekomo z naszego banku z opcją zalogowania się, mail przesłany rzekomo przez Google z komunikatem o próbie włamania do naszej poczty i sugestią do zalogowania się do panelu umieszczonego w treści maila)
Należy zgłaszać informatykowi przypadki podejrzanych maili, plików w mailach, prób wyłudzeń, kontaktów podejrzanych osób w kontekście dostępu do danych
Podczas wysyłania maili do wielu adresatów jednocześnie, należy użyć metody „Ukryte do wiadomości – UDW”. Zabronione jest rozsyłanie maili do wielu adresatów z użyciem opcji „Do wiadomości”!
Użytkownicy powinni okresowo usuwać niepotrzebne maile lub przenosić do archiwizacji
Zakazuje się wysyłania korespondencji służbowej na prywatne skrzynki pocztowe pracowników lub innych osób

6. Skrócona instrukcja postępowania w przypadku naruszenia ochrony danych osobowych

Każdy pracownik zobowiązany jest do powiadomienia Pracodawcy w przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych
Do incydentów wymagających powiadomienia, należą:
- zdarzenia losowe zewnętrzne (utrata zasilania, utrata łączności)
- zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki użytkowników, utrata / zagubienie danych)
- umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, nieświadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania)
- telefoniczne próby wyłudzenia danych osobowych
- kradzież, zagubienie komputerów lub CD, DVD, dysków przenośnych, pendrive z danymi osobowymi
- maile zachęcające do ujawnienia identyfikatora i/lub hasła,
- pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów

7. Obowiązek zachowania poufności i ochrony danych osobowych

Każdy Pracownik dopuszczony do pracy zdalnej jest zobowiązany do jej wykonywania w miejscu zamieszkania lub innym uzgodnionym miejscu z Pracodawcą
Pracownik jest zobowiązany do wykonywania pracy zgodnie z zakresem obowiązków oraz przetwarzania danych osobowych wyłącznie w celu i zakresie powierzonych jej zadań
Pracownik jest zobowiązany do potwierdzania obecności w pracy w sposób określony przez Pracodawcę
Pracownik jest zobowiązany do zachowania w tajemnicy danych osobowych do których ma dostęp
Pracownik jest zobowiązany do niewykorzystywania danych osobowych w celach niezgodnych z zakresem i celem powierzonych jej zadań
Pracownik jest zobowiązany do zachowania w tajemnicy sposobów zabezpieczenia danych osobowych
Zabrania się przekazywania bezpośrednio lub przez telefon danych osobowych osobom nieupoważnionym lub osobom których tożsamości nie można zweryfikować lub osobom podejrzanym o fałszowanie tożsamości
Zabrania się przekazywania lub ujawniania danych osobom lub instytucjom, które nie mogą wykazać się podstawą prawną do dostępu do takich danych
Każda z osób dopuszczonych do przetwarzania danych osobowych jest zobowiązana do zabezpieczenia danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem, nieuprawnionym dostępem do danych osobowych oraz przetwarzaniem
Zabrania się pracy zdalnej w miejscach publicznych, stwarzających ryzyko wglądu w dane osobowe przez osoby postronne
Pracując w domu należy zapewnić, aby domownicy nie mieli wglądu w wykonywaną pracę, w szczególności poprzez właściwe ustawienie ekranu komputera oraz smartfona, a także zapewnienie pracy z dokumentami w sposób uniemożliwiający wgląd

8. Postanowienia końcowe

Pracownik świadczy pracę zdalną wyłącznie po przekazaniu przez pracodawcę lub bezpośredniego przełożonego pracownika pisemnego lub elektronicznego polecenia wykonywania pracy zdalnej
Czas wykonywania pracy zdalnej powinien jest określony w poleceniu Pracodawcy. Zmiana okresu pracy zdalnej może być zmieniona przez Pracodawcę a Pracownik zostanie o tym powiadomiony.
Przed przystąpieniem do wykonywania pracy zdalnej Pracownik zapoznaje się z treścią niniejszego Regulaminu, co potwierdza pisemnym lub elektronicznym oświadczeniem. Wzór oświadczenia stanowi Załącznik nr 1 do Regulaminu
Przypadki nieuzasadnionego zaniechania obowiązków wynikających z Regulaminu pracy zdalnej potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych lub naruszenie zasad współpracy i może skutkować rozwiązaniem stosunku pracy lub umowy.

ZAŁĄCZNIK 1

……………………... ………………………

(imię i nazwisko) (miejscowość, data)

OŚWIADCZENIE O POUFNOŚCI PRZY WYKONYWANIU PRACY ZDALNEJ

Oświadczam, iż zapoznałam/em się z zasadami wykonywania pracy zdalnej powierzonej mi przez pracodawcę zgodnie z „Regulaminem pracy zdalnej".

W szczególności zobowiązuję się do:

przetwarzania informacji wyłącznie w zakresie i celu przewidzianym w powierzonych przez pracodawcę zadaniach
zachowania w tajemnicy informacji do których mam lub będę mieć dostęp w związku z wykonywaniem zadań podczas pracy zdalnej
niewykorzystywania informacji w celach niezgodnych z zakresem i celem powierzonych zadań przez pracodawcę
zachowania w tajemnicy sposobów zabezpieczenia sprzętu IT i systemów informatycznych wykorzystywanych do pracy zdalnej
ochrony danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją danych osobowych, nieuprawnionym ujawnieniem danych osobowych, nieuprawnionym dostępem do danych osobowych oraz przetwarzaniem
niedopuszczania do komputera, telefonu i innych nośników przekazanych mi przez Pracodawcę oraz informacji w nich zawartych, w tym danych osobowych, domowników oraz innych osób trzecich
zwrócić powierzone mi nośniki wraz z kompletnymi danymi na każde żądanie Pracodawcy

Przyjmuję do wiadomości, iż postępowanie sprzeczne z powyższymi zobowiązaniami może być uznane przez pracodawcę za naruszenie przepisów Rozporządzenia o ochronie danych UE z dnia 27 kwietnia 2016 r. (RODO) oraz Ustawy o Ochronie Danych Osobowych

……………………….

podpis oświadczającego