INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

(obowiązek informacyjny realizowany w związku z art. 13 i art. 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679)
Informujemy, że:
1) Administratorem Państwa danych osobowych jest Fundacja Lepsza Jakość Życia, stanowiący Instytucję Zarządzającą dla systemu Wniosek, z siedzibą w Radomiu, przy Al . Józefa Grzecznarowskiego 2, 26-600 Radom.
2) Przetwarzanie przekazanych danych osobowych odbywa się na podstawie art. 6 ust. 1 lit. c) czyli przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze oraz art. 6 ust. 1 lit. e) czyli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Dane osobowe są niezbędne dla realizacji wnisoku złożonego przez stronę. Dane osobowe są przetwarzane na podstawie:
a) rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1303/2013 z dnia 17 grudnia 2013r. ustanawiającego wspólne przepisy dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności, Europejskiego Funduszu Rolnego na rzecz Rozwoju Obszarów Wiejskich oraz Europejskiego Funduszu Morskiego i Rybackiego oraz ustanawiającego przepisy ogólne dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności i Europejskiego Funduszu Morskiego i Rybackiego oraz uchylającego rozporządzenie Rady (WE) nr 1083/2006 (Dz. Urz. UE L 347 z 20.12.2013, str. 320, z późn.zm.),
b) rozporządzenia wykonawczego Komisji (UE) nr 1011/2014 z dnia 22 września 2014 r.ustanawiającego szczegółowe przepisy wykonawcze do rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1303/2013 w odniesieniu do wzorów służących do przekazywania Komisji określonych informacji oraz szczegółowe przepisy dotyczące wymiany informacji między beneficjentami a instytucjami zarządzającymi, certyfikującymi, audytowymi i pośredniczącymi (Dz. Urz. UE L 286 z 30.09.2014, str. 1),
c) ustawy z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014–2020 (Dz. U. z 2017 r. poz. 1460, z późn. zm.).
3) Państwa dane osobowe będą przetwarzane w celu założenia i utrzymania konta w systemie, złożenia i oceny wniosków o dofinansowanie projektu, kontaktowania się w sprawach związanych ze złożonymi wnioskami, realizacji wnisoków złożonych przez system Wniosek, kontrolnym i archiwizacyjnym.
4) Państwa dane osobowe mogą zostać przekazane podmiotom realizującym badania ewaluacyjne na zlecenie Instytucji Zarządzającej. Dane osobowe mogą zostać również powierzone specjalistycznym firmom, realizującym na zlecenie Instytucji Zarządzającej, Instytucji Pośredniczącej kontrole i audyt oraz udostępnione innym podmiotom na mocy prawa.
5) Podanie danych jest warunkiem koniecznym do założenia konta w systemie oraz złożenia wniosku o dofinansowanie projektu i realizacji.
6) Przekazane dane osobowe nie będą przekazywane do państwa trzeciego lub organizacji międzynarodowej.
7) Przekazane dane osobowe nie będą poddawane zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.
8) Przekazane dane osobowe będą przechowywane do czasu rozliczenia złożonego wniosku.
9) Z Inspektorem Ochrony Danych można skontaktować się wysyłając wiadomość na adres poczty elektronicznej: iod@wnisoek.org.pl.
10) W przypadkach i na zasadach określonych w RODO przysługuje Państwu prawo żądania:
• dostępu do treści swoich danych i ich sprostowania, usunięcia lub ograniczenia przetwarzania,
• wniesienia sprzeciwu wobec przetwarzania danych,
• wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych.

PROCEDURY ROZPOCZĘCIA, KONTYNUOWANIA I ZAKOŃCZENIA PRACY Z SYSTEMEM TELEINFORMATYCZNYM

1) Użytkownik rozpoczynając pracę zobowiązany jest do sprawdzenia zabezpieczenia pomieszczenia, swojego stanowiska pracy oraz stanu sprzętu komputerowego, przy pomocy którego pracuje. Przed rozpoczęciem pracy, w trakcie rozpoczynania pracy z systemem teleinformatycznym oraz w trakcie pracy, każdy pracownik jest obowiązany do zwrócenia szczególnej uwagi, czy nie wystąpiły objawy, mogące świadczyć o naruszeniu zasad ochrony danych. Rozpoczęcie pracy użytkownika w systemie teleinformatycznym obejmuje uruchomienie komputera, wprowadzenie identyfikatora i hasła w sposób minimalizujący ryzyko podejrzenia przez osoby nieupoważnione oraz ogólne stwierdzenie poprawności działania systemu.
2) Krótkotrwałe przerwy w pracy (bez opuszczania stanowiska pracy) nie wymagają zamykania aplikacji.
3) Odchodząc od swojego komputera, każdy użytkownik powinien zablokować dostęp do systemu poprzez użycie przycisku wyloguj i zamknięcie ona przeglądarki .
4) Zakończenie pracy polega na wylogowaniu z systemu i zamknięciu wszystkich okien i kart przeglądarki. Użytkownik powinien zaczekać przy komputerze do chwili zakończenia wylogowywania i zamykania otwartych okien przeglądarki.
5) Hasło użytkownika jest jego własnością i zna je wyłącznie dany użytkownik. Zabronione jest przekazywanie hasła innym osobom. W przypadku podejrzenia odkrycia hasła przez nieupoważnioną osobę, użytkownik jest zobowiązany do zgłoszenia tego faktu w celu jego natychmiastowej zmiany.
6) Za wszelkie operacje w systemie wykonywane z wykorzystaniem indywidualnego loginu oraz hasła odpowiada właściciel danego identyfikatora.

ZASADY ZGŁASZANIA INCYDENTU

W przypadku stwierdzenia naruszenia bezpieczeństwa danych w systemie teleinformatycznym lub na nośnikach z informacjami, a także w przypadku podejrzenia takiego naruszenia, na co wskazuje: włamanie do pomieszczenia, stan urządzeń, zawartość zbiorów danych, ujawnione hasła dostępu, ujawnienie osobom nieuprawnionym np. danych osobowych ze zbioru danych znajdujących się w systemie teleinformatycznym lub nietypowy sposób działania programu, wszyscy pracownicy mają obowiązek zgłaszania wszelkich zdarzeń, które naruszają lub mogą naruszyć zapisy niniejszej polityki.


Do incydentów bezpieczeństwa należą w szczególności:

1) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności);
2) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/zagubienie danych);
3) umyślne incydenty (włamanie do systemu teleinformatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).

Zdarzenia związane z bezpieczeństwem informacji należy zgłaszać przez formularz zgłaszania problemów.

Postępowanie z incydentami

1) Pracownik wsparcia technicznego dokonuje wstępnej identyfikacji zdarzenia i na podstawie dostępnych informacji oraz analizy okoliczności zdarzenia, kwalifikuje zdarzenie (lub serię zdarzeń) jako:
• zdarzenie nie mające cech naruszenia bezpieczeństwa informacji,
• incydent związany z naruszeniem bezpieczeństwa informacji;

2) O możliwości zaistnienia przypadku naruszenia bezpieczeństwa informacji mogą świadczyć:
• przypadki naruszenia poufności (ujawnienie niepowołanym osobom), integralności (uszkodzenie, przekłamanie, zniszczenie) i dostępności (dane nie są dostępne w użytecznej postaci na żądanie uprawnionych użytkowników) danych, niezależnie od ich nośnika, w tym także przechowywanych i przetwarzanych w systemach teleinformatycznych oraz transmitowanych przez łącza sieci,
• niedostępność oraz działania niezgodne ze specyfikacją (błędne) systemów teleinformatycznych, zwłaszcza systemów i aplikacji krytycznych (z wyłączeniem kontrolowanych i zaplanowanych prac niemających wpływu na bezpieczeństwo informacji,
• infekcje, propagacja i działanie szkodliwego oprogramowania (malware – kody i skrypty mające szkodliwe, przestępcze lub złośliwe działanie, do których zaliczają się między innymi wirus, robak internetowy, koń trojański, spyware, keylogger, rootkit, dialer, exploit etc.),
• rozpoznanie, penetracja i próby omijania systemów zabezpieczeń,
• niewłaściwe wykorzystywanie lub nadużywanie zasobów informacyjnych,
• ataki odmowy usługi na systemy teleinformatyczne,
• ataki nieautoryzowanego dostępu do aplikacji, systemów oraz ataki eskalacji poziomu uprawnień w systemach,
• kradzież lub zniszczenie urządzeń przetwarzających lub/i przechowujących informacje oraz nośników danych,
• wyłudzenia (lub próby wyłudzeń) informacji wrażliwych, takich jak np. hasła dostępowe czy tajemnice,
• ataki socjotechniczne, ataki z wykorzystaniem phishing’u, skimming’u oraz innych technik zagrażających naruszeniu poufności, dostępności i integralności informacji,
• incydenty wielokomponentowe (złożone incydenty dotyczące wielu systemów, wykorzystujące wiele wektorów ataków itp.),
• łamanie zasad przepisów prawa powszechnego lub regulaminów w obszarze bezpieczeństwa informacji (niestosowanie zasady ochrony haseł),

3) Pracownik wsparcia technicznego po zaklasyfikowaniu zgłoszenia jako incydent powiadamia niezwłocznie administratora systemu;
4) Osoba wyznaczona, we współpracy z administratorem systemu teleinformatycznego (jeżeli dotyczy), przeprowadza analizę incydentu;
5) Analiza incydentu uwzględnia następujące kryteria:
• charakter incydentu i jego znaczenie związane z naruszeniem bezpieczeństwa fizycznego lub teleinformatycznego,
• miejsce wystąpienia incydentu - identyfikacja punktu, w którym nastąpiło zdarzenie (lokalizacja, serwer, stacja robocza itp.),
• liczba komórek organizacyjnych Jednostki, zakres zasobów dotkniętych incydentem,
• identyfikację zasobów potrzebnych przy dalszych działaniach w ramach postępowania z incydentem związanym z bezpieczeństwem informacji,
• możliwości rozszerzania się incydentu i sposoby jego ograniczania,
• rodzaj ujawnionej informacji (jeśli ma zastosowanie – np. dane osobowe).