INFORMACJA O PRZETWARZANIU DANYCH
OSOBOWYCH
(obowiązek informacyjny realizowany w związku z art. 13 i art.
14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679)
Informujemy, że:
1) Administratorem Państwa danych osobowych jest Fundacja Lepsza Jakość Życia,
stanowiący Instytucję Zarządzającą dla systemu Wniosek, z siedzibą w Radomiu, przy Al .
Józefa Grzecznarowskiego 2, 26-600 Radom.
2) Przetwarzanie przekazanych danych osobowych odbywa się na podstawie art. 6 ust. 1
lit. c) czyli przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego
na administratorze oraz art. 6 ust. 1 lit. e) czyli przetwarzanie jest niezbędne do
wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy
publicznej powierzonej administratorowi, Rozporządzenia Parlamentu Europejskiego i Rady
(UE) 2016/679. Dane osobowe są niezbędne dla realizacji wnisoku złożonego przez stronę.
Dane osobowe są przetwarzane na podstawie:
a) rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1303/2013 z dnia 17 grudnia
2013r. ustanawiającego wspólne przepisy dotyczące Europejskiego Funduszu Rozwoju
Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności, Europejskiego
Funduszu Rolnego na rzecz Rozwoju Obszarów Wiejskich oraz Europejskiego Funduszu
Morskiego i Rybackiego oraz ustanawiającego przepisy ogólne dotyczące Europejskiego
Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności i
Europejskiego Funduszu Morskiego i Rybackiego oraz uchylającego rozporządzenie Rady (WE)
nr 1083/2006 (Dz. Urz. UE L 347 z 20.12.2013, str. 320, z późn.zm.),
b) rozporządzenia wykonawczego Komisji (UE) nr 1011/2014 z dnia 22 września 2014
r.ustanawiającego szczegółowe przepisy wykonawcze do rozporządzenia Parlamentu
Europejskiego i Rady (UE) nr 1303/2013 w odniesieniu do wzorów służących do
przekazywania Komisji określonych informacji oraz szczegółowe przepisy dotyczące wymiany
informacji między beneficjentami a instytucjami zarządzającymi, certyfikującymi,
audytowymi i pośredniczącymi (Dz. Urz. UE L 286 z 30.09.2014, str. 1),
c) ustawy z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki
spójności finansowanych w perspektywie finansowej 2014–2020 (Dz. U. z 2017 r. poz. 1460,
z późn. zm.).
3) Państwa dane osobowe będą przetwarzane w celu założenia i utrzymania konta w
systemie, złożenia i oceny wniosków o dofinansowanie projektu, kontaktowania się w
sprawach związanych ze złożonymi wnioskami, realizacji wnisoków złożonych przez system
Wniosek, kontrolnym i archiwizacyjnym.
4) Państwa dane osobowe mogą zostać przekazane podmiotom realizującym badania
ewaluacyjne na zlecenie Instytucji Zarządzającej. Dane osobowe mogą zostać również
powierzone specjalistycznym firmom, realizującym na zlecenie Instytucji Zarządzającej,
Instytucji Pośredniczącej kontrole i audyt oraz udostępnione innym podmiotom na mocy
prawa.
5) Podanie danych jest warunkiem koniecznym do założenia konta w systemie oraz złożenia
wniosku o dofinansowanie projektu i realizacji.
6) Przekazane dane osobowe nie będą przekazywane do państwa trzeciego lub organizacji
międzynarodowej.
7) Przekazane dane osobowe nie będą poddawane zautomatyzowanemu podejmowaniu decyzji, w
tym profilowaniu.
8) Przekazane dane osobowe będą przechowywane do czasu rozliczenia złożonego
wniosku.
9) Z Inspektorem Ochrony Danych można skontaktować się wysyłając wiadomość na adres
poczty elektronicznej: iod@wnisoek.org.pl.
10) W przypadkach i na zasadach określonych w RODO przysługuje Państwu prawo
żądania:
• dostępu do treści swoich danych i ich sprostowania, usunięcia lub ograniczenia
przetwarzania,
• wniesienia sprzeciwu wobec przetwarzania danych,
• wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych
Osobowych.
PROCEDURY ROZPOCZĘCIA, KONTYNUOWANIA I ZAKOŃCZENIA PRACY
Z SYSTEMEM TELEINFORMATYCZNYM
1) Użytkownik rozpoczynając pracę zobowiązany jest do sprawdzenia zabezpieczenia
pomieszczenia, swojego stanowiska pracy oraz stanu sprzętu komputerowego, przy pomocy
którego pracuje. Przed rozpoczęciem pracy, w trakcie rozpoczynania pracy z systemem
teleinformatycznym oraz w trakcie pracy, każdy pracownik jest obowiązany do zwrócenia
szczególnej uwagi, czy nie wystąpiły objawy, mogące świadczyć o naruszeniu zasad ochrony
danych. Rozpoczęcie pracy użytkownika w systemie teleinformatycznym obejmuje
uruchomienie komputera, wprowadzenie identyfikatora i hasła w sposób minimalizujący
ryzyko podejrzenia przez osoby nieupoważnione oraz ogólne stwierdzenie poprawności
działania systemu.
2) Krótkotrwałe przerwy w pracy (bez opuszczania stanowiska pracy) nie wymagają
zamykania aplikacji.
3) Odchodząc od swojego komputera, każdy użytkownik powinien zablokować dostęp do
systemu poprzez użycie przycisku wyloguj i zamknięcie ona przeglądarki .
4) Zakończenie pracy polega na wylogowaniu z systemu i zamknięciu wszystkich okien i
kart przeglądarki. Użytkownik powinien zaczekać przy komputerze do chwili zakończenia
wylogowywania i zamykania otwartych okien przeglądarki.
5) Hasło użytkownika jest jego własnością i zna je wyłącznie dany użytkownik. Zabronione
jest przekazywanie hasła innym osobom. W przypadku podejrzenia odkrycia hasła przez
nieupoważnioną osobę, użytkownik jest zobowiązany do zgłoszenia tego faktu w celu jego
natychmiastowej zmiany.
6) Za wszelkie operacje w systemie wykonywane z wykorzystaniem indywidualnego loginu
oraz hasła odpowiada właściciel danego identyfikatora.
ZASADY ZGŁASZANIA INCYDENTU
W przypadku stwierdzenia naruszenia bezpieczeństwa danych w systemie teleinformatycznym
lub na nośnikach z informacjami, a także w przypadku podejrzenia takiego naruszenia, na
co wskazuje: włamanie do pomieszczenia, stan urządzeń, zawartość zbiorów danych,
ujawnione hasła dostępu, ujawnienie osobom nieuprawnionym np. danych osobowych ze zbioru
danych znajdujących się w systemie teleinformatycznym lub nietypowy sposób działania
programu, wszyscy pracownicy mają obowiązek zgłaszania wszelkich zdarzeń, które
naruszają lub mogą naruszyć zapisy niniejszej polityki.
Do incydentów bezpieczeństwa należą w szczególności:
1) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata
zasilania, utrata łączności);
2) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków,
oprogramowania, pomyłki informatyków, użytkowników, utrata/zagubienie danych);
3) umyślne incydenty (włamanie do systemu teleinformatycznego lub pomieszczeń, kradzież
danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome
zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego
oprogramowania).
Zdarzenia związane z bezpieczeństwem informacji należy zgłaszać przez formularz
zgłaszania problemów.
Postępowanie z incydentami
1) Pracownik wsparcia technicznego dokonuje wstępnej identyfikacji zdarzenia i na
podstawie dostępnych informacji oraz analizy okoliczności zdarzenia, kwalifikuje
zdarzenie (lub serię zdarzeń) jako:
• zdarzenie nie mające cech naruszenia bezpieczeństwa informacji,
• incydent związany z naruszeniem bezpieczeństwa informacji;
2) O możliwości zaistnienia przypadku naruszenia bezpieczeństwa informacji mogą
świadczyć:
• przypadki naruszenia poufności (ujawnienie niepowołanym osobom), integralności
(uszkodzenie, przekłamanie, zniszczenie) i dostępności (dane nie są dostępne w
użytecznej postaci na żądanie uprawnionych użytkowników) danych, niezależnie od ich
nośnika, w tym także przechowywanych i przetwarzanych w systemach teleinformatycznych
oraz transmitowanych przez łącza sieci,
• niedostępność oraz działania niezgodne ze specyfikacją (błędne) systemów
teleinformatycznych, zwłaszcza systemów i aplikacji krytycznych (z wyłączeniem
kontrolowanych i zaplanowanych prac niemających wpływu na bezpieczeństwo informacji,
• infekcje, propagacja i działanie szkodliwego oprogramowania (malware – kody i skrypty
mające szkodliwe, przestępcze lub złośliwe działanie, do których zaliczają się między
innymi wirus, robak internetowy, koń trojański, spyware, keylogger, rootkit, dialer,
exploit etc.),
• rozpoznanie, penetracja i próby omijania systemów zabezpieczeń,
• niewłaściwe wykorzystywanie lub nadużywanie zasobów informacyjnych,
• ataki odmowy usługi na systemy teleinformatyczne,
• ataki nieautoryzowanego dostępu do aplikacji, systemów oraz ataki eskalacji poziomu
uprawnień w systemach,
• kradzież lub zniszczenie urządzeń przetwarzających lub/i przechowujących informacje
oraz nośników danych,
• wyłudzenia (lub próby wyłudzeń) informacji wrażliwych, takich jak np. hasła dostępowe
czy tajemnice,
• ataki socjotechniczne, ataki z wykorzystaniem phishing’u, skimming’u oraz innych
technik zagrażających naruszeniu poufności, dostępności i integralności informacji,
• incydenty wielokomponentowe (złożone incydenty dotyczące wielu systemów,
wykorzystujące wiele wektorów ataków itp.),
• łamanie zasad przepisów prawa powszechnego lub regulaminów w obszarze bezpieczeństwa
informacji (niestosowanie zasady ochrony haseł),
3) Pracownik wsparcia technicznego po zaklasyfikowaniu zgłoszenia jako incydent
powiadamia niezwłocznie administratora systemu;
4) Osoba wyznaczona, we współpracy z administratorem systemu teleinformatycznego (jeżeli
dotyczy), przeprowadza analizę incydentu;
5) Analiza incydentu uwzględnia następujące kryteria:
• charakter incydentu i jego znaczenie związane z naruszeniem bezpieczeństwa fizycznego
lub teleinformatycznego,
• miejsce wystąpienia incydentu - identyfikacja punktu, w którym nastąpiło zdarzenie
(lokalizacja, serwer, stacja robocza itp.),
• liczba komórek organizacyjnych Jednostki, zakres zasobów dotkniętych incydentem,
• identyfikację zasobów potrzebnych przy dalszych działaniach w ramach postępowania z
incydentem związanym z bezpieczeństwem informacji,
• możliwości rozszerzania się incydentu i sposoby jego ograniczania,
• rodzaj ujawnionej informacji (jeśli ma zastosowanie – np. dane osobowe).