Obowiązek informacyjny

 Na podstawie art. 14 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016r. Nr 119, s.1 ze zm.) – dalej: „RODO” informuję, że:

1. Administratorem Państwa danych jest Samorządowe Przedszkole Publiczne nr 4 w Sanoku, ul. Robotnicza 13A, 38-500 Sanok, poczta@spp4.sanok.pl,tel.13 4630090
2. Administrator wyznaczył Inspektora Ochrony Danych Pana Rafała Kozioł, z którym mogą się Państwo kontaktować we wszystkich sprawach dotyczących przetwarzania danych osobowych za pośrednictwem adresu email: ido@spp4.sanok.pl lub pisemnie pod adres Administratora.
3. Państwa dane osobowe będą przetwarzane w celu realizacji obowiązku prawnego ciążącego na Administratorze wynikającego, w szczególności z zadań i obowiązków Administratora określonych przepisami ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe, ustawy z dnia 7 września 1991 r. o systemie oświatyoraz innymi przepisami prawa, którym podlega, gdyż jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze (art. 6 ust. 1 lit. c RODO).
4. Administrator przetwarza Państwa dane osobowe: imię i nazwisko, adres zamieszkania, numer telefonu kontaktowego, adres e-mail
5. Państwa dane osobowe będą przetwarzane przez okres niezbędny do realizacji ww. celu z uwzględnieniem okresów przechowywania określonych w przepisach szczególnych,
   w tym przepisach archiwalnych i Jednolitym Rzeczowym Wykazie Akt.
6. Pani/Pana dane będą przetwarzane w sposób zautomatyzowany, lecz nie będą podlegały zautomatyzowanemu podejmowaniu decyzji, w tym o profilowaniu.
7. Państwa dane osobowych nie będą przekazywane poza Europejski Obszar Gospodarczy (obejmujący Unię Europejską, Norwegię, Liechtenstein i Islandię).
8. W związku z przetwarzaniem Państwa danych osobowych, przysługują Państwu następujące prawa:
9. prawo dostępu do swoich danych oraz otrzymania ich kopii;
10. prawo do sprostowania (poprawiania) swoich danych osobowych;
11. prawo do ograniczenia przetwarzania danych osobowych;
12. prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych
    (ul. Stawki 2, 00-193 Warszawa), w sytuacji, gdy uzna Pani/Pan, że przetwarzanie danych osobowych narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych (RODO);
13. Państwa danych osobowe zostały pozyskane od rodziców ucznia.
14. Państwa dane mogą zostać przekazane podmiotom zewnętrznym na podstawie umowy powierzenia przetwarzania danych osobowych, a także podmiotom lub organom uprawnionym na podstawie przepisów prawa.

---

Obowiązek informacyjny w zakresie realizacji standardów ochrony małoletnich

Zgodnie z art. 13 i 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016) zwanego dalej zwanego: „RODO”, informujemy, że:

1. Administratorem Pani/Pana danych jest Samorządowe Przedszkole Publiczne nr 4 z siedzibą w Sanoku przy ul. Robotniczej 13A, reprezentowana przez Mariolę Milewską. Z Administratorem można skontaktować się pod nr tel.: 134630090 oraz za pośrednictwem adresu e-mail:poczta@spp4.sanok.pl
2. Inspektor ochrony danych osobowych jest dostępny pod numerem telefonu +48 600953193 oraz adresem e-mail: iod@spp4.sanok.pl
3. Celem przetwarzania danych osobowych jest realizacja obowiązków wynikających z przepisów prawa w zakresie zapewniania ochrony dzieci oraz weryfikacja wymogów do pracy z dziećmi przed nawiązaniem stosunku pracy lub dopuszczeniem kandydata do działalności związanej z edukacją małoletnich, czy dana osoba nie była karana za przestępstwa na tle seksualnym przeciw małoletnim w Rejestrze Sprawców Przestępstw na Tle Seksualnym.
4. Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. c) RODO i art. 10 RODO. Wypełnienie obowiązków prawnych ciążących na administratorze wynika z przepisów:

– ustawy z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich;

– rozporządzenia Ministra Sprawiedliwości z dnia 31 lipca 2017 r. w sprawie trybu, sposobu i zakresu uzyskiwania i udostępniania informacji z Rejestru z dostępem ograniczonym oraz sposobu zakładania konta użytkownika.

5. Podanie danych jest wymogiem ustawowym. Osoba, której dane dotyczą jest zobowiązana do ich podania. Odmowa ich podania może uniemożliwić nawiązanie zatrudnienia lub przeprowadzenie stosownych postępowań.
6. Odbiorcami Pani/Pana danych osobowych będą:

– wyłącznie podmioty uprawnione do uzyskania danych osobowych na podstawie przepisów prawa, np. sądy, policja, organy państwowe,

– osoby upoważnione przez Administratora do przetwarzania danych w ramach wykonywania swoich obowiązków służbowych.

6. W przypadku postępowania, w którym nie stwierdzono naruszenia ochrony małoletnich, dane będą usuwane po upływie 1 roku. W przypadku postępowania, w którym stwierdzono naruszenie ochrony małoletnich, dane będą przechowywane do czasu prawomocnego zakończenia postępowania, które będzie prowadzone przez uprawnione organy, na podstawie zgłoszenia. Jeśli zdarzenie nie będzie wymagało zgłoszenia, dane osobowe będą przetwarzane do czasu wygaśnięcia ewentualnych roszczeń ze strony osoby, wobec której przeprowadzono postępowanie. Dane pracowników podlegających weryfikacji w rejestrze przestępstw na tle seksualnym będą przechowywane w okresie trwania stosunku pracy, a następnie do 10 lat po zakończeniu trwania umowy, ze względu na ewentualne obowiązki dokumentacyjne w zakresie wywiązania się z obowiązku weryfikacji w Rejestrze.
7. Ma Pan/Pani prawo:

– dostępu do treści swoich danych, żądania ich sprostowania, usunięcia lub ograniczenia ich przetwarza,

– sprostowania nieprawidłowych danych;

– wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa), w przypadku uznania, iż przetwarzanie danych osobowych narusza przepisy RODO.

8. Dane osobowe nie będą przekazywane poza teren Unii Europejskiej ani do organizacji międzynarodowych.
9. W przypadkach prowadzonych postępowań, dane osobowe mogą być pozyskiwane od świadków zdarzenia/pracowników administratora, w zakresie niezbędnym do ich przeprowadzenia.

---

CYBERBEZPIECZEŃSTWO

Zgodnie z art. 2 ust. 1 pkt 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa pojęcie cyberbezpieczeństwo oznacza odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.

W świetle art. 22 ust. 1 pkt 4 ww. ustawy podmiot publiczny zapewnia osobom, na rzecz których zadanie publiczne jest realizowane, dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami, w szczególności przez publikowanie informacji w tym zakresie na swojej stronie internetowej.

Stosownie do ww. wymogu przedstawiamy poniżej najważniejsze informacje i zasady zabezpieczenia się przed zagrożeniami w obszarze cyberbezpieczeństwa.

Do najpopularniejszych zagrożeń w cyberprzestrzeni możemy zaliczyć:
– kradzieże tożsamości, modyfikacje bądź niszczenie danych,

– ataki z użyciem szkodliwego oprogramowania (malware, wirusy, robaki, itp.)
– blokowanie dostępu do usług,
– spam (niechciane lub niepotrzebne wiadomości elektroniczne),
– ataki socjotechniczne (np. phishing), czyli wyłudzanie poufnych informacji przez podszywanie się pod godną zaufania osobę lub instytucję,
– ataki z użyciem szkodliwego oprogramowania.

Rodzaje cyberzagrożeń

Phishing – próba przekierowania na podrobione strony www za pomocą fałszywych e-maili lub sms, gdzie atakujący podszywa się pod znaną instytucję celem pozyskania od użytkownika danych do logowania.

Qrishing – analogiczny atak z wykorzystaniem przez atakującego fałszywych kodów QR, np. w celu zabezpieczenia swojego konta.

Spear-phishing – atak nakierunkowany na użytkownika z wykorzystaniem równocześnie maila i telefonu.

Malware – złośliwe oprogramowanie, które zostało stworzone z myślą o uszkodzeniu sprzętu lub kradzieży danych.
Deepfake – sfałszowane nagrania audio lub video zamieszczane w serwisach internetowych, czy portalach, gdzie atakujący podszywają się pod znane osoby nakłaniając użytkownika do pozostawienia swoich danych kontaktowych, zachęcając do przystąpienia do wysoko oprocentowanych inwestycji, czy programów rządowych.

Baiting – podrzucenie zainfekowanego urządzenia.

Sposoby zabezpieczenia się przed zagrożeniami:

• Zainstaluj i używaj oprogramowania antywirusowego i spyware. Zaleca się stosowanie ochrony w czasie rzeczywistym.
• Aktualizuj system operacyjny i aplikacje bez zbędnej zwłoki oraz oprogramowanie antywirusowe oraz bazy danych wirusów (zaleca się automatyczną aktualizację).
• Pamiętaj o uruchomieniu firewalla.
• Pobieraj oficjalne oprogramowanie tylko ze sprawdzonych źródeł.
• Sprawdzaj i weryfikuj, czy wchodzisz na zaufane strony www.
• Nie otwieraj plików nieznanego pochodzenia.
• Skanuj swój komputer i procesy sieciowe – celem zabezpieczenia swojego komputera przed złośliwym oprogramowaniem, które może wysyłać twoje hasła i inne poufne dane do sieci
• Sprawdzaj pliki pobrane z Internetu za pomocą skanera.
• Używaj wyłącznie osobistego loginu i hasła. Należy stosować złożone i unikalne hasła. Hasło powinno być trudne do odgadnięcia i zawierać duże/małe litery, cyfry oraz znaki specjalne­ – hasła z większą liczbą znaków są mniej podatne na złamanie w krótkim czasie. Nie stosuj haseł łatwych do odgadnięcia i jednakowych haseł w różnych aplikacjach i systemach. Nie zaleca się zapamiętywania haseł w pamięci przeglądarki lub w aplikacji na urządzeniu
• Chroń swoje konta w serwisach społecznościowych. Weryfikuj jakie informacje udostępniasz o sobie min. w mediach społecznościowych i aplikacjach i kto może mieć do nich dostęp. Zaleca się ograniczenie dostępu do konta (zasada ograniczonego zaufania). Zweryfikuj warunki korzystania z usługi. Zwracaj uwagę na fałszywe konta i zaproszenia od nieznanych użytkowników
• Nie pozostawiaj danych osobowych w niesprawdzonych serwisach i na stronach, jeżeli nie masz absolutnej pewności, że nie są one widoczne dla osób trzecich.
• Nie wysyłaj w e-mailach żadnych poufnych danych w formie otwartego tekstu. Dane poufne powinny być spakowane i zahasłowane. Hasła nie należy przesyłać w tym samym lub kolejnym mailu, tylko innym kanałem, np. za pośrednictwem sms
• Regularnie wykonuj kopie zapasowe ważnych danych.
• Pamiętaj, że żadna instytucja nie wysyła e-maili do swoich klientów/interesantów z prośbą o podanie hasła lub loginu w celu ich weryfikacji. Zawsze weryfikuj adres nadawcy.
• Bądź ostrożny w stosunku do wiadomości od nieznanych osób.
• Nie otwieraj podejrzanych załączników i nie klikaj w linki niewiadomego pochodzenia.
• Uważaj na publiczne lub niezabezpieczone połączenia internetowe. Nie loguj się do serwisów społecznościowych, banku lub poczty podczas korzystania z otwartych sieci, ponieważ może to grozić udostępnieniem Twoich danych cyberprzestępcom.
• Zabezpiecz swój router hasłem
• Pamiętaj, aby chronić swój telefon przed osobami trzecimi – stosuj blokadę ekranu oraz pin do karty sim

Więcej informacji i porad o cyberbezpieczeństwie:

• https://uodo.gov.pl/pl/138/2634

• https://www.gov.pl/web/baza-wiedzy/aktualnosci
• https://cert.pl/ouch/
• https://www.cert.pl/

Podmioty zajmujące się cyberbezpieczeństwem:

• Cyfryzacja KPRM, https://www.gov.pl/web/cyfryzacja/
• CERT Polska, https://cert.pl/
• CSIRT GOV, https://csirt.gov.pl/
• CSIRT NASK, https://www.nask.pl/pl/dzialalnosc/csirt-nask/3424,CSIRT-NASK.html

Zgłaszanie incydentów bezpieczeństwa: 

• https://incydent.cert.pl/