Kamery wideo

1. Niniejsze Zasady regulują monitoring wizyjny realizowany kamerami zainstalowanymi w Centrum Kultury w Niemenczynie oraz przetwarzanie i administrowanie danymi wizyjnymi.

2. Monitoring i przetwarzanie danych odbywają się zgodnie z ustawą Republiki Litewskiej o ochronie prawnej danych osobowych, rozporządzeniem (UE) 2016/679 (RODO) oraz aktami wykonawczymi.

3. Pojęcia używane w Zasadach:

3.1. osoba, której dane dotyczą - osoba fizyczna utrwalona przez kamery, której tożsamość można ustalić na podstawie zarejestrowanego obrazu (twarz, wzrost itp.);

3.2. odbiorca danych - osoba fizyczna lub prawna, organ, agencja lub inna instytucja, której ujawniane są dane osobowe utrwalone przez kamery;

3.3. monitoring wizyjny - przetwarzanie danych wizyjnych dotyczących osoby fizycznej z użyciem automatycznego systemu monitoringu;

3.4. system monitoringu - urządzenia rejestrujące i kamery;

3.5. pozostałe pojęcia odpowiadają pojęciom stosowanym w obowiązujących przepisach o ochronie danych i RODO.

Administrator i podmiot przetwarzający: Centrum Kultury w Niemenczynie, kod osoby prawnej 303024707, adres Švenčionių g. 12, Niemenczyn, rejon wileński.

4. Celem monitoringu jest ochrona mienia zarządzanego na podstawie własności lub innego tytułu prawnego oraz bezpieczeństwo pracowników i odwiedzających.

5. Monitoring prowadzony jest na terenach i w pomieszczeniach określonych w załączniku do Zasad.

6. Kamery montuje się tak, aby monitoring obejmował tylko niezbędny obszar. Pole widzenia nie może obejmować lokali mieszkalnych, prywatnego terenu i wejść do niego ani miejsc, gdzie istnieje absolutne oczekiwanie prywatności (przebieralnie, pomieszczenia odpoczynku, łazienki, toalety).

7. Dane monitoringu nie mogą być wykorzystywane do celów niezwiązanych z celem określonym w pkt 4.

8. Prawa administratora:

8.1. przyjmowanie wewnętrznych aktów regulujących monitoring;

8.2. podejmowanie decyzji o udostępnianiu danych osobom, których dane dotyczą, i/lub osobom trzecim;

8.3. wyznaczenie osoby lub komórki odpowiedzialnej za ochronę danych;

8.4. wyznaczenie pracownika odpowiedzialnego za techniczne utrzymanie systemu i kontrolę danych.

9. Obowiązki administratora:

9.1. zapewnienie zgodności z RODO i innymi przepisami;

9.2. realizacja praw osób, których dane dotyczą, zgodnie z RODO i niniejszymi Zasadami;

9.3. zapewnienie bezpieczeństwa danych przez środki organizacyjne i techniczne;

9.4. zapewnienie informowania o prowadzeniu monitoringu na terenie Centrum.

10. Funkcje administratora:

10.1. określa cel i zakres monitoringu;

10.2. organizuje wdrożenie systemu monitoringu;

10.3. informuje osoby, których dane dotyczą, o monitoringu;

10.4. w razie potrzeby udostępnia wyciągi danych;

10.5. analizuje problemy technologiczne, metodologiczne i organizacyjne oraz podejmuje decyzje;

10.6. udziela pracownikom wsparcia metodycznego;

10.7. wykonuje inne funkcje niezbędne do realizacji praw i obowiązków z pkt 8-9.

11. Prawa podmiotu przetwarzającego:

11.1. wymaganie przestrzegania wymogów bezpieczeństwa przez osoby z dostępem do sprzętu i danych;

11.2. przedstawianie administratorowi propozycji ulepszeń środków technicznych i programowych.

12. Obowiązki podmiotu przetwarzającego:

12.1. zapewnienie dostępu wyłącznie osobom upoważnionym;

12.2. zapewnienie zgodności przetwarzania z RODO i innymi przepisami;

12.3. zapewnienie, że zakres monitorowanego obrazu nie przekracza zakresu określonego w Zasadach;

12.4. zapewnienie zgodności danych przekazywanych osobom, których dane dotyczą, z danymi przetwarzanymi;

12.5. ochrona danych przed przypadkowym lub bezprawnym zniszczeniem, zmianą lub ujawnieniem.

13. Funkcje podmiotu przetwarzającego:

13.1. koordynuje działania rejestracji obrazu;

13.2. wdraża techniczne środki bezpieczeństwa, w tym dostęp do danych tylko z wewnętrznej sieci Centrum;

13.3. zapewnia, że uprawnienia dostępu nadawane są wyłącznie osobom upoważnionym przez administratora.

14. W celu zapewnienia bezpieczeństwa danych stosuje się środki organizacyjne i techniczne, w tym procedury nadawania, odbierania i zmiany uprawnień oraz upoważnień:

14.1. zapewnia się ochronę, zarządzanie i kontrolę dostępu do sprzętu i danych;

14.2. dostęp przyznaje się wyłącznie po podpisaniu zobowiązania do ochrony danych osobowych:

14.2.1. pracownicy podpisują zobowiązanie do poufności;

14.2.2. podmioty przetwarzające oraz pracownicy dostawcy utrzymania sprzętu podpisują zobowiązanie do zachowania tajemnicy danych;

14.3. dostęp do danych może mieć tylko pracownik, któremu dane są niezbędne do wykonywania zadań;

14.4. na danych można wykonywać wyłącznie czynności, do których podmiot przetwarzający ma uprawnienia;

14.5. hasła muszą być unikalne, co najmniej 6-znakowe, poufne i zmieniane nie rzadziej niż raz na dwa miesiące;

14.6. zapewnia się ochronę przed nieuprawnionym dostępem do sieci wewnętrznej;

14.7. zapewnia się fizyczne bezpieczeństwo sprzętu przechowującego dane;

14.8. zapewnia się ochronę przed złośliwym oprogramowaniem przez wdrożone i aktualizowane środki sieciowe oraz antywirusowe;

14.9. prawa dostępu i upoważnienia nadaje, odbiera i zmienia Dyrektor zarządzeniem;

14.10. wykonanie zarządzeń o dostępie zapewnia podmiot przetwarzający wyznaczony zarządzeniem Dyrektora;

14.11. prawa dostępu odbiera się po ustaniu zatrudnienia lub zmianie funkcji, gdy dostęp nie jest już niezbędny;

14.12. dane z monitoringu przechowuje się przez 10 dni kalendarzowych od utrwalenia, po czym usuwa automatycznie, chyba że istnieją podstawy, by uznać, że utrwalono naruszenia lub inne działania bezprawne (do zakończenia odpowiedniego postępowania);

14.13. dane mogą być przekazywane organom dochodzeniowym, prokuratorowi lub sądowi jako dowody oraz w innych przypadkach przewidzianych prawem.

15. Użycie danych w innym celu niż określony w Zasadach jest dopuszczalne tylko za pisemną zgodą Dyrektora i przy zachowaniu wymogów ochrony danych.

16. Po potwierdzeniu tożsamości osoba, której dane dotyczą, ma prawo otrzymać informacje o przetwarzaniu danych oraz kopię właściwego nagrania, jeśli jest przechowywane.

17. Wniosek musi określać zakres żądanych danych. Jeśli nagranie zawiera także inne osoby, należy wskazać cel użycia i podstawę prawną.

18. Podmiot przetwarzający odpowiada w ciągu 3 dni roboczych, czy dane są przechowywane; jeśli tak, kopiuje je na nośnik dostarczony przez osobę, której dane dotyczą.

19. Żądane dane przekazuje się nie później niż w ciągu 10 dni kalendarzowych od dnia złożenia wniosku.

20. Podmiot przetwarzający odmawia udostępnienia danych, gdy:

20.1. ujawnienie nagrania z możliwymi do zidentyfikowania innymi osobami naruszałoby ich prawa;

20.2. zachodzą inne okoliczności określone w przepisach o ochronie danych i innych aktach prawnych.

21. Pracownicy posiadający dostęp, którzy zauważą naruszenia bezpieczeństwa danych, mają obowiązek niezwłocznie poinformować Dyrektora.

22. Po ocenie ryzyka, wpływu, szkody i skutków Dyrektor proponuje środki niezbędne do usunięcia naruszenia i jego konsekwencji.

23. W przypadkach przewidzianych przez RODO Dyrektor niezwłocznie zawiadamia osobę, której dane dotyczą, i/lub organ nadzorczy.

24. Pracownicy i inne osoby upoważnione są zobowiązani do przestrzegania niniejszych Zasad, podstawowych wymogów przetwarzania danych oraz wymogów poufności i bezpieczeństwa określonych w przepisach i RODO. Naruszenia skutkują odpowiedzialnością przewidzianą w przepisach prawa.