Obowiązek informacyjny.

ADMINISTRATOR DANYCH

Administratorem Państwa danych osobowych przetwarzanych w związku z prowadzonym monitoringiem wizyjnym jest Nowohuckie Centrum Kultury z siedzibą w Krakowie przy al. Jana Pawła II 232.

Kontakt do Inspektora Ochrony Danych: iod@nck.krakow.pl

CEL PRZETWARZANIA

Dane osobowe będą przetwarzane w celu zapewnienia bezpieczeństwa pracowników oraz współpracowników oraz klientów Administratora, ochrony jego mienia oraz zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić Administratora na szkodę, co stanowi prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f) RODO).

POSTANOWIENIA SPECJALNE I PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

Zakresem monitoringu wizyjnego objęty jest obszar wokół siedziby Administratora, ciągi komunikacyjne budynków oraz kluczowe pomieszczenia. Administrator przechowuje nagrania przez czternaście (14) dni od dnia nagrania.

W związku z przetwarzaniem danych przysługuje Państwu szereg uprawnień, w tym m.in. prawo dostępu do Państwa danych osobowych lub ich usunięcia. 

 

INSTRUKCJA ZARZĄDZANIA SYSTEMEM MONITORINGU WIZYJNEGO

W NOWOHUCKIM CENTRUM KULTURY

 I Postanowienia ogólne

1. Niniejsza Instrukcja dotyczy systemu rejestrującego obraz, którym objęty jest obszar siedziby Nowohuckiego Centrum Kultury przy al. Jana Pawła II 232, 31-913 Kraków na zewnątrz i wewnątrz budynków w ramach przestrzeni przeznaczonej do użytku publicznego (dalej: System monitoringu).
2. Administratorem Systemu monitoringu i administratorem danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE Dz.U.UE.L.2016.119.1) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018r. poz. 1000) jest Nowohuckie Centrum Kultury, al. Jana Pawła II 232, 31-913 Kraków.
3. Instrukcja zarządzania systemem monitoringu wizyjnego zwana dalej „Instrukcją” została opracowana zgodnie z wymogami § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) i pozostaje w zgodności z tym aktem, jak również z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)” (zwane dalej: „rozporządzenie RODO”) oraz krajowymi regulacjami z zakresu ochrony danych osobowych.
4. Wszelkie wdrożone zabezpieczenia techniczne oraz organizacyjne dotyczące systemów informatycznych w których przetwarzane są dane osobowe zostały szczegółowo opisane w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Nowohuckim Centrum Kultury (dalej: „IZSI”). Mają one także zastosowanie w przypadku systemu monitoringu wizyjnego.
5. Dostęp do systemu i infrastruktury monitoringu wizyjnego za wyjątkiem osób posiadających stałe upoważnienia wymaga każdorazowej pisemnej zgody Dyrektora.

II. Dokumenty powiązane 

1. Polityka Bezpieczeństwa Informacji („PBI”).
2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Nowohuckim Centrum Kultury („IZSI”).

III. Definicje 

1. Administrator danych osobowych(„ADO”) – osoba reprezentująca Nowohuckie Centrum Kultury, Dyrektor NCK
2. Administrator systemu monitoringu – Nowohuckie Centrum Kultury („NCK”)
3. Administrator systemu informatycznego („ASI”) – osoba wyznaczona przez ADO odpowiedzialna za utrzymywanie Systemu informatycznego w stanie pozwalającym na pracę jego użytkownikom oraz wdrażanie i stosowanie zasad bezpieczeństwa danych osobowych w zakresie technicznych zabezpieczeń systemu informatycznego zgodnie z PBI i IZSI.
4. Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
5. Osoba upoważniona/użytkownik – osoba, która upoważniona została do przetwarzania danych osobowych przez ADO na piśmie
6. System informatyczny/System/SI – system informatyczny, system przetwarzania danych w jednostce Nowohuckie Centrum Kultury wraz z zasobami ludzkimi, technicznymi oraz finansowymi, który dostarcza i rozprowadza informacje
7. Stacja robocza – stacjonarny lub przenośny komputer wchodzący w skład systemu informatycznego umożliwiający użytkownikom systemu dostęp do danych osobowych znajdujących się w systemie informatycznym
8. Bezpieczeństwo systemu informatycznego – zabezpieczenie systemu informatycznego, należy przez to rozumieć wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych a także ich utratą
9. Wewnętrzna sieć teleinformatyczna – sieć ADO łącząca co najmniej dwie stacje robocze
10. Dane wrażliwe – dane w rozumieniu art. 27 ustawy, podlegające szczególnej ochronie
11. Przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie
12. Ustawa/UODO – ustawa z dnia 10 maja 2018r. o ochronie danych osobowych
13. Rozporządzenie – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)” (tzw. RODO / GDPR – General Data Protection Regulation)
14. Użytkownik systemu – osoba upoważniona do przetwarzania danych osobowych
15. Zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie
16. Obszar monitoringu wizyjnego – teren zewnętrzny oraz przestrzeń wewnętrzna budynków NCK położonych przy al. Jana Pawła II 232
17. Monitoring wizyjny – zespół współpracujących urządzeń, programów oraz procedur służących do przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych zarejestrowanych przez kamery
18. Zbiór o nazwie „Monitoring wizyjny NCK” – zbiór danych osobowych, do którego dostęp mają pracownicy NCK posiadający upoważnienie ADO do dostępu do danych zawartych w tym zbiorze.

IV. Cel i zakres Instrukcji 

1. Celem Instrukcji jest określenie podstawowych zasad właściwego zarządzania systemem monitoringu wizyjnego służącego do przetwarzania danych osobowych.
2. Instrukcję stosuje się do danych osobowych przetwarzanych w systemach monitoringu wizyjnego.
3. Przy przetwarzaniu danych osobowych w systemach monitoringu wizyjnego należy stosować wysoki poziom bezpieczeństwa ponieważ urządzenia systemu służące do przetwarzania danych osobowych połączone są z siecią publiczną.
4. Instrukcja zawiera specyfikację podstawowych środków technicznych ochrony danych osobowych oraz elementów zarządzania systemem monitoringu wizyjnego. W przypadku, gdy z oceny funkcjonowania instrukcji wynika, że zachodzi potrzeba wprowadzenia nowych lub modyfikacji istniejących zasad właściwego zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, wnioski w tej sprawie powinni składać operatorzy systemu do ADO.

V.  Sposób postępowania 

1. System monitoringu służy dbaniu o porządek prawny i bezpieczeństwo osób przebywających na terenie objętym monitoringiem, w szczególności poprzez poszerzenie pola widzenia osoby sprawującej nadzór nad powierzonym terenem oraz zapewnienie możliwości ponownej obserwacji obrazu w celu przyjrzenia się jego szczegółom w celu wczesnego wykrycia niepożądanych zdarzeń i możliwości podjęcia odpowiednich działań prewencyjnych lub interwencyjnych.
2. Dostęp do systemu monitoringu posiadają wyłącznie: Dyrektor NCK, Z-ca Dyrektora, Kierownik Działu Administracyjno – Technicznego, koordynator ds. usług obiektowych oraz radca prawny, a poza tym wyłącznie osoby posiadające pisemne upoważnienie ADO. Procedurę nadawania uprawnień zawiera PBI i IZSI. Ewidencja osób uprawnionych do dostępu do systemu monitoringu stanowi załącznik nr 1 do Instrukcji.
3. W celu zachowania odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych, dostęp do systemu monitoringu wizyjnego przetwarzającego dane osobowe możliwy jest wyłącznie po uwierzytelnieniu użytkownika zgodnie z zasadami określonymi w Instrukcji zarządzania systemem informatycznym (IZSI) .
4. System monitoringu jest stosowany, gdyż inne środki prewencyjne ochrony i bezpieczeństwa o charakterze fizycznym i logicznym, niewymagające pozyskiwania obrazu są niewystarczające dla realizacji powyższych prawnie uzasadnionych celów.
5. Szanując konstytucyjne prawo do prywatności oraz wymogi przepisów prawa ADO przed obszarem monitorowany zamieszcza informację o stosowanym systemie monitoringu.
6. Przetwarzanie danych osobowych w zakresie wizerunku odbywa się na podstawie art. 6 lit. c) oraz lit. e) RODO,    w celu wypełnienia obowiązku prawnego ciążącego na administratorze oraz wykonywania zadań realizowanych w interesie publicznym.
7. Każda osoba, która znalazła się w obszarze monitoringu i chciałaby uzyskać dostęp do nagrań, szczególnie w przypadku uraty mienia lub innych działań w wyniku których uszkodzeniu uległo jej mienie powinna zgłosić zdarzenie do organu uprawnionego np. na Policję. Z wnioskiem o dostęp do monitoringu występuje do administratora organ uprawniony na podstawie zgłoszenia poszkodowanego.
8. Dostęp do monitoringu w NCK mają uprawnione organy, które każdorazowo występują do NCK z umotywowanym, pisemnym wnioskiem. Uprawniony organ jest zobowiązany:
   1. Skierować swój wniosek do administratora pisemnie;
   2. Podać podstawę prawną żądania.
9. Prawidłowy poziom zabezpieczenia systemu monitoringu zostaje zapewniony poprzez:
   1. Uniemożliwienie osobom nieupoważnionym uzyskania dostępu do systemu monitoringu oraz dostępu do infrastruktury technicznej związanej z siecią teleinformatyczną, m.in. poprzez stosowane środki uwierzytelnienia osób upoważnionych. W przypadku pracowników firm zewnętrznych podpisania klauzuli poufności oraz umowy o powierzenie przetwarzania danych osobowych
   2. Instalowanie nowego lub aktualizowanie już zainstalowanego oprogramowania wyłącznie przez ASI.

VII. Rejestracja nagrań zapisów monitoringu wizyjnego 

1. Dane osobowe przetwarzane w systemie monitoringu wizyjnego zapisywane są na rejestratorach cyfrowych, do których dostęp mają wyłącznie osoby upoważnione zgodnie z IZSI.
2. Stanowisko nadzoru wizyjnego zlokalizowane jest w budynku B Nowohuckiego Centrum Kultury przy al. Jana Pawła II 232 w Krakowie, do którego dostęp posiadają wyłącznie osoby upoważnione przez administratora.

VIII. Funkcjonalność systemu monitoringu wizyjnego                                                              

1. W systemie monitoringu wizyjnego do celów archiwizacyjnych, rejestracyjnych i poglądowych zbiorów stosuje się system dysków twardych.
2. System nagrywa obraz bez dźwięku w czasie rzeczywistym. Przeglądanie materiału możliwe jest przez podanie określonej daty i godziny.
3. Dane są zapisywane na wydzielonym serwerze.
4. Dostęp do zbioru danych osobowych – monitoring wizyjny, w celach serwisowych posiadają pracownicy NCK a w zakresie sieci pracownicy firmy serwisowej.
5. System monitoringu wizyjnego nie stosuje dodatkowej zaawansowanej analizy danych.
6. Nagrania przechowywane są przez okres nie dłuższy niż 14 dni a następnie kolejne nagrania są nadpisywane na poprzednie.
7. Wykaz obszarów przetwarzania danych zawiera Załącznik nr 2 do Instrukcji.
8. Wykaz środków technicznych i organizacyjnych stosowanych do zabezpieczenia danych osobowych zawiera załącznik nr 3 do Instrukcji.

VIII. Postanowienia końcowe

W zakresie nieuregulowanym niniejszą instrukcją stosuje się Politykę Bezpieczeństwa Informacji NCK oraz Instrukcję Zarzadzania Systemem Informatycznym a także obowiązujące przepisy prawa.