Ochrona danych osobowych na uczelni wprowadzenie. Mateusz Borkiewicz Kancelaria Olesiński i Wspólnicy

Transkrypt

1 Ochrona danych osobowych na uczelni wprowadzenie Mateusz Borkiewicz Kancelaria Olesiński i Wspólnicy

2 Ochrona danych osobowych na uczelni wprowadzenie HEMC Higher Education Marketing & Consulting Poznań, dnia 18 listopada 2016 r.

3 Plan działania 3 MARK02 presentation

4 Dane osobowe - pojęcie 4 MARK02 presentation

5 Dane osobowe - pojęcie Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U. z 2016 r. poz. 922 (dalej również: UODO ) Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio danymi osobowymi są nie tylko informacje, które same służą identyfikacji konkretnej osoby. Możliwość identyfikacji osoby jest oceniana w oparciu zarówno o dane posiadane przez administratora, jak i dane do których jest on w stanie stosunkowo łatwo dotrzeć informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań

6 Dane osobowe - pojęcie nie ma znaczenia status prawny określonej osoby to, czy posiada zdolność do czynności prawnych, czy przysługują jej prawa publiczne nie ma znaczenia obywatelstwo - ochronie, którą zapewnia ustawa o ochronie danych osobowych, w takim samym zakresie podlegają dane osobowe obywateli polskich, jak i cudzoziemców nie ma znaczenia wiek osoby, której dane dotyczą, tj. czy jest ona pełnoletnia, czy też pełnoletniości jeszcze nie osiągnęła ochrona danych osobowych odnosi się wyłącznie do osób żywych

7 Dane osobowe - pojęcie DANE OSOBOWE zwykłe - imię, nazwisko, adres osoby - NIP, PESEL - informacje o sytuacji finansowej osoby (zaległości, zadłużenia, stan konta) - adres IP komputera danej osoby - oceny wraz z imieniem i nazwiskiem - miejsce pracy, stanowisko, zarobki wrażliwe - pochodzenie rasowe - pochodzenie etniczne - poglądy polityczne - przekonania religijne lub filozoficzne - przynależność wyznaniowa - przynależność partyjna lub związkowa - stan zdrowia - kod genetyczny - nałogi - życie seksualne - wyroki skazujące - orzeczenia o ukaraniu, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym Adres ? Numer indeksu? Rok i kierunek studiów?

8 Dane osobowe - nośniki Dokumentacja papierowa, w tym m.in.: zbiory, rejestry, poczta tradycyjna; Systemy teleinformatyczne, w tym m.in.: zbiory, rejestry, poczta elektroniczna, serwisy www, SMS, telefon

9 Dane osobowe - przetwarzanie 9 MARK02 presentation

10 Dane osobowe - przetwarzanie Przetwarzanie to jakiekolwiek operacje na danych osobowych, takie jak (katalog otwarty): zbieranie; utrwalanie; przechowywanie; opracowywanie; zmienianie; udostępnianie; usuwanie; Wykonywane zarówno metodami tradycyjnymi (manualnie) w: kartotekach; skorowidzach; księgach, wykazach i w innych zbiorach ewidencyjnych jak i w systemach informatycznych.

11 Dane osobowe - przetwarzanie Uczelnie mogą przetwarzać dane osobowe m.in.: kandydatów na studia studentów absolwentów doktorantów studentów studiów podyplomowych uczestników szkoleń i kursów pracowników osób zatrudnionych na podstawie umów cywilnoprawnych osób zapisanych do newslettera

12 PODSTAWY PRZETWARZANIA zwykłe 1. Zgoda osoby, której dane dotyczą. 2. Przepis prawa (uprawnienie lub obowiązek). 3. Realizacja umowy: gdy osoba, której dane dotyczą jest stroną umowy lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. 4. Realizowanie zadań określonych prawem dla dobra publicznego. 5. Wypełnianie prawnie usprawiedliwionych celów, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. wrażliwe 1. Osoba, której dane dotyczą, wyrazi na to zgodę na piśmie. 2. Inna ustawa zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony. 3. Przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów, przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą. 4. Jest to niezbędne do prowadzenia badań naukowych, pod warunkiem anonimizacji danych. ( )

13 Przetwarzanie danych na podstawie zgody Zgoda na przetwarzanie danych osobowych jako jedna z podstaw legalnego przetwarzania. Zgoda jest oświadczeniem woli. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Treści klauzul zgody na przetwarzanie danych osobowych powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe mogą być przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi. Wyrok NSA z dnia 4 kwietnia 2003 r. (sygn. akt II SA 2135/2002) - zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania. Czynności takiej nie legalizuje późniejsze poinformowanie o treści regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych. Ponadto oświadczenie o wyrażeniu zgody musi być przejawem wolnej i nieskrępowanej woli osoby je składającej. Nie może ona czuć się zmuszona do jego złożenia.

14 Przetwarzanie danych na podstawie zgody Zgoda nie zawsze skuteczna wyrażona na prośbę pracodawcy pisemna zgoda pracownika, na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. ( ) Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 221 kodeksu pracy katalog danych, których pracodawca może żądać od pracownika Naczelny Sąd Administracyjny, wyrok z dnia 1 grudnia 2009 r., sygn. akt I OSK 249/09

15 Przetwarzanie danych na podstawie przepisu Przepis prawa jedna z podstaw legalnego przetwarzania danych Ustawa prawo o szkolnictwie wyższym z dnia 27 lipca 2005 r. (dalej również Prawo o szkolnictwie wyższym ) Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego w sprawie dokumentacji przebiegu studiów z dnia 16 września 2016 r. (dalej również Rozporządzenie w sprawie dokumentacji przebiegu studiów ) Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy ( )

16 Przetwarzanie danych na podstawie przepisu Kandydaci na studia Dokumenty wymagane od kandydata na studia: poświadczona przez uczelnię kopia świadectwa dojrzałości albo świadectwa dojrzałości i zaświadczenia o wynikach egzaminu maturalnego dyplom ukończenia studiów (w przypadku kandydata na studia drugiego stopnia) ankieta osobowa, zawierająca imię i nazwisko, datę i miejsce urodzenia, numer PESEL, adres zamieszkania i adres do korespondencji poświadczona przez uczelnię kopia dowodu osobistego/ dokumentu tożsamości aktualna fotografia kandydata Uwaga na dane wrażliwe!

17

18 Przetwarzanie danych na podstawie przepisu Studenci Szczegółowy opis dokumentów prowadzonych przez uczelnie znajduje się w Rozporządzeniu w sprawie dokumentacji przebiegu studiów. Podstawowe dokumenty, zawierające dane osobowe: teczka akt osobowych studenta indeks legitymacja studencka protokoły zaliczeniowe dyplom

19 Przetwarzanie danych na podstawie przepisu W teczce akt osobowych studentów przechowuje się: dokumenty wymagane od kandydata na studia dokumenty postępowania kwalifikacyjnego, na podstawie których kandydat został przyjęty na studia poświadczoną przez uczelnię kopię decyzji o przyjęciu na studia umowę ze studentem potwierdzenie odbioru legitymacji i indeksu kartę okresowych osiągnięć studenta dokumenty dotyczące przyznania studentowi pomocy materialnej egzemplarz pracy dyplomowej i jej recenzję protokół z egzaminu dyplomowego dyplom ukończenia studiów suplement do dyplomu

20 Przetwarzanie danych na podstawie przepisu Absolwenci Uczelnie mogą monitorować karierę zawodową absolwentów, przetwarzając ich dane osobowe. Art. 13b Prawa o szkolnictwie wyższym ( ) 12. W celu dostosowania programu kształcenia do potrzeb rynku pracy uczelnia może prowadzić własny monitoring karier zawodowych swoich absolwentów. 13. W celu prowadzenia monitoringu, o którym mowa w ust. 12, uczelnia może przetwarzać dane osobowe absolwentów obejmujące: 1) imiona i nazwisko; 2) adres do korespondencji; 3) adres poczty elektronicznej. Uwaga! Uczelnia nie może uzyskiwać informacji z urzędów w celu monitorowania karier absolwentów bez ich zgody.

21 Przetwarzanie danych na podstawie celu Osoby zatrudnione Informacje dotyczące pracy wykładowców / innych pracowników, w tym ich imię i nazwisko, numer pokoju, numer telefonu, adres i godziny dyżurów. Dane te podlegają przepisom UODO, jednak ich umieszczenie, jako usprawiedliwione celem działania uczelni, co do zasady nie wymaga zgody pracownika/ osoby zatrudnionej na podstawie umowy cywilnoprawnej.

22 Dane osobowe - przetwarzanie Publikowanie danych osobowych studentów: wyniki egzaminu rekrutacyjnego? ESIGN wyniki egzaminów cząstkowych? plany zajęć / przypisanie do grup?

23 Uczelnia administrator danych osobowych 23 MARK02 presentation

24 Uczelnia administrator danych osobowych Administrator danych osobowych to: organ jednostka organizacyjna podmiot lub osoba decydująca (samodzielnie) o celach (po co?) i środkach (jak?) przetwarzania danych osobowych. Jest to podmiot praw i obowiązków, który sprawuje władztwo nad przetwarzaniem danych osobowych przez zaciąganie zobowiązań i rozporządzanie prawami. Nie ma przy tym znaczenia fakt, czy podmiot ten jest w posiadaniu przetwarzanych danych ani czy sam je przetwarza. Administrator podejmuje decyzję, czy: przetwarzać dane samodzielnie czy do przetwarzania upoważnić pracowników czy zlecić przetwarzanie podmiotom zewnętrznym

25 Uczelnia administrator danych osobowych Za realizację ustawowych obowiązków w zakresie danych osobowych odpowiada rektor. Wykonanie obowiązków może zostać powierzone m.in. prorektorom lub dziekanom lub wyznaczonemu w tym celu Administratorowi Bezpieczeństwa Informacji.

26 Uczelnia administrator danych osobowych Obowiązki administratora danych obowiązek informacyjny wypełniany przy zbieraniu danych osobowych (art. 24 i 25 UODO) szczególna staranność przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane przetwarza (art. 26 UODO) udzielanie informacji o zakresie przetwarzanych danych osobowych (art. 33 UODO) obowiązek uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora (art. 35 UODO)

27 Uczelnia administrator danych osobowych obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 UODO) obowiązek kontroli, jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane (art. 38 UODO) obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych (art. 39 UODO) obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w przypadkach przewidzianych prawem (art. 40 UODO) możliwość powołania Administratora Bezpieczeństwa Informacji (art. 36a UODO)

28 Podstawowe dokumenty 28 MARK02 presentation

29 Podstawowe dokumenty Instrukcja zarządzania systemem informatycznym Ewidencja osób upoważnionych do przetwarzania danych osobowych Polityka bezpieczeństwa Upoważnienie do przetwarzania danych osobowych

30 Podstawowe dokumenty Upoważnienie do przetwarzania danych osobowych Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Dla celów dowodowych rekomendowane jest wydanie go w formie pisemnej, jednakże dozwolona jest również forma ustna lub wiadomości . Powinno ono: dotyczyć konkretnej, wskazanej imieniem i nazwiskiem osoby wskazywać nazwę i adres administratora danych wskazywać datę nadania oraz datę ustania upoważnienia

31 Podstawowe dokumenty Upoważnienie powinno być odrębnym dokumentem, nie powinno być wywodzone tylko z treści umowy o pracę, czy z zakresu obowiązków pracowniczych. Wydanie upoważnienia nie może zostać zastąpione oświadczeniem pracownika o zachowaniu w tajemnicy przetwarzanych danych osobowych. Upoważnienie muszą posiadać zarówno osoby stale zajmujące się przetwarzaniem danych jako pracownicy administratora danych, jak i osoby uzyskujące czasowy dostęp do danych, np. pracownicy innych działów (np. kadr czy płac). Ewidencja powinna stanowić odrębny dokument zawierający: imię i nazwisko osoby upoważnionej, datę nadania i ustania, zakres upoważnienia do przetwarzania danych osobowych, identyfikator użytkownika (jeśli dane przetwarzane są w systemie informatycznym).

32 Dane osobowe powierzenie 32 MARK02 presentation

33 Dane osobowe powierzenie Outsourcing do sektora prywatnego a dane osobowe: serwery obsługa strony internetowej / poczty zbieranie danych w ramach akcji marketingowych monitoring kursy / szkolenia ( )

34

35

36 Dane osobowe powierzenie Umowa powierzenia danych osobowych do przetwarzania jest umową zawieraną przez administratora danych z podmiotem zewnętrznym. Na jej mocy administrator powierza czynność przetwarzania danych innemu podmiotowi, przy jednoczesnym zachowaniu wszelkich uprawnień (i obowiązków), które daje administratorowi danych UODO. Podmiot któremu administrator powierza przekazywanie danych może przetwarzać dane tylko w celu i zakresie wskazanym przez administratora w umowie. Oznacza to, że jest on całkowicie związanym wytycznymi realizatorem woli administratora danych.

37 Dane osobowe powierzenie Podmiot przetwarzający dane na podstawie umowy powierzenia nie staje się administratorem danych, rolę tę zachowuje dotychczasowy administrator. Umowa powierzenia danych do przetwarzania powinna zostać zawarta w formie pisemnej. Jej najważniejszym elementem jest dokładne określenie zakresu przekazywanych danych (rodzaju danych) oraz celu w jakim mają one być przetwarzane (przeznaczenia danych). W celu usprawnienia współpracy stron w zakresie kontroli przetwarzania danych osobowych, rekomendowane jest umowne ustalenie zasad jej przeprowadzania.

38 Dane osobowe powierzenie Powierzenie do przetwarzania Poza granicami np. Privacy Shield Polska

39 Działalność promocyjna 39 MARK02 presentation

40 Działalność promocyjna strona www social media wykorzystywanie wizerunku newsletter kontakt telefoniczny

41 Przetwarzanie Działalność promocyjna danych osób - newslettery zatrudnionych Forma: informacje dostępne na stronie internetowej

42 Przetwarzanie Działalność promocyjna danych osób - newslettery zatrudnionych Forma: wysyłka mailingu

43 Działalność promocyjna social media Prywatne wiadomości z wykorzystaniem kanałów social media, np.: FACEBOOK SNAPCHAT ( )

44 Działalność promocyjna newslettery a UŚUDE Art. 10 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług droga elektroniczną, Dz.U. z 2016 r. poz (dalej również: UŚUDE ) 1. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. 2. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. 3. Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy, o której mowa w art. 9 ust. 3 pkt 1. Art. 24 UŚUDE 1. Kto przesyła za pomocą środków komunikacji elektronicznej niezamówione informacje handlowe, podlega karze grzywny. 2. Ściganie wykroczenia, o którym mowa w ust. 1, następuje na wniosek pokrzywdzonego.

45 Działalność promocyjna kontakt telefoniczny Art. 172 ustawy z dnia 16 lipca 2004 r. prawo telekomunikacyjne (Dz.U. z 2016 r. poz. 1489) 1. Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. ( )

46 Działalność promocyjna UODO Art. 23 ust. 1 pkt 5 UODO Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Art. 23 ust. 4 pkt 1 UODO Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych.

47 Działalność promocyjna UODO szkoła językowa Marketing produktów / usług podmiotów trzecich, np.: organizator wycieczek wydawnictwo naukowe księgarnia współpracująca z uczelnią

48 Działalność promocyjna UODO Brak prawnej potrzeby zbierania zgody na przetwarzanie danych osobowych w celu marketingu bezpośredniego własnych produktów lub usług administratora danych osobowych. Dobrowolna zgoda wymagana jest w przypadku przetwarzania danych osobowych w celu marketingu produktów i usług podmiotów obcych (tj. np. partnerów handlowych). Przykładowo, zgoda taka mogłaby mieć następujące brzmienie: *Wyrażam zgodę na przetwarzanie moich danych osobowych (imię/ nazwisko/ adres / numer telefonu/ ulica/ numer domu/ kod pocztowy/ miasto) w celach marketingu usług i produktów podmiotów współpracujących z Uniwersytetem [ ].

49 Działalność promocyjna UWAGA! Działalność marketingowa a dane osobowe absolwentów

50 Polityka prywatności Dokument umieszczany np. w ramach strony internetowej, czy aplikacji mobilnej, który ma za zadanie poinformowanie użytkowników serwisu o zasadach przetwarzania danych osobowych, np.: jakie dane osobowe są zbierane kto jest administratorem danych osobowych (z podaniem adresu i pełnej nazwy) w jakim celu dane będą wykorzystywane i czy będą przekazywane innym podmiotom prawie dostępu do treści swoich danych oraz ich poprawiania w jaki sposób dane użytkowników są zabezpieczane czy podanie danych jest dobrowolne (jeśli nie podstawa prawna) Nie jest obowiązkowa, jej przygotowywanie i publikowanie to dobra praktyka, która, w zależności od jej wykorzystania i umiejscowienia w ramach serwisu, może umożliwić efektywne spełnienie obowiązków informacyjnych.

51 Odpowiedzialność 51 MARK02 presentation

52 Odpowiedzialność odmioty kontrolujące Kontrola może być przeprowadzona przez: ABI GIODO W razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, GIODO wydaje tzw. decyzję naprawczą. Brak zastosowania się do decyzji nałożenie grzywny w celu przymuszenia : jednorazowo do zł łącznie do zł

53 Odpowiedzialność przetwarzanie danych przez nieuprawnionego Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. udaremnianie /utrudnianie wykonania czynności kontrolnej Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. udostępnienie danych osobom nieuprawnionym Kto będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

54 Przyszłość 54 MARK02 presentation

55 Nowe regulacje unijne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/6792 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Nowe, jednolite przepisy, które będą bezpośrednio obowiązywać w całej Unii Europejskiej, zastępując obecne 28 regulacji krajowych. Zastosowanie od 25 maja 2018 r.

56 Nowe regulacje unijne - sankcje Sankcje na gruncie nowego rozporządzenia: możliwość nałożenia bez wcześniejszych ostrzeżeń ze strony organu aż do EUR lub do 4 % całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego zastosowanie ma kwota wyższa

57 ?? P Y T A N I A??

58 Dziękuję za uwagę! Mateusz Borkiewicz starszy konsultant tel.: Olesiński & Wspólnicy Sp. k. ul. Powstańców Śląskich Wrocław SR dla Wrocławia-Fabrycznej VI Wydział Gospodarczy KRS KRS NIP REGON Arkady Wrocławskie ul. Powstańców Śląskich Wrocław Tel Prosta Tower ul. Prosta Warszawa Tel M65 Meduza ul. Mogilska Kraków Tel Śląsk (Gliwice) ul. Zygmunta Starego 24A Gliwice Tel