OCHRONA DANYCH OSOBOWYCH Materiały szkoleniowe dla pracowników Uniwersytetu Jana Kochanowskiego w Kielcach
OCHRONA DANYCH OSOBOWYCH - podstawy prawne: Konstytucja RP art. 47, art. 51, Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane w skrócie RODO), ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Kodeks Pracy,
RODO przepisy RODO są stosowane bezpośrednio (nie musiały być implementowane przez państwa członkowskie Unii Europejskiej, RODO jest najważniejszym aktem z zakresu ochrony danych osobowych, przepisy RODO dotyczą obszarów, które dotychczas regulowały ustawy o ochronie danych osobowych, obowiązujące w Państwach członkowskich, nowa polska ustawa o ochronie danych osobowych reguluje te obszary, które nie zostały ujęte w RODO, a na których regulację,,pozwala RODO,
W RODO m.in.: przewidziano obowiązek powiadamiania w ciągu 72 h organu nadzorczego o przypadkach naruszenia ochrony danych osobowych art. 33 ust. 1 RODO (rozwiązanie to ma zapobiec,,zamiataniu pod dywan incydentów w zakresie ochrony danych osobowych), zagwarantowano każdej osobie, której prawa zostały naruszone poprzez złamanie przepisów RODO, a która poniosła szkodę majątkową lub niemajątkową, możliwości ubiegania się o odszkodowanie art. 82 ust. 1 RODO (będzie zdecydowanie łatwiej uzyskać odszkodowanie od podmiotu, który dopuścił się naruszenia prawa; tym bardziej, że trzeba będzie informować osoby, których dane dotyczą np. o wycieku ich danych art. 34 RODO), przewidziano kary administracyjne do 20 000 000 E lub 4% rocznego obrotu przedsiębiorstwa art. 83 ust. 5 RODO (w Polsce w przypadku podmiotów ze sfery publicznej maksymalną wysokość kar obniżono do kwoty 100 000 zł).
wprowadzono obowiązek ochrony danych osobowych w fazie projektowania (privacy by design) art. 25 RODO; polega on na tym, że już w fazie projektowania np. systemu informatycznego bądź podejmowania inicjatyw lub przygotowywania się do świadczenia usług, które wiążą się z przetwarzaniem danych osobowych, trzeba będzie przeprowadzić szereg prac, związanych z ochroną danych (m.in. analizę prawną, analizę zabezpieczeń, analizę zagrożeń; działania te trzeba będzie udokumentować); zasadę tę również trzeba będzie uwzględniać przy przetargach publicznych.
przyznano osobom, których dane dotyczą, prawo do usunięcia danych, w tym prawo do bycia zapomnianym: - powyższe uprawnienie może być realizowane m.in. w sytuacjach, gdy dane nie są już niezbędne do celów, dla których je zebrano lub gdy osoba, której dane dotyczą, wycofała zgodę i nie istnieje inna przesłanka uprawniająca do przetwarzani jej danych. - w przypadku skutecznego żądania osoby, które dane dotyczą, należy je usunąć z wszystkich miejsc, tj. m.in.: dokumentów tradycyjnych, serwera, poczty, edytorów tekstowych, nośników elektronicznych,
Art. 32 RODO Bezpieczeństwo przetwarzania. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a)pseudonimizację i szyfrowanie danych osobowych; b)zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c)zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d)regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
PODSTAWOWE POJĘCIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH Dane osobowe informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, np.: imię i nazwisko, PESEL, adres zamieszkania, wizerunek.
DANE ZWYKŁE: imię i nazwisko, nr telefonu, adres zamieszkania, nr dowodu osobistego. SZCZEGÓLNE KATEGORIE DANYCH: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane dotyczące zdrowia, dane genetyczne i biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, seksualność, orientacja seksualna.
Przetwarzanie - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak: 1) zbieranie, 2) utrwalanie, 3) organizowanie, 4) porządkowanie, 5) przechowywanie, adaptowanie, 6) modyfikowanie, 7) pobieranie, 8) przeglądanie, 9) wykorzystywanie, 10) ujawnianie poprzez przesłanie, 11) rozpowszechnianie lub innego rodzaju udostępnianie, 12) dopasowywanie lub łączenie, 13) ograniczanie, 14) usuwanie lub niszczenie;
Zbiór danych - oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie Zbiór danych może być utworzony w formie tradycyjnej (papierowej) lub elektronicznej (baza danych).
Pseudonimizacja - oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej
W Uniwersytecie ochronie podlegają w szczególności: przetwarzane dane osobowe, niezależnie od ich formy i nośnika, sprzęt wykorzystywany do przetwarzania danych osobowych, pomieszczenia, w których znajdują się zbiory danych a także kluczowy sprzęt informatyczny, oprogramowanie służące do przetwarzania danych osobowych.
Obowiązki w zakresie przetwarzania danych osobowych: znajomość Polityki Bezpieczeństwa, znajomość Instrukcji Zarządzania Systemami Informatycznym, znajomość zasad postępowania w sytuacji naruszenia bezpieczeństwa danych.
Każdy użytkownik jest zobowiązany w szczególności do: zachowania w tajemnicy danych osobowych, z którymi zapoznał się podczas wykonywania obowiązków służbowych, nieudostępniania danych osobowych osobom nieupoważnionym, nadzoru osób nad osobami trzecimi przebywającymi w pomieszczeniu, w którym przetwarzane są dane osobowe, przechowywania dokumentów tradycyjnych i nośników komputerowych w zamykanych na klucz meblach biurowych,
zabezpieczania dokumentów tradycyjnych oraz nośników komputerowych przed dostępem osób niepowołanych w przypadku chwilowej nieobecności na stanowisku pracy, niepozostawiania dokumentów tradycyjnych w pobliżu okien, a w szczególności na parapecie, niszczenia zbędnych wydruków zawierających dane osobowe w niszczarkach, uniemożliwiania wglądu osobom nieupoważnionym w dane wyświetlane na ekranie monitora,
niepozostawiania niezabezpieczonych komputerów w stanie aktywnej sesji dostępu do ich zawartości, wylogowania się z systemu i wyłączenia komputera po zakończeniu pracy, niepodłączania do listew podtrzymujących napięcie, z którymi połączony jest sprzęt komputerowy, innych urządzeń, np. grzejników, czajników, wentylatorów, powstrzymywania się od samodzielnej ingerencji w oprogramowanie lub konfigurację powierzonego sprzętu, tworzenie haseł trudnych do odgadnięcia dla innych.
Zabrania się: wysyłania materiałów służbowych zawierających dane osobowe na konta prywatne w celu pracy nad nimi poza Uniwersytetem, wysyłania do innych użytkowników, niezabezpieczonych hasłem wiadomości zawierających dane osobowe, korzystania z prywatnego konta pocztowego w celach służbowych, otwierania załączników do wiadomości nadanych przez niezaufanych nadawców,
posługiwania się służbowym adresem e mail w celu rejestracji na forach, sklepach internetowych, jeżeli nie ma to związku z wykonywaniem określonych czynności służbowych, wykorzystywania systemu poczty elektronicznej do działań niezgodnych z prawem, ingerowania w zawartość skrzynek pocztowych innych użytkowników, synchronizacji służbowego konta poczty elektronicznej z kontami pocztowymi założonymi na serwerach zewnętrznych.
instalowania i uruchamiania programów komputerowych, które nie zostały zweryfikowane przez ASI, pobierania z sieci, kopiowania, przechowywania lub rozprowadzania oprogramowania, które nie zostało zweryfikowane przez właściwego ASI, kopiowania i rozprowadzania bez upoważnienia oprogramowania stworzonego w Uniwersytecie lub na jego potrzeby, samodzielnego usuwania lub modyfikacji używanego oprogramowania.
ZASADY KORZYSTANIA Z KOMPUTERÓW PRZENOŚNYCH: dyski twarde komputerów przenośnych powinny być zaszyfrowane, ryzyko kradzieży lub zniszczenia powinno być minimalizowane poprzez: transport komputera w przeznaczonej do tego torbie, transport komputera w bagażu podręcznym, niepozostawianie komputera w samochodzie i innych miejscach, np. w przechowalni bagażu.
zabrania się: korzystania z komputera przenośnego w miejscach publicznych lub środkach transportu wieloosobowego, udostępniania komputera osobom nieupoważnionym, w tym członkom rodziny. W przypadku kradzieży komputera przenośnego użytkownik zobowiązany jest do: natychmiastowego poinformowania IOD o zaistniałej sytuacji, sporządzenia raportu, w którym wymienione będą dane przetwarzane na tym komputerze i okoliczności kradzieży.
POSTĘPOWANIE W PRZYPADKU INCYDENTU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Użytkownik zobowiązany jest zawiadomić IOD, AZ lub ASI (w przypadku incydentu związanego z systemem informatycznym) o każdym naruszeniu lub podejrzeniu naruszenia bezpieczeństwa przetwarzanych w Uniwersytecie danych osobowych, a w szczególności o: włamaniu do pomieszczeń stanowiących obszar przetwarzania danych osobowych lub do systemu informatycznego, w którym przetwarzane są dane osobowe, udostępnieniu lub umożliwieniu udostępnienia danych osobowych osobom lub podmiotom nieupoważnionym,
kradzieży, zgubieniu, zniszczeniu nośników danych, kradzieży lub zniszczeniu urządzeń systemu informatycznego, stwierdzeniu utraty, nieautoryzowanej modyfikacji, nieuprawnionego kopiowania danych osobowych, uszkodzeniu lub zniszczeniu urządzeń systemu informatycznego, spowodowanym klęską żywiołową, pożarami, awariami instalacji i innymi zagrożeniami, przetwarzaniu danych osobowych w sposób niezgodny z celem i zakresem ich gromadzenia, naruszeniu praw osób, których dane dotyczą.
,,Czy uczelnia może przetwarzać dane osobowe jej absolwentów do celów marketingowych bez uzyskania na to wcześniejszej zgody każdego z nich? Nie, gdyż tylko wyraźna zgoda każdego absolwenta uprawnia uczelnię do przetwarzania jego danych osobowych w celu marketingu produktów i usług uczelni. Źródło: https://giodo.gov.pl/318/id_art/3060/j/pl ; stan na dzień 14.02.2018 r.
,,Czy uczelnia może przechowywać dane osobowe kandydatów, którzy nie zostali przyjęci na studia? Tak, ale tylko za ich zgodą. W UJK nie pobieramy od studentów zgody w ww. zakresie. Źródło: https://giodo.gov.pl/pl/360/3522 ; stan na dzień 14.02.2018 r.
,,Czy zgodna z prawem jest praktyka zatrzymywania przez biblioteki dowodu tożsamości osób, które z nich korzystają? Nie, bowiem takie postępowanie jest sprzeczne z przepisami prawa.,,zatrzymanie dowodu osobistego może odbywać się jedynie na podstawie konkretnego przepisu prawa, zezwalającego na takie działanie (musi to być przepis prawa powszechnie obowiązującego; przepis regulaminu biblioteki jest w tym zakresie niewystarczający) zgodnie z art. 79 ustawy o dowodach osobistych (t. jedn. z 2017 r. poz. 1464 ze zm.) ten, kto zatrzymuje bez podstawy prawnej cudzy dowód osobisty, podlega karze ograniczenia wolności lub karze grzywny (jest to wykroczenie) Źródło: https://giodo.gov.pl/pl/360/3375 ; stan na dzień 14.02.2018 r.
,,Czy uczelnia ma prawo publikować na swojej stronie internetowej dane studentów, w celu informowania ich o organizacji roku akademickiego? Nie, uczelnia nie ma do tego prawa, bowiem żaden przepis prawa nie upoważnia wprost do upublicznienia informacji dotyczących organizacji roku akademickiego z wykorzystaniem danych osobowych studentów. Źródło: https://giodo.gov.pl/pl/360/3309 ; stan na dzień 14.02.2018 r.
,,Czy dopuszczalne jest publikowanie w Internecie informacji o studentach wykreślonych z listy studentów? Nie, gdyż obowiązujące przepisy prawa nie kształtują takich obowiązków lub uprawnień uczelni wyższej, których realizacja wymagałaby publikacji danych o skreśleniu z listy studentów w Internecie. Źródła: https://giodo.gov.pl/pl/360/1798 ; stan na dzień 14.02.2018 r.
,,Czy zgodne z prawem jest umieszczanie imion i nazwisk kandydatów na I rok studiów, bez ich zgody, na listach wyników egzaminów wstępnych? Tak, gdyż zezwalają na to przepisy prawa. Zgodnie z treścią art. 169 ust. 16 ustawy Prawo o szkolnictwie wyższym wyniki postępowania rekrutacyjnego są jawne. Źródło: https://giodo.gov.pl/pl/360/1113 ; stan na dzień 14.02.2018 r.
,,Czy uczelnia może odmówić rodzicowi informacji na temat np. stypendiów otrzymywanych przez studenta? Tak, jeśli rodzic nie uzasadni w sposób wiarygodny do czego są mu te dane niezbędne por. https://giodo.gov.pl/394/id_art/2001/j/pl; stan na dzień 14.02.2018 r.