520 likes | 732 Views
Ochrona danych osobowych szkolenie dla pracowników administracji UŚ 17.XII.2013. Wydział Prawa i Administracji. dr hab. Mariusz Jagielski. DANE OSOBOWE to –zgodnie z art. 6.1 u.o.d.o.- wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
E N D
Ochrona danych osobowych szkolenie dla pracowników administracji UŚ 17.XII.2013 Wydział Prawa i Administracji dr hab. Mariusz Jagielski
DANE OSOBOWEto–zgodnie z art. 6.1 u.o.d.o.-wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej
Cecha charakterystyczna- brak anonimowości osoby, której dane dotyczą
informacja będzie miała charakter osobowy:- jeżeli na jej podstawie możemy ustalić tożsamość osoby, do której się odnosi (dane identyfikujące)
- jeżeli dotyczy ona osoby już zidentyfikowanej(dowolne dane dołączone do dokumentacji osoby zidentyfikowanej)
Dane osobowe to też wizerunek i głos człowieka, w tym zarejestrowane na zdjęciach, nagraniach audio, nagraniach wideo i zapisane cyfrowo
Zasada legalizmu — dane wolno przetwarzać jedynie, gdy podmiot spełnia jedną z przesłanek przetwarzania danych osobowych
+ Zgoda osoby+ Przepis prawa+ Realizacja umowy+ Dobro publiczne+ Usprawiedliwiony cel administratora danychwystarczy by była spełniona jednadowolna z tych przesłanek
Uniwersytet przetwarza większość danych na podstawieprzesłanki przepisuprawnego orazrealizacji umowy
Jeśli chodzi o przetwarzanie danych studentów, to przesłanką uzupełniającą może być dobropubliczne. Tym dobrem jest edukacjapublicznaJeśli chodzi o realizowanie roszczeń w stosunku do studentów - właściwą przesłankę stanowi usprawiedliwionycel administratora.
Zgodastudenta będzie więc potrzebna zupełnie wyjątkowo, w szczególności w sytuacji, gdy jego dane chcemy wykorzystywać w celach marketingowych(promocja Uniwersytetu).
Zasada celowości przetwarzania — dane mogą być przetwarzane jedynie w oznaczonych, zgodnych z prawem, celach
w przypadku UŚ zasadniczym celem jestrealizacja świadczenia edukacyjnego(celem uzupełniającym jestdochodzenie roszczeńz tytułu powyższej działalności)w pozostałych przypadkach celem powinno być realizowanie przepisów prawa
Co do celu: a. można przetwarzać jedynie takie dane, które są adekwatne w stosunku do celu przetwarzaniab. dane wolno przetwarzać jedynie dla celu, dla którego zostały zebrane
ad. a):Zasada minimalizmu — dane przetwarza się tylko wtedy i w takim zakresie, w jakim jest to konieczne do osiągnięcia celu
ad. b):Zmiana celu jest możliwa jedynie wyjątkowo, gdy nowym celem mają być badanianaukowe, dydaktyczne, historyczne lub statystyczneZmiana celu na inny niż podane wyżej wymagaodrębnej przesłankiprzetwarzania danych.
Zasada poufności danych — rozumie się przez to właściwość zapewniającą, że danenie są udostępniane nieupoważnionym podmiotom
Obowiązuje zakaz podawania danych przez telefon – nigdy nie wiadomo kto jest po drugiej stroniepodawanie danych telefonicznie jest dopuszczalne, gdy wdrożono system identyfikujący rozmówcę lub mamy pewność z kim rozmawiamy
Przekazywanie danych mailowojest dopuszczalne jedynie wtedy, gdy dane te są zaszyfrowaneAktualnie poczta UŚ nie zapewnia takiej funkcji W związku z powyższym nie należy przesyłać danych osobowych mailem nawet w korespondencji pomiędzy pracownikami UŚ upoważnionymi do przetwarzania danych
Przekazywanie dokumentów w ramach Uniwersytetu powinno następować wyłącznie poprzez pracowników (kurierów)posiadających odpowiednie upoważnieniepowinno się wprowadzićsystem obiegu dokumentów, tak w ramach UŚ, jak i w ramach Wydziału
udostępnianie danych - oznacza możliwość zapoznania się z ich treścią przez kogoś spoza UŚprzekazywanie danych w obrębie UŚnie stanowi udostępnienia danych – nie trzeba stosować rozwiązań o których poniżej
do 7 marca 2011 obowiązywała szczególna procedura udostępniania danych(art. 29 u.o.d.o) aktualnie nie ma szczególnego przepisu, na podstawie którego udostępnia się dane osobowe
Jeśli UŚ jest zobowiązany do przekazywana danych przez przepisy, to czyni to zgodnie z tymi przepisami (żadne szczególne wymagania nie są konieczne)np. przekazywanie danych do ZUS i Urzędów Skarbowych
Jeśli do UŚ wystąpi podmiot uprawniony do uzyskania informacji na podstawie przepisów prawa to: 1. żądamy podania tego przepisu2. weryfikujemy czy składający wniosek jest podmiotem, za który się podaje (legitymujemy go, dzwonimy do instytucji, itd.)
3. Prosimy o akceptację pełnomocnika danych4. Ewidencjonujemy fakt udostępnienia danych 5. Udostępniamy daneUWAGA: obowiązuje zasada minimalizmu (podajemy tylko dane adekwatne do celu)
UWAGA: gdy wnioskujący stwierdzi, że istniej konieczność niezwłocznego działania (np. policjant stwierdzi, że jest w trakcie pościgu lub chodzi o ratowanie życia lub zdrowia) udostępniamy dane niezwłocznie, ale:1. po wylegitymowaniu wnioskującego2. na podstawie pisemnego oświadczenia (jeśli to ostatnie jest niemożliwe, należy sporządzić notatkę służbową)
Jeśli do UŚ wystąpi podmiot, którynie jest uprawniony do uzyskania informacji na podstawie przepisów prawa,to udostępnienie jest możliwe jedynie po spełnieniu dodatkowych wymogów
1. Cel przetwarzania nie ulega zmianie albo są nim badania naukowe, dydaktyczne, historyczne lub statystyczne2. Umożliwimy osobie, której dane dotyczą, wyrażenie sprzeciwu 3. Sprawdzimy podmiot, któremu udostępniamy dane (żądamy dokumentów potwierdzających kim jest i w jakim celu będzie dane wykorzystywać)
Jeśli o dane prosi osoba, której dane dotyczą, to powyższa procedura nie obowiązuje.Osoba, której dane dotyczą, ma prawo dostępu do swoich danych i ich poprawiania.
Jeśli w imieniu osoby, której dane dotyczą, występuje ktoś inny, to musimy mieć możliwość potwierdzenia, że podmiot danych wie o tym i zgadza się na przekazanie informacji. Dobrze taką informację gdzieś ogłosić!
Obowiązek zabezpieczenia danych – polega na zastosowaniu środków mających uniemożliwić nieautoryzowaneudostępnienie, zmienienie lub zniszczenie danych
Obowiązek zabezpieczenia danych jest realizowany poprzez:1) zastosowanie odpowiednich programów i narzędzi systemowych(poziom UŚ)2) wdrożenie odpowiednich procedur przetwarzania informacji(poziom Wydziałów)
Obowiązki Wydziałów: - nadanieupoważnień do przetwarzania danych wszystkim, którzy mają dostęp do danych - prowadzenie ewidencji osób upoważnionych do przetwarzania danych (chodzi o to, by było wiadomo kto ma dostęp do jakich danych)
zapoznanie pracowników przetwarzających dane z zasadami zawartymi w: a) polityce bezpieczeństwa informacji b) instrukcji zarządzania systemem informatycznym(te dokumenty muszą być faktycznie wdrożone)
zadbanie o prawidłowość danych - należy dołożyć staranności, by posiadane przez Wydział dane były prawdziwe i aktualne
Trzeba wdrożyć odpowiednie procedury, które zagwarantują poprawność danychnp. zobowiązać studentów w umowie do aktualizacji informacji osobowych, wywieszenie informacji w dziekanacie, akcje informacyjne na początku lub końcu roku ak., itd.
przestrzeganie dopuszczalnego czasu przechowywania danych - dane można przechowywać jedynie tak długo, jak długo jest to konieczne dla osiągnięcia celu przetwarzania (potem powinny zostać usunięte)
UWAGA!Jeśli przepisy określają czas przechowywania pewnych kategorii danych, to należy postępować zgodnie z tymi przepisamiW takiej sytuacji jesteśmy związanicelemokreślonym przez te przepisy!
Obowiązek informacyjny w związku ze zbieraniem danychZbieranie danych pierwotne wtórne
Zbieranie pierwotne – to zbieranie bezpośrednio od osoby, której dane dotycząZbieranie wtórne – to zbieranie z dowolnego innego źródła
a. Zbieranie pierwotne – podajemy informację z zakresu art. 24 u.o.d.o.
Art. 24W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:1)adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2)celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3)prawie dostępu do treści swoich danych oraz ich poprawiania, 4)dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Nie trzeba podawać powyższych informacji w zakresie w jakim osoba, której dane dotyczą, już je zna
MOMENT POINFORMOWANIA:w trakcie zbieraniaFORMA jest dowolna(można np. wywiesić informację na tablicy informacyjnej, można wpisać informację do kwestionariusza, przygotować informację na odrębnej kartce, itd.)
a. Zbieranie wtórne – podajemy informację z zakresu art. 25 u.o.d.o.
Art. 25W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:1)adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2)celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3)źródle danych, 4)prawie dostępu do treści swoich danych oraz ich poprawiania, 5) możliwości skorzystania z prawa żądania zaprzestania przetwarzania lub prawa sprzeciwu
Nie trzeba podawać tych informacji, jeżeli: 1)osoba, której dane dotyczą, już je zna2)dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań informacyjnych wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, 3)dane są przetwarzane na podstawie przepisów prawa
MOMENT POINFORMOWANIA: bezpośrednio po utrwaleniu danych.“Utrwalenie danych” to druga po zebraniu danych czynność przetwarzania – polega na zapisaniu danych w taki sposób, że umożliwia to korzystanie z nich