240 likes | 391 Views
OCHRONA DANYCH OSOBOWYCH. Odpowiedzi na pytania Wydziału EiA STYCZEŃ 2013. Źródła prawa: USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883. z późn . zm.)
E N D
OCHRONA DANYCH OSOBOWYCH Odpowiedzi na pytania Wydziału EiA STYCZEŃ 2013
Źródła prawa: • USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883. z późn. zm.) • ROZPORZĄDZENIE MSWiA z dnia 29 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz.521, z późn. zm.) • USTAWA z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym (Dz. U. nr 164 z 2005 r., poz. 1365, z późn. zm.) • Zarządzenie Rektora Politechniki Gdańskiej nr 24/2011 z 30 września 2011 r. w sprawie ochrony danych osobowych przetwarzanych w Politechnice Gdańskiej wraz z Polityką Bezpieczeństwa Danych Osobowych. • Na system ochrony danych osobowych składają się też wszystkie inne przepisy szczególne,które regulują kwestie wykorzystywania danych osobowych.Uczelnia może przetwarzać dane osobowe jedynie wtedy, gdy służy to wypełnieniu określonych prawem zadań, obowiązków i upoważnień.
DEFINICJE PODSTAWOWE • DANE OSOBOWE- dane osoby, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny (np. pesel), adres, telefon albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne • Uwagi: Danymi osobowymi nie są informacje o osobach zmarłych. • przetwarzanie danych • to operacje wykonywane na danych osobowych, takie jak: • zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie • Administratorem danych osobowych(ADO) w Politechnice Gdańskiej jest rektor. • Obowiązki wynikające z ustawy o ochronie danych osobowych rektor powierza • lokalnym administratorom danych osobowych (LADO), którymi są: • dziekani w zakresie dotyczącym poszczególnych wydziałów, • kanclerz w zakresie pozostałych jednostek organizacyjnych. • W jednostkach niewchodzących w skład wydziałów LADO powołuje i nadzoruje Głównych Użytkowników Systemów (GUS). Na wydziałach LADO jednocześnie wykonuje zadania GUS dla wszystkich systemów wydziałowych.
ZALECENIA OGÓLNE DOT. OCHRONY DANYCH OSOBOWYCH: • należy przestrzegać zasad PolitykiBezpieczeństwa Danych Osobowychdostęp do danych osobowych mogą mieć jedynie osoby upoważnione • każdy system, w którym przetwarzane są dane osobowe powinien zostać zgłoszony do ABI wraz z opracowaną Instrukcją Zarządzania Systemem • należy zgłaszać ABI incydenty naruszenia bezpieczeństwa • nie wolno przekazywać informacji (danych) innym pracownikom, studentom i osobom spoza Uczelni, jeśli nie ma pewności, że są uprawnieni do jej posiadania • należy zachowywać ostrożność udzielając informacji przez telefon i e-mail • nie omawiać spraw służbowych poza miejscem pracy (np. kawiarnia, autobus, pociąg) • zwracać uwagę na nieznane osoby przebywające w miejscu pracy
należy zabezpieczać zbiory danych osobowych przed takim incydentami, jak: • pożar, zalanie (serwera, archiwum), utrata zasilania/łączności, awarie (komputera, serwera), • pomyłki (informatyków i użytkowników), utrata danych (z twardych dysków), porzucenie • danych (śmietnik), zagubienie (dokumentacji, laptopa), włamanie/nieautoryzowany dostęp • (do systemu, pomieszczeń), atak (hackera, wirusa), kradzież (danych, akt, komputerów), itp. • stosować zasadę czystego biurka (nie zostawiać dokumentów osobowych bez • zabezpieczenia); dokumenty w postaci papierowej lub elektronicznej zawierające dane • osobowe po zakończeniu pracy muszą być zabezpieczone • dokumenty papierowe muszą być niszczone z użyciem niszczarek • niedozwolone jest kopiowanie i instalowanie z Internetu niezatwierdzonego oprogramowania oraz korzystania z niezaufanych witryn internetowych w przypadku jednoczesnej pracy ze zbiorami danych osobowych. • Nie wolno wynosić zbiorów danych osobowych poza miejsca wyznaczone do przetwarzania danych w PG • wszelkie pytania i wątpliwości dot. ODO należy kierować do ABI PG (p. Piotr FALC, email: abi@pg.gda.pl, tel. 1215), pytania wymagające interpretacji GIODO, przesyła ABI )
Jak ogłaszać wyniki egzaminów? Czy można umieszczać je w gablotach podając imię i nazwisko i/lub nr albumu? Czy można przesłać plik z ocenami np. staroście roku? dwa przypadki: egzaminy wstępne oraz egzaminy na studiach. wyniki postępowania rekrutacyjnego są jawne (art. 169 ust.16 ustawy Prawo o szkolnictwie wyższym) Dopuszczalne jest więc podawanie do publicznej wiadomości informacji o wynikach egzaminów wstępnych indywidualizujących osobę oraz wynik egzaminu. Zestawienie danych kandydatów na studia publikowane w tym zakresie należy więc uznać za zgodne z prawem. Brak jest podobnego zezwolenia na upublicznienie wyników egzaminów w trakcie studiów.Wymagana jest (pisemna) zgoda studenta na publikowanie NAZWISKA z wynikami jego egzaminów, (np. w gablotach czy poprzez przekazanie pliku z ocenami staroście roku). Zamieszczanie wyników egzaminów z podaniem jedynie numerów albumów jest dopuszczalne bez zgody studenta.
Czy można wywieszać wyniki kolokwiów/egzaminów z nazwiskami albo numerami albumu, jeżeli student wyraża zgodę na piśmie (zaznacza wybraną kratkę na kuponie z pytaniami) na odpowiadającą mu formę publikacji wyników? TAK pod warunkiem: zgoda musi mieć charakter dobrowolnego, świadomego wyrażenia woli i musi być jednoznaczna (nie można wymagać jednego podpisu pod pracą i zgodą).
3. Jakie dane o pracowniku (dziekan, inny nauczyciel akademicki, dyrektor administracyjny, samodzielny referent) mogą być umieszczane na stronie internetowej? imię i nazwisko stanowisko jednostka organizacyjna numer pokoju w którym pracuje telefon służbowy adres e-mail czyli te dane, które są ściśle związane z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (udostępniane) przez pracodawcę bez zgody pracownika, którego dotyczą.
4. Jakie są ograniczenia w rozsyłaniu poczty elektronicznej do wielu adresatów? W kontekście ustawy o ochronie danych osobowych adresy e-mail mogą stanowić dane osobowe, które podlegają ochronie. Jeden z wielu adresatów poczty elektronicznej ( np. jedna z wielu osób umieszczona w tzw. „DW” a nie „UDW”), który ma wgląd w całą listę innych, nie ukrytych adresatów niewątpliwie będzie osobą nieupoważnioną. Sytuacja wymaga każdorazowego rozpatrzenia. (poczta służbowa, korespondencja wewnątrzuczelniana, itp.)
5. Czy na stronie internetowej można umieszczać np. skład Rady Konsultacyjnej Wydziału, którą stanowią pracownicy różnych firm? Jeżeli zgodnie z regulaminem Wydziału w jego strukturze organizacyjnej znajduje się Rada Konsultacyjna, to stanowi ona jego część, a tym samym imiona i nazwiska osób wchodzących w skład Rady Konsultacyjnej nie muszą być utajnione
6. Jakie dane o studentach można, a jakich nie można przechowywać w ich teczkach? Na podstawie art. 192 ust. 1 ustawy Prawo o szkolnictwie wyższym oraz § 4 ust.1 Rozporządzenia Ministra Nauki i Szkolnictwa Wyższego w sprawie dokumentacji przebiegu studiów 1) dokumenty wymagane od kandydata na studia, w tym: a) kopię świadectwa dojrzałości, studia drugiego stopnia – kopię dyplomu ukończenia studiów, b) ankietę osobową zawierającą imię (imiona) i nazwisko, datę i miejsce urodzenia, numer PESEL, nazwę i numer dokumentu tożsamości, adres zamieszkania oraz adres do korespondencji, c) kopię dowodu osobistego lub innego dokumentu potwierdzającego tożsamość kandydata na studia w przypadku kandydatów na studia będących cudzoziemcami, d) aktualną fotografię kandydata, zgodną z wymaganiami obowiązującymi przy wydawaniu dowodów osobistych, e) oświadczenie o spełnianiu warunków do podjęcia i kontynuowania studiów bez wnoszenia opłat, o którym mowa w art. 170a ust. 9 ustawy z dnia 27 lipca 2005 r. - Prawo o szkolnictwie wyższym, zwanej dalej „ustawą” - w przypadku kandydata na studia stacjonarne w uczelni publicznej; 2) dokumenty postępowania kwalifikacyjnego stanowiące podstawę do podjęcia decyzji o przyjęciu na studia; 3) kopię decyzji o przyjęciu na studia oraz oryginał potwierdzenia jej doręczenia;
4) podpisany przez studenta akt ślubowania; 5) umowę lub kopię umowy zawartej ze studentem, o której mowa w art. 160 ust. 3 ustawy; 6) potwierdzenie odbioru legitymacji studenckiej i indeksu, jeżeli regulamin studiów przewiduje dokumentowanie przebiegu studiów w indeksie, a także ich duplikatów; 7) karty okresowych osiągnięć studenta; 8) decyzje władz uczelni dotyczące przebiegu studiów, w szczególności: udzielonych urlopów, powtarzania roku, skreślenia z listy studentów, a także nagród, wyróżnień i kar dyscyplinarnych; 9) dokumenty dotyczące przyznania studentowi pomocy materialnej; 10) oświadczenia o niepobieraniu świadczeń na innym kierunku, o których mowa w art. 184 ust. 7 ustawy; 11) jeden egzemplarz pracy dyplomowej; 12) recenzję (recenzje) pracy dyplomowej; 13) protokół egzaminu dyplomowego; 14) dyplom ukończenia studiów - egzemplarz do akt; 15) suplement do dyplomu - egzemplarz do akt; 16) potwierdzenie odbioru dyplomu i jego odpisów, suplementu do dyplomu, a także duplikatu dyplomu lub duplikatu suplementu do dyplomu przez osobę odbierającą dyplom
6. c.d. Które to dane wrażliwe? • dane wrażliwe to dane ujawniające: • pochodzenie rasowe lub etniczne • poglądy polityczne • przekonania religijne lub filozoficzne • przynależność wyznaniową, partyjną lub związkową • dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym • dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, i in.
7. Jakie dokumenty/opracowania można wyrzucać wprost do śmieci: prace egzaminacyjne lub projekty studentów, niepotrzebne listy studentów, dokumenty bez podpisu, ale zawierające nazwiska itp.? Dokumentów w których znajdują się dane osobowe, również informacje o firmach, kontrahentach, tajemnicach jednostki nie można wyrzucać do śmieci. Niszczenie dokumentów niearchiwalnych (przeterminowanych), których minął ustawowy okres przechowywania, poprzedzone jest procedurą brakowania i sporządzany jest protokół brakowania. Dokumentację niearchiwalną niszczy się na podstawie uzyskanej zgody odpowiedniego oddziału archiwum państwowego. Za te zadania odpowiada Dział Obiegu i Archiwizacji Dokumentów PG, do którego należy przekazać dokumenty.
8. Czy oferty przesłane na konkurs i pozostałe po procesie rekrutacji wymagają zniszczenia przez wyspecjalizowaną firmę, czy można to zrobić na Wydziale? Zdezaktualizowana dokumentacja pomocnicza, krótkotrwała, może być na bieżąco niszczona na Wydziale, z użyciem niszczarek.
9. W dziekanacie, które dane to wrażliwe, a które nie. Czy np. decyzje wydawane przez uczelnie należy zaliczyć do danych wrażliwych? • j.w. – p. 6 • dane wrażliwe to dane ujawniające: • pochodzenie rasowe lub etniczne • poglądy polityczne • przekonania religijne lub filozoficzne • przynależność wyznaniową, partyjną lub związkową • dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym • dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, i in. • Decyzje wydawane przez uczelnie, będące aktami administracyjnymi, nie należą do danych wrażliwych, chyba, że w swej treści zawierają dane wrażliwe wskazywane powyżej.
10. Jakie informacje dotyczące studenta można przesyłać sms-em; Udostępnianie danych dotyczących studenta np. rodzicom. • Jakie dane można ewentualnie przekazać? • Jeżeli student wyraził zgodę na przesyłanie mu informacji na wskazany przez niego numer telefonu komórkowego, nie ma prawnych przeszkód. (np. o przebiegu studiów, wynikach egzaminów) • Udzielanie informacji osobom nieupoważnionym, w tym również rodzicom studenta, jest niedopuszczalne. • Informacji o studencie wolno udzielać wyłącznie za zgodą studenta. • (wyjątki: żądanie organu administracji państwowej bądź wymiaru sprawiedliwości). • UWAGA: każda osoba przyjęta na studia otrzymuje indywidualne konto studenta w uczelnianym Systemie eDziekanat, zawierającym w szczególności informacje o przebiegu studiów i aktualnym statusie studenta.
11. Czy należy przechowywać w teczkach osobowych studenta dokumentację medyczną lub orzeczenia o niepełnosprawności, na podstawie których student stara się np. o urlop zdrowotny, dodatkowy termin zdawania egzaminów lub stypendium dla niepełnosprawnych? • Rozporządzenia Ministra Nauki i Szkolnictwa Wyższego w sprawie dokumentacji przebiegu studiów w § 4 ust.1 określa jakie dokumenty przechowuje się w teczce akt osobowych studenta. (patrz. p. 6) • Przechowywanie dokumentacjimedycznej lub orzeczenia o niepełnosprawności jest przetwarzaniem danych wrażliwych. Nie należy ich przechowywać.
12. Kiedy można wystąpić do MOP-su o udostępnienie danych o pobieraniu lub nie zasiłku przez rodzinę studenta, który złożył wniosek o stypendium socjalne. Czy może to zrobić tylko student? Do MOP-su o udostępnienie danych o pobieraniu lub nie zasiłku przez rodzinę studenta może wystąpić tylko student. Jednakże zgodnie z art.179 ust. 8 Ustawy Prawo o szkolnictwie wyższym,w uzasadnionych przypadkach, kierownik podstawowej jednostki organizacyjnej albo odpowiednio komisja stypendialna lub odwoławcza komisja stypendialna, o których mowa w art. 177 ustawy Prawo o szkolnictwie wyższym, mogą zażądać od studenta doręczenia opinii jednostki w systemie pomocy społecznej odpowiedzialnej za ustalenie sytuacji dochodowej i majątkowej osób i rodzin, i uwzględnić ją w postępowaniu.
13.Czy absolwenci, których kariera ma być „monitorowana” muszą złożyć zgodę na przetwarzanie swoich danych osobowych, na jaki okres? TAK Zgoda taka może mieć charakter bezterminowy, bądź zezwalać na przetwarzanie danych jedynie przez oznaczony okres. (Komentarz Janusza Barty, Pawła Fajgielskiego, Ryszarda Markiewicza, 4 wydanie, Kraków 2007, Lex a WoltersKluwers business, str. 388). ZGODA jest ważna najdłużej do ustania celu, w którym te dane są przetwarzane.
14. Czy na czas zwolnienia lekarskiego lub urlopu należy cofać pracownikowi upoważnienie do przetwarzania danych? • NIE • Upoważnienie do przetwarzania danych osobowych udzielane jest pracownikowi w związku z jego zakresem obowiązków wynikających ze stosunku pracy. • W okresie czasowego niewykonywania przez niego obowiązków pracowniczych • - w związku z chorobą czy urlopem - nie jest konieczne cofanie mu tych uprawnień.
15. Czy można umieszczać wyniki prac studenckich w Internecie w plikach chronionych hasłem? TAK, jeżeli uczelnia posiada zgodę studenta na publikowanie wyników w tej formie. (vide wyjaśnienia do pytania 1.) Uwaga: Pojęcie „w Internecie” jest niejednoznaczne i bardzo pojemne. Dla przykładu: jeżeli dostęp jest szyfrowany do ftp, którego adres ma tylko student i plik zawiera tylko jego dane – wówczas TAK.
16. Czy zgodne z prawem jest umieszczanie danych osobowych pracowników na oficjalnych stronach uczelni, wydziału czy na stronie „nauka polska”? TAK w zakresie w jakim wskazano w wyjaśnieniach do pytania 3
17. W jaki sposób utylizować stare prace dyplomowe? Należy przekazać protokołem do Działu Obiegu i Archiwizacji Dokumentów PG