szkolenie_odo_us - Wydział Prawa i Administracji Uniwersytetu

Download Report

Transcript szkolenie_odo_us - Wydział Prawa i Administracji Uniwersytetu

Wydział Prawa i Administracji
Ochrona danych osobowych
szkolenie dla pracowników
administracji UŚ
17.XII.2013
dr hab. Mariusz Jagielski
DANE OSOBOWE to –zgodnie z
art. 6.1 u.o.d.o.- wszelkie
informacje dotyczące
zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej
Cecha charakterystyczna
brak anonimowości osoby, której
dane dotyczą
informacja będzie miała charakter
osobowy:
- jeżeli na jej podstawie możemy
ustalić tożsamość osoby, do której się
odnosi (dane identyfikujące)
- jeżeli dotyczy ona osoby już
zidentyfikowanej
(dowolne dane dołączone do
dokumentacji osoby zidentyfikowanej)
Dane osobowe to też wizerunek i głos
człowieka, w tym zarejestrowane na
zdjęciach, nagraniach audio,
nagraniach wideo i zapisane cyfrowo
ZASADY PRZETWARZANIA
DANYCH OSOBWYCH
Zasada legalizmu — dane wolno
przetwarzać jedynie, gdy podmiot
spełnia jedną z przesłanek
przetwarzania danych osobowych
+ Zgoda osoby
+ Przepis prawa
+ Realizacja umowy
+
Dobro publiczne
+ Usprawiedliwiony cel
administratora danych
wystarczy by była spełniona jedna
dowolna z tych przesłanek
Uniwersytet przetwarza większość
danych na podstawie przesłanki
przepisu prawnego oraz realizacji
umowy
Jeśli chodzi o przetwarzanie danych
studentów, to przesłanką uzupełniającą
może być dobro publiczne.
Tym dobrem jest edukacja publiczna
Jeśli chodzi o realizowanie roszczeń w
stosunku do studentów - właściwą
przesłankę stanowi usprawiedliwiony cel
administratora.
Zgoda studenta będzie więc potrzebna
zupełnie wyjątkowo, w szczególności w
sytuacji, gdy jego dane chcemy
wykorzystywać w celach
marketingowych (promocja
Uniwersytetu).
Zasada celowości przetwarzania —
dane mogą być przetwarzane jedynie
w oznaczonych, zgodnych z prawem,
celach
w przypadku UŚ zasadniczym celem
jest realizacja świadczenia
edukacyjnego
(celem uzupełniającym jest
dochodzenie roszczeń z tytułu
powyższej działalności)
w pozostałych przypadkach celem
powinno być realizowanie przepisów
prawa
Co do celu:
a. można przetwarzać jedynie takie
dane, które są adekwatne w stosunku
do celu przetwarzania
b. dane wolno przetwarzać jedynie
dla celu, dla którego zostały zebrane
ad. a):
Zasada minimalizmu — dane
przetwarza się tylko wtedy i w takim
zakresie, w jakim jest to konieczne do
osiągnięcia celu
ad. b):
Zmiana celu jest możliwa jedynie
wyjątkowo, gdy nowym celem mają
być badania naukowe, dydaktyczne,
historyczne lub statystyczne
Zmiana celu na inny niż podane wyżej
wymaga odrębnej przesłanki
przetwarzania danych.
Zasada poufności danych — rozumie
się przez to właściwość zapewniającą,
że dane nie są udostępniane
nieupoważnionym podmiotom
Obowiązuje zakaz podawania danych
przez telefon – nigdy nie wiadomo kto
jest po drugiej stronie
podawanie danych telefonicznie jest
dopuszczalne, gdy wdrożono system
identyfikujący rozmówcę lub mamy
pewność z kim rozmawiamy
Przekazywanie danych mailowo jest
dopuszczalne jedynie wtedy, gdy dane
te są zaszyfrowane
Aktualnie poczta UŚ nie zapewnia
takiej funkcji
W związku z powyższym nie należy
przesyłać danych osobowych mailem
nawet w korespondencji pomiędzy
pracownikami UŚ upoważnionymi do
przetwarzania danych
Przekazywanie dokumentów w
ramach Uniwersytetu powinno
następować wyłącznie poprzez
pracowników (kurierów)
posiadających odpowiednie
upoważnienie
powinno się wprowadzić system
obiegu dokumentów, tak w ramach
UŚ, jak i w ramach Wydziału
udostępnianie danych - oznacza
możliwość zapoznania się z ich treścią
przez kogoś spoza UŚ
przekazywanie danych w obrębie UŚ
nie stanowi udostępnienia danych –
nie trzeba stosować rozwiązań o
których poniżej
do 7 marca 2011 obowiązywała
szczególna procedura udostępniania
danych
(art. 29 u.o.d.o)
aktualnie nie ma szczególnego
przepisu, na podstawie którego
udostępnia się dane osobowe
Jeśli UŚ jest zobowiązany do
przekazywana danych przez przepisy,
to czyni to zgodnie z tymi przepisami
(żadne szczególne wymagania nie są
konieczne)
np. przekazywanie danych do ZUS i
Urzędów Skarbowych
Jeśli do UŚ wystąpi podmiot
uprawniony do uzyskania informacji
na podstawie przepisów prawa to:
1. żądamy podania tego przepisu
2. weryfikujemy czy składający
wniosek jest podmiotem, za który się
podaje (legitymujemy go, dzwonimy
do instytucji, itd.)
3. Prosimy o akceptację pełnomocnika
danych
4. Ewidencjonujemy fakt
udostępnienia danych
5. Udostępniamy dane
UWAGA: obowiązuje zasada
minimalizmu (podajemy tylko dane
adekwatne do celu)
UWAGA: gdy wnioskujący stwierdzi,
że istniej konieczność niezwłocznego
działania (np. policjant stwierdzi, że
jest w trakcie pościgu lub chodzi o
ratowanie życia lub zdrowia)
udostępniamy dane niezwłocznie, ale:
1. po wylegitymowaniu wnioskującego
2. na podstawie pisemnego
oświadczenia (jeśli to ostatnie jest
niemożliwe, należy sporządzić notatkę
służbową)
Jeśli do UŚ wystąpi podmiot, który
nie jest uprawniony do uzyskania
informacji na podstawie przepisów
prawa, to udostępnienie jest możliwe
jedynie po spełnieniu dodatkowych
wymogów
1. Cel przetwarzania nie ulega zmianie
albo są nim badania naukowe,
dydaktyczne, historyczne lub
statystyczne
2. Umożliwimy osobie, której dane
dotyczą, wyrażenie sprzeciwu
3. Sprawdzimy podmiot, któremu
udostępniamy dane (żądamy
dokumentów potwierdzających kim
jest i w jakim celu będzie dane
wykorzystywać)
Jeśli o dane prosi osoba, której dane
dotyczą, to powyższa procedura nie
obowiązuje.
Osoba, której dane dotyczą, ma prawo
dostępu do swoich danych i ich
poprawiania.
Jeśli w imieniu osoby, której dane
dotyczą, występuje ktoś inny, to
musimy mieć możliwość
potwierdzenia, że podmiot danych wie
o tym i zgadza się na przekazanie
informacji.
Dobrze taką informację gdzieś ogłosić!
Obowiązek zabezpieczenia danych –
polega na zastosowaniu środków
mających uniemożliwić
nieautoryzowane udostępnienie,
zmienienie lub zniszczenie danych
Obowiązek zabezpieczenia danych jest
realizowany poprzez:
1) zastosowanie odpowiednich
programów i narzędzi systemowych
(poziom UŚ)
2) wdrożenie odpowiednich procedur
przetwarzania informacji
(poziom Wydziałów)
Obowiązki Wydziałów:
- nadanie upoważnień do
przetwarzania danych wszystkim,
którzy mają dostęp do danych
- prowadzenie ewidencji osób
upoważnionych do przetwarzania
danych
(chodzi o to, by było wiadomo kto ma
dostęp do jakich danych)
-zapoznanie pracowników
przetwarzających dane z zasadami
zawartymi w:
a) polityce bezpieczeństwa
informacji
b) instrukcji zarządzania
systemem informatycznym
(te dokumenty muszą być
faktycznie wdrożone)
Inne obowiązki Wydziałów:
zadbanie o prawidłowość danych należy dołożyć staranności, by
posiadane przez Wydział dane były
prawdziwe i aktualne
Trzeba wdrożyć odpowiednie
procedury, które zagwarantują
poprawność danych
np. zobowiązać studentów w umowie
do aktualizacji informacji osobowych,
wywieszenie informacji w dziekanacie,
akcje informacyjne na początku lub
końcu roku ak., itd.
przestrzeganie dopuszczalnego czasu
przechowywania danych dane można przechowywać jedynie
tak długo, jak długo jest to konieczne
dla osiągnięcia celu przetwarzania
(potem powinny zostać usunięte)
UWAGA!
Jeśli przepisy określają czas
przechowywania pewnych kategorii
danych, to należy postępować zgodnie
z tymi przepisami
W takiej sytuacji jesteśmy związani
celem określonym przez te przepisy!
Obowiązek informacyjny w związku
ze zbieraniem danych
Zbieranie danych
pierwotne
wtórne
Zbieranie pierwotne – to zbieranie
bezpośrednio od osoby, której dane
dotyczą
Zbieranie wtórne – to zbieranie z
dowolnego innego źródła
a. Zbieranie pierwotne – podajemy
informację z zakresu art. 24 u.o.d.o.
Art. 24
W przypadku zbierania danych osobowych od osoby,
której one dotyczą, administrator danych jest obowiązany
poinformować tę osobę o:
1)
adresie swojej siedziby i pełnej nazwie, a w
przypadku gdy administratorem danych jest osoba
fizyczna - o miejscu swojego zamieszkania oraz imieniu i
nazwisku,
2)
celu zbierania danych, a w szczególności o znanych
mu w czasie udzielania informacji lub przewidywanych
odbiorcach lub kategoriach odbiorców danych,
3)
prawie dostępu do treści swoich danych oraz ich
poprawiania,
4)
dobrowolności albo obowiązku podania danych, a
jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Nie trzeba podawać powyższych
informacji w zakresie w jakim osoba,
której dane dotyczą, już je zna
MOMENT POINFORMOWANIA:
w trakcie zbierania
FORMA jest dowolna
(można np. wywiesić informację na
tablicy informacyjnej, można wpisać
informację do kwestionariusza,
przygotować informację na odrębnej
kartce, itd.)
a. Zbieranie wtórne – podajemy
informację z zakresu art. 25 u.o.d.o.
Art. 25
W przypadku zbierania danych osobowych nie od osoby,
której one dotyczą, administrator danych jest obowiązany
poinformować tę osobę, bezpośrednio po utrwaleniu
zebranych danych, o:
1)
adresie swojej siedziby i pełnej nazwie, a w
przypadku gdy administratorem danych jest osoba
fizyczna - o miejscu swojego zamieszkania oraz imieniu i
nazwisku,
2)
celu i zakresie zbierania danych, a w szczególności
o odbiorcach lub kategoriach odbiorców danych,
3)
źródle danych,
4)
prawie dostępu do treści swoich danych oraz ich
poprawiania,
5)
możliwości skorzystania z prawa żądania
zaprzestania przetwarzania lub prawa sprzeciwu
Nie trzeba podawać tych informacji, jeżeli:
1) osoba, której dane dotyczą, już je zna
2) dane te są niezbędne do badań
naukowych, dydaktycznych, historycznych,
statystycznych lub badania opinii
publicznej, ich przetwarzanie nie narusza
praw lub wolności osoby, której dane
dotyczą, a spełnienie wymagań
informacyjnych wymagałoby nadmiernych
nakładów lub zagrażałoby realizacji celu
badania,
3) dane są przetwarzane na podstawie
przepisów prawa
MOMENT POINFORMOWANIA:
bezpośrednio po utrwaleniu danych.
“Utrwalenie danych” to druga po
zebraniu danych czynność
przetwarzania – polega na zapisaniu
danych w taki sposób, że umożliwia to
korzystanie z nich
CHARAKTER
POINFORMOWANIA:
zindywidualizowany – trzeba dotrzeć
bezpośrednio do danej osoby.
FORMA jest dowolna (ale na
administratorze spoczywa obowiązek
udowodnienia, że go wykonał)
Wydział Prawa i Administracji
Dziękuję za uwagę
dr hab. Mariusz Jagielski
[email protected]