Ochrona danych osobowych

Slides:



Advertisements
Podobne prezentacje
Zmiana nazwiska.
Advertisements

1 Zatrudnianie personelu do projektu Reguła proporcjonalności Kwalifikowalność uczestników.
Wyciąg z dokumentacji związanej z ochroną danych osobowych uczestników projektu Akademia uczniowska przetwarzanych w ramach zbioru PEFS 2007 i obowiązującej.
Katowice, dnia 2 października 2012 roku
Kompleksowe zarządzanie bezpieczeństwem informacji
Spółka Cywilna Zagadnienia ogólne.
Michał Sztąberek iSecure Sp. z o.o.
Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński 1 1.
Problemy w stosowaniu przepisów o ochronie danych osobowych z perspektywy zakładów ubezpieczeń Warszawa, 21 maja 2010 r.
PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO - PEFS
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Ochrona danych osobowych
Mirosław BarszczWarszawa, 7 lipca 2005 r. Jerzy Martini Piotr Maksymiuk Marek Wojda Faktura elektroniczna Elektroniczna korespondencja z organami podatkowymi.
Aktualne zagadnienia prawne.
Ujęcie i zatrzymanie nieletniego w Policyjnej Izbie Dziecka
„Ochrona osób, mienia, obiektów i obszarów”
Szkolenie w zakresie ochrony danych osobowych
OCHRONA DANYCH OSOBOWYCH -
REJESTR DZIAŁAŃ RATOWNICZYCH
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Rejestracja Zbioru Danych w GIODO.
PAŃSTWOWA INSPEKCJA SANITARNA
SSE MOVE: wyniki projektu w obszarze świadczeń z tytułu
Ochrona danych osobowych
Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg
Ochrona danych osobowych: wybrane aspekty
Usługi BDO - odpowiedź na realne potrzeby rynku
Wstęp Dlaczego zmieniły się zasady rekrutacji do przedszkoli i szkół publicznych? Od dnia 18 stycznia 2014 roku obowiązuje znowelizowana ustawa o systemie.
I PODSTAWOWE POJĘCIA Nauka o ochronie danych osobowych posługuje się własnym aparatem pojęciowym innym niż pozostałe dziedziny prawa.
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Rozwój portalu PUE – integracja z ePUAP
VIII. POSTĘPOWANIE ADMINISTRACYJNE Zmierza do wymuszenia na administratorze realizacji obowiązków nałożonych prawem.
Pracownicze dane osobowe
Ochrona danych osobowych i informacji niejawnych
Dr Małgorzata Ganczar. Obowiązki administratora danych ustawodawca podaje pewien minimalny zakres informacji, jakie powinny być udzielone przez administratora.
Prawo ochrony konsumentów Wykład 8. rozumiemy umowę zawartą z konsumentem w ramach zorganizowanego systemu zawierania umów na odległość, bez jednoczesnej.
Departament Wdrażania EFS Ministerstwo Gospodarki i Pracy Podsystem monitorowania Europejskiego Funduszu Społecznego PEFS.
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Ochrona danych osobowych w administracji publicznej
Dr hab. Mariusz Jagielski EKONOMICZNE ASPEKTY KONSTYTUCJI -własność Wydział Prawa i Administracji.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Zmiana imienia i nazwiska
Dokumenty jako dowód w postępowaniu administracyjnym
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
OCHRONA DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
Reglamentacja procesu budowy
Ochrona danych osobowych i konsekwencje jej nieprzestrzegania
Umowa przedwstępna (pactum de contrahendo). art. 389 § 1 k.c.: Umowa, przez którą jedna ze stron lub obie zobowiązują się do zawarcia oznaczonej umowy.
Procedura rejestracji firmy Przed zarejestrowaniem firmy, ale kiedy nabrała ona już określonych kształtów przedsiębiorca powinien:  zdecydować co będzie.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
OCHRONA INFORMACJI NIEJAWNYCH podstawowe pojęcia i wymagania Warszawa, 15 marca 2016 r. mgr inż. Zbysław Antoni KUCZA.
Własność intelektualna w projektach 7PR.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Pracownicze dane osobowe
Strony stosunku praca: pracodawca i pracownik
Sankcje wadliwych czynności prawnych
MINISTERSTWO OBRONY NARODOWEJ
Mgr Agnieszka Kwiecień-Madej
Wydział Prawa, Administracji i Ekonomii
KTO CHCE TWOJE DANE OSOBOWE?
Ochrona danych osobowych w miejscu pracy poradnik dla pracodawców
Przetwarzanie danych osobowych - dokumentacja
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Ochrona danych osobowych w placówce oświatowej
Status prawny pracowników administracji publicznej
Podstawy prawa pracy i Zabezpieczenia społecznego
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Strony stosunku praca: pracodawca i pracownik
Klauzula informacyjna
Zapis prezentacji:

Ochrona danych osobowych Wydział Prawa i Administracji Ochrona danych osobowych szkolenie dla pracowników administracji UŚ 17.XII.2013 dr hab. Mariusz Jagielski

DANE OSOBOWE to –zgodnie z art. 6. 1 u. o. d. o DANE OSOBOWE to –zgodnie z art. 6.1 u.o.d.o.- wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

Cecha charakterystyczna - brak anonimowości osoby, której dane dotyczą

informacja będzie miała charakter osobowy: - jeżeli na jej podstawie możemy ustalić tożsamość osoby, do której się odnosi (dane identyfikujące)

- jeżeli dotyczy ona osoby już zidentyfikowanej (dowolne dane dołączone do dokumentacji osoby zidentyfikowanej)

Dane osobowe to też wizerunek i głos człowieka, w tym zarejestrowane na zdjęciach, nagraniach audio, nagraniach wideo i zapisane cyfrowo

ZASADY PRZETWARZANIA DANYCH OSOBWYCH

Zasada legalizmu — dane wolno przetwarzać jedynie, gdy podmiot spełnia jedną z przesłanek przetwarzania danych osobowych

+ Zgoda osoby + Przepis prawa + Realizacja umowy + Dobro publiczne + Usprawiedliwiony cel administratora danych wystarczy by była spełniona jedna dowolna z tych przesłanek

Uniwersytet przetwarza większość danych na podstawie przesłanki przepisu prawnego oraz realizacji umowy

Jeśli chodzi o przetwarzanie danych studentów, to przesłanką uzupełniającą może być dobro publiczne. Tym dobrem jest edukacja publiczna Jeśli chodzi o realizowanie roszczeń w stosunku do studentów - właściwą przesłankę stanowi usprawiedliwiony cel administratora.

Zgoda studenta będzie więc potrzebna zupełnie wyjątkowo, w szczególności w sytuacji, gdy jego dane chcemy wykorzystywać w celach marketingowych (promocja Uniwersytetu).

Zasada celowości przetwarzania — dane mogą być przetwarzane jedynie w oznaczonych, zgodnych z prawem, celach

w przypadku UŚ zasadniczym celem jest realizacja świadczenia edukacyjnego (celem uzupełniającym jest dochodzenie roszczeń z tytułu powyższej działalności) w pozostałych przypadkach celem powinno być realizowanie przepisów prawa

Co do celu: a. można przetwarzać jedynie takie dane, które są adekwatne w stosunku do celu przetwarzania b. dane wolno przetwarzać jedynie dla celu, dla którego zostały zebrane

ad. a): Zasada minimalizmu — dane przetwarza się tylko wtedy i w takim zakresie, w jakim jest to konieczne do osiągnięcia celu

ad. b): Zmiana celu jest możliwa jedynie wyjątkowo, gdy nowym celem mają być badania naukowe, dydaktyczne, historyczne lub statystyczne Zmiana celu na inny niż podane wyżej wymaga odrębnej przesłanki przetwarzania danych.

Zasada poufności danych — rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom

Obowiązuje zakaz podawania danych przez telefon – nigdy nie wiadomo kto jest po drugiej stronie podawanie danych telefonicznie jest dopuszczalne, gdy wdrożono system identyfikujący rozmówcę lub mamy pewność z kim rozmawiamy

Przekazywanie danych mailowo jest dopuszczalne jedynie wtedy, gdy dane te są zaszyfrowane Aktualnie poczta UŚ nie zapewnia takiej funkcji W związku z powyższym nie należy przesyłać danych osobowych mailem nawet w korespondencji pomiędzy pracownikami UŚ upoważnionymi do przetwarzania danych

Przekazywanie dokumentów w ramach Uniwersytetu powinno następować wyłącznie poprzez pracowników (kurierów) posiadających odpowiednie upoważnienie powinno się wprowadzić system obiegu dokumentów, tak w ramach UŚ, jak i w ramach Wydziału

udostępnianie danych - oznacza możliwość zapoznania się z ich treścią przez kogoś spoza UŚ przekazywanie danych w obrębie UŚ nie stanowi udostępnienia danych – nie trzeba stosować rozwiązań o których poniżej

do 7 marca 2011 obowiązywała szczególna procedura udostępniania danych (art. 29 u.o.d.o) aktualnie nie ma szczególnego przepisu, na podstawie którego udostępnia się dane osobowe

Jeśli UŚ jest zobowiązany do przekazywana danych przez przepisy, to czyni to zgodnie z tymi przepisami (żadne szczególne wymagania nie są konieczne) np. przekazywanie danych do ZUS i Urzędów Skarbowych

Jeśli do UŚ wystąpi podmiot uprawniony do uzyskania informacji na podstawie przepisów prawa to: 1. żądamy podania tego przepisu 2. weryfikujemy czy składający wniosek jest podmiotem, za który się podaje (legitymujemy go, dzwonimy do instytucji, itd.)

3. Prosimy o akceptację pełnomocnika danych 4 3. Prosimy o akceptację pełnomocnika danych 4. Ewidencjonujemy fakt udostępnienia danych 5. Udostępniamy dane UWAGA: obowiązuje zasada minimalizmu (podajemy tylko dane adekwatne do celu)

UWAGA: gdy wnioskujący stwierdzi, że istniej konieczność niezwłocznego działania (np. policjant stwierdzi, że jest w trakcie pościgu lub chodzi o ratowanie życia lub zdrowia) udostępniamy dane niezwłocznie, ale: 1. po wylegitymowaniu wnioskującego 2. na podstawie pisemnego oświadczenia (jeśli to ostatnie jest niemożliwe, należy sporządzić notatkę służbową)

Jeśli do UŚ wystąpi podmiot, który nie jest uprawniony do uzyskania informacji na podstawie przepisów prawa, to udostępnienie jest możliwe jedynie po spełnieniu dodatkowych wymogów

1. Cel przetwarzania nie ulega zmianie albo są nim badania naukowe, dydaktyczne, historyczne lub statystyczne 2. Umożliwimy osobie, której dane dotyczą, wyrażenie sprzeciwu 3. Sprawdzimy podmiot, któremu udostępniamy dane (żądamy dokumentów potwierdzających kim jest i w jakim celu będzie dane wykorzystywać)

Jeśli o dane prosi osoba, której dane dotyczą, to powyższa procedura nie obowiązuje. Osoba, której dane dotyczą, ma prawo dostępu do swoich danych i ich poprawiania.

Jeśli w imieniu osoby, której dane dotyczą, występuje ktoś inny, to musimy mieć możliwość potwierdzenia, że podmiot danych wie o tym i zgadza się na przekazanie informacji. Dobrze taką informację gdzieś ogłosić!

Obowiązek zabezpieczenia danych – polega na zastosowaniu środków mających uniemożliwić nieautoryzowane udostępnienie, zmienienie lub zniszczenie danych

Obowiązek zabezpieczenia danych jest realizowany poprzez: 1) zastosowanie odpowiednich programów i narzędzi systemowych (poziom UŚ) 2) wdrożenie odpowiednich procedur przetwarzania informacji (poziom Wydziałów)

Obowiązki Wydziałów: - nadanie upoważnień do przetwarzania danych wszystkim, którzy mają dostęp do danych - prowadzenie ewidencji osób upoważnionych do przetwarzania danych (chodzi o to, by było wiadomo kto ma dostęp do jakich danych)

zapoznanie pracowników przetwarzających dane z zasadami zawartymi w: a) polityce bezpieczeństwa informacji b) instrukcji zarządzania systemem informatycznym (te dokumenty muszą być faktycznie wdrożone)

Inne obowiązki Wydziałów:

zadbanie o prawidłowość danych - należy dołożyć staranności, by posiadane przez Wydział dane były prawdziwe i aktualne

Trzeba wdrożyć odpowiednie procedury, które zagwarantują poprawność danych np. zobowiązać studentów w umowie do aktualizacji informacji osobowych, wywieszenie informacji w dziekanacie, akcje informacyjne na początku lub końcu roku ak., itd.

przestrzeganie dopuszczalnego czasu przechowywania danych - dane można przechowywać jedynie tak długo, jak długo jest to konieczne dla osiągnięcia celu przetwarzania (potem powinny zostać usunięte)

UWAGA! Jeśli przepisy określają czas przechowywania pewnych kategorii danych, to należy postępować zgodnie z tymi przepisami W takiej sytuacji jesteśmy związani celem określonym przez te przepisy!

Obowiązek informacyjny w związku ze zbieraniem danych Zbieranie danych pierwotne wtórne

Zbieranie pierwotne – to zbieranie bezpośrednio od osoby, której dane dotyczą Zbieranie wtórne – to zbieranie z dowolnego innego źródła

a. Zbieranie pierwotne – podajemy informację z zakresu art. 24 u. o. d a. Zbieranie pierwotne – podajemy informację z zakresu art. 24 u.o.d.o.

Art. 24 W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Nie trzeba podawać powyższych informacji w zakresie w jakim osoba, której dane dotyczą, już je zna

MOMENT POINFORMOWANIA: w trakcie zbierania FORMA jest dowolna (można np. wywiesić informację na tablicy informacyjnej, można wpisać informację do kwestionariusza, przygotować informację na odrębnej kartce, itd.)

a. Zbieranie wtórne – podajemy informację z zakresu art. 25 u.o.d.o.

Art. 25 W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) możliwości skorzystania z prawa żądania zaprzestania przetwarzania lub prawa sprzeciwu

Nie trzeba podawać tych informacji, jeżeli: 1) Nie trzeba podawać tych informacji, jeżeli: 1) osoba, której dane dotyczą, już je zna 2) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań informacyjnych wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, 3) dane są przetwarzane na podstawie przepisów prawa

MOMENT POINFORMOWANIA: bezpośrednio po utrwaleniu danych MOMENT POINFORMOWANIA: bezpośrednio po utrwaleniu danych. “Utrwalenie danych” to druga po zebraniu danych czynność przetwarzania – polega na zapisaniu danych w taki sposób, że umożliwia to korzystanie z nich

CHARAKTER POINFORMOWANIA: zindywidualizowany – trzeba dotrzeć bezpośrednio do danej osoby. FORMA jest dowolna (ale na administratorze spoczywa obowiązek udowodnienia, że go wykonał)

dr hab. Mariusz Jagielski Wydział Prawa i Administracji Dziękuję za uwagę dr hab. Mariusz Jagielski mariusz.jagielski@us.edu.pl