Ochrona danych osobowych Wydział Prawa i Administracji Ochrona danych osobowych szkolenie dla pracowników administracji UŚ 17.XII.2013 dr hab. Mariusz Jagielski

DANE OSOBOWE to –zgodnie z art. 6. 1 u. o. d. o DANE OSOBOWE to –zgodnie z art. 6.1 u.o.d.o.- wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

Cecha charakterystyczna - brak anonimowości osoby, której dane dotyczą

informacja będzie miała charakter osobowy: - jeżeli na jej podstawie możemy ustalić tożsamość osoby, do której się odnosi (dane identyfikujące)

- jeżeli dotyczy ona osoby już zidentyfikowanej (dowolne dane dołączone do dokumentacji osoby zidentyfikowanej)

Dane osobowe to też wizerunek i głos człowieka, w tym zarejestrowane na zdjęciach, nagraniach audio, nagraniach wideo i zapisane cyfrowo

ZASADY PRZETWARZANIA DANYCH OSOBWYCH

Zasada legalizmu — dane wolno przetwarzać jedynie, gdy podmiot spełnia jedną z przesłanek przetwarzania danych osobowych

+ Zgoda osoby + Przepis prawa + Realizacja umowy + Dobro publiczne + Usprawiedliwiony cel administratora danych wystarczy by była spełniona jedna dowolna z tych przesłanek

Uniwersytet przetwarza większość danych na podstawie przesłanki przepisu prawnego oraz realizacji umowy

Jeśli chodzi o przetwarzanie danych studentów, to przesłanką uzupełniającą może być dobro publiczne. Tym dobrem jest edukacja publiczna Jeśli chodzi o realizowanie roszczeń w stosunku do studentów - właściwą przesłankę stanowi usprawiedliwiony cel administratora.

Zgoda studenta będzie więc potrzebna zupełnie wyjątkowo, w szczególności w sytuacji, gdy jego dane chcemy wykorzystywać w celach marketingowych (promocja Uniwersytetu).

Zasada celowości przetwarzania — dane mogą być przetwarzane jedynie w oznaczonych, zgodnych z prawem, celach

w przypadku UŚ zasadniczym celem jest realizacja świadczenia edukacyjnego (celem uzupełniającym jest dochodzenie roszczeń z tytułu powyższej działalności) w pozostałych przypadkach celem powinno być realizowanie przepisów prawa

Co do celu: a. można przetwarzać jedynie takie dane, które są adekwatne w stosunku do celu przetwarzania b. dane wolno przetwarzać jedynie dla celu, dla którego zostały zebrane

ad. a): Zasada minimalizmu — dane przetwarza się tylko wtedy i w takim zakresie, w jakim jest to konieczne do osiągnięcia celu

ad. b): Zmiana celu jest możliwa jedynie wyjątkowo, gdy nowym celem mają być badania naukowe, dydaktyczne, historyczne lub statystyczne Zmiana celu na inny niż podane wyżej wymaga odrębnej przesłanki przetwarzania danych.

Zasada poufności danych — rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom

Obowiązuje zakaz podawania danych przez telefon – nigdy nie wiadomo kto jest po drugiej stronie podawanie danych telefonicznie jest dopuszczalne, gdy wdrożono system identyfikujący rozmówcę lub mamy pewność z kim rozmawiamy

Przekazywanie danych mailowo jest dopuszczalne jedynie wtedy, gdy dane te są zaszyfrowane Aktualnie poczta UŚ nie zapewnia takiej funkcji W związku z powyższym nie należy przesyłać danych osobowych mailem nawet w korespondencji pomiędzy pracownikami UŚ upoważnionymi do przetwarzania danych

Przekazywanie dokumentów w ramach Uniwersytetu powinno następować wyłącznie poprzez pracowników (kurierów) posiadających odpowiednie upoważnienie powinno się wprowadzić system obiegu dokumentów, tak w ramach UŚ, jak i w ramach Wydziału

udostępnianie danych - oznacza możliwość zapoznania się z ich treścią przez kogoś spoza UŚ przekazywanie danych w obrębie UŚ nie stanowi udostępnienia danych – nie trzeba stosować rozwiązań o których poniżej

do 7 marca 2011 obowiązywała szczególna procedura udostępniania danych (art. 29 u.o.d.o) aktualnie nie ma szczególnego przepisu, na podstawie którego udostępnia się dane osobowe

Jeśli UŚ jest zobowiązany do przekazywana danych przez przepisy, to czyni to zgodnie z tymi przepisami (żadne szczególne wymagania nie są konieczne) np. przekazywanie danych do ZUS i Urzędów Skarbowych

Jeśli do UŚ wystąpi podmiot uprawniony do uzyskania informacji na podstawie przepisów prawa to: 1. żądamy podania tego przepisu 2. weryfikujemy czy składający wniosek jest podmiotem, za który się podaje (legitymujemy go, dzwonimy do instytucji, itd.)

3. Prosimy o akceptację pełnomocnika danych 4 3. Prosimy o akceptację pełnomocnika danych 4. Ewidencjonujemy fakt udostępnienia danych 5. Udostępniamy dane UWAGA: obowiązuje zasada minimalizmu (podajemy tylko dane adekwatne do celu)

UWAGA: gdy wnioskujący stwierdzi, że istniej konieczność niezwłocznego działania (np. policjant stwierdzi, że jest w trakcie pościgu lub chodzi o ratowanie życia lub zdrowia) udostępniamy dane niezwłocznie, ale: 1. po wylegitymowaniu wnioskującego 2. na podstawie pisemnego oświadczenia (jeśli to ostatnie jest niemożliwe, należy sporządzić notatkę służbową)

Jeśli do UŚ wystąpi podmiot, który nie jest uprawniony do uzyskania informacji na podstawie przepisów prawa, to udostępnienie jest możliwe jedynie po spełnieniu dodatkowych wymogów

1. Cel przetwarzania nie ulega zmianie albo są nim badania naukowe, dydaktyczne, historyczne lub statystyczne 2. Umożliwimy osobie, której dane dotyczą, wyrażenie sprzeciwu 3. Sprawdzimy podmiot, któremu udostępniamy dane (żądamy dokumentów potwierdzających kim jest i w jakim celu będzie dane wykorzystywać)

Jeśli o dane prosi osoba, której dane dotyczą, to powyższa procedura nie obowiązuje. Osoba, której dane dotyczą, ma prawo dostępu do swoich danych i ich poprawiania.

Jeśli w imieniu osoby, której dane dotyczą, występuje ktoś inny, to musimy mieć możliwość potwierdzenia, że podmiot danych wie o tym i zgadza się na przekazanie informacji. Dobrze taką informację gdzieś ogłosić!

Obowiązek zabezpieczenia danych – polega na zastosowaniu środków mających uniemożliwić nieautoryzowane udostępnienie, zmienienie lub zniszczenie danych

Obowiązek zabezpieczenia danych jest realizowany poprzez: 1) zastosowanie odpowiednich programów i narzędzi systemowych (poziom UŚ) 2) wdrożenie odpowiednich procedur przetwarzania informacji (poziom Wydziałów)

Obowiązki Wydziałów: - nadanie upoważnień do przetwarzania danych wszystkim, którzy mają dostęp do danych - prowadzenie ewidencji osób upoważnionych do przetwarzania danych (chodzi o to, by było wiadomo kto ma dostęp do jakich danych)

zapoznanie pracowników przetwarzających dane z zasadami zawartymi w: a) polityce bezpieczeństwa informacji b) instrukcji zarządzania systemem informatycznym (te dokumenty muszą być faktycznie wdrożone)

Inne obowiązki Wydziałów:

zadbanie o prawidłowość danych - należy dołożyć staranności, by posiadane przez Wydział dane były prawdziwe i aktualne

Trzeba wdrożyć odpowiednie procedury, które zagwarantują poprawność danych np. zobowiązać studentów w umowie do aktualizacji informacji osobowych, wywieszenie informacji w dziekanacie, akcje informacyjne na początku lub końcu roku ak., itd.

przestrzeganie dopuszczalnego czasu przechowywania danych - dane można przechowywać jedynie tak długo, jak długo jest to konieczne dla osiągnięcia celu przetwarzania (potem powinny zostać usunięte)

UWAGA! Jeśli przepisy określają czas przechowywania pewnych kategorii danych, to należy postępować zgodnie z tymi przepisami W takiej sytuacji jesteśmy związani celem określonym przez te przepisy!

Obowiązek informacyjny w związku ze zbieraniem danych Zbieranie danych pierwotne wtórne

Zbieranie pierwotne – to zbieranie bezpośrednio od osoby, której dane dotyczą Zbieranie wtórne – to zbieranie z dowolnego innego źródła

a. Zbieranie pierwotne – podajemy informację z zakresu art. 24 u. o. d a. Zbieranie pierwotne – podajemy informację z zakresu art. 24 u.o.d.o.

Art. 24 W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Nie trzeba podawać powyższych informacji w zakresie w jakim osoba, której dane dotyczą, już je zna

MOMENT POINFORMOWANIA: w trakcie zbierania FORMA jest dowolna (można np. wywiesić informację na tablicy informacyjnej, można wpisać informację do kwestionariusza, przygotować informację na odrębnej kartce, itd.)

a. Zbieranie wtórne – podajemy informację z zakresu art. 25 u.o.d.o.

Art. 25 W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) możliwości skorzystania z prawa żądania zaprzestania przetwarzania lub prawa sprzeciwu

Nie trzeba podawać tych informacji, jeżeli: 1) Nie trzeba podawać tych informacji, jeżeli: 1) osoba, której dane dotyczą, już je zna 2) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań informacyjnych wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, 3) dane są przetwarzane na podstawie przepisów prawa

MOMENT POINFORMOWANIA: bezpośrednio po utrwaleniu danych MOMENT POINFORMOWANIA: bezpośrednio po utrwaleniu danych. “Utrwalenie danych” to druga po zebraniu danych czynność przetwarzania – polega na zapisaniu danych w taki sposób, że umożliwia to korzystanie z nich

CHARAKTER POINFORMOWANIA: zindywidualizowany – trzeba dotrzeć bezpośrednio do danej osoby. FORMA jest dowolna (ale na administratorze spoczywa obowiązek udowodnienia, że go wykonał)

dr hab. Mariusz Jagielski Wydział Prawa i Administracji Dziękuję za uwagę dr hab. Mariusz Jagielski mariusz.jagielski@us.edu.pl