FAQ
- Co to jest RODO ?
RODO – Rozporządzenie o Ochronie Danych Osobowych, znane również jako General Data Protection Regulation (GDPR) – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz do uchylenia dyrektywy 95/46/WE). Jest to zestaw przepisów, które mówią przedsiębiorcom i konsumentom, do czego mają prawo w zakresie prywatnych informacji i jak należy się z nimi obchodzić.
- Po co jest RODO ?
Przepisy o danych osobowych są po to, aby chronić prywatność. Masz prawo używać swoich danych w dowolny sposób. Również dane innych osób, których nie używasz do celów służbowych czy zawodowych, nie są objęte przepisami. RODO zaczynamy stosować dopiero, gdy chodzi o przetwarzanie w celach zawodowych, służbowych, komercyjnych czy urzędowych.
RODO to Rozporządzenie Parlamentu Europejskiego i Rady – akt prawny Unii Europejskiej, który dla każdego kraju UE jest aktem wprost obowiązującym. Oznacza to, że w Polsce jest tak samo stosowany jak każda ustawa. RODO zastąpiło starą ustawę polską z 1997 r. o ochronie danych osobowych. W RODO są wypisane zasady postępowania z danymi, prawa i obowiązki „przetwarzających i przetwarzanych”, a nawet zasady nakładania kar finansowych za ewentualne uchybienia prawa. Tylko niektóre kwestie ustawodawca krajowy może teraz sam ustalić w swoich przepisach krajowych.
Dlatego w Polsce uchwalono nową ustawę o ochronie danych osobowych (z 10 maja 2018 r.). Nie znajdziemy tam jednak naszych praw i obowiązków, ani wiedzy o tym, jak organizować przetwarzanie danych – to wszystko jest już określone przez RODO. Dzięki temu wszystkie kraje UE muszą stosować te same zasady i środki ochrony danych osobowych.
- Co to są dane osobowe ?
Dane osobowe (art. 4 pkt. 1 RODO) oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Dane osobowe to wszystkie dane, które dotyczą konkretnej osoby fizycznej - od imienia i nazwiska, nr PESEL umieszczonego w dokumencie tożsamości, przez adres e-mail do danych umieszczonych na wizytówce. Danymi osobowymi może być także odcisk palca, adres IP, login do portalu internetowego czy numer telefonu.
- Co to są szczególnie kategorie danych osobowych ?
Szczególne kategorie danych osobowych to grupa danych sensytywnych (wrażliwych), które podlegają szczególnym zasadom przetwarzania i ochrony. Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane: genetyczne, biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Przetwarzanie szczególnych kategorii danych osobowych jest zabronione, chyba, że m.in. osoba, której dane dotyczą wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych, przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw administratora danych osobowych wynikających z przepisów prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości, przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
- Co to jest przetwarzanie danych osobowych ?
Przetwarzanie danych osobowych to każda czynność, którą wykonujemy z wykorzystaniem danych osobowych, operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
- Kto to jest Administrator Danych Osobowych (ADO) ?
Administrator Danych Osobowych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem Danych Osobowych przetwarzanych na UR, jest Uniwersytet Rzeszowski z siedzibą przy al. Rejtana 16 C, 35-959 Rzeszów, reprezentowany przez JM Rektora. Uniwersytet Rzeszowski, jest Administratorem Danych Osobowych m.in.: studentów, doktorantów, pracowników, które wykorzystuje w celach określonych przepisami prawa.
- Kto to jest Inspektor Ochrony Danych (IOD) ?
Inspektor Ochrony Danych to wyznaczona przez Rektora Uniwersytetu Rzeszowskiego osoba, która została wpisana do prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych rejestru inspektorów ochrony danych osobowych, odpowiedzialna za nadzór i bezpieczeństwo danych osobowych przetwarzanych na Uniwersytecie Rzeszowskim. Inspektor Ochrony Danych odpowiada za nadzór nad funkcjonowaniem i efektywnością procesów prawidłowego przetwarzania danych osobowych.
- Co to jest legalne przetwarzanie danych osobowych ?
Legalne przetwarzanie danych osobowych oznacza, przetwarzanie danych osobowych w zgodności z przepisami prawa. Aby przetwarzanie danych osobowych odbywało się w zgodzie z prawem powinna zostać spełniona jedna z poniższych przesłanek:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie jej danych osobowych;
- przetwarzanie jest niezbędne do wykonania umowy lub czynności przed jej zawarciem;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej.
- Co to jest obowiązek informacyjny ?
Spełnienie obowiązku informacyjnego jest podstawowym obowiązkiem wynikającym z RODO (art. 13 i art. 14 RODO). Wywiązane się z tego obowiązku zapewnia przejrzystość przetwarzania danych osobowych przez administratora, a podmiotowi danych osobowych możliwość sprawowania kontroli nad zakresem udostępnianych administratorowi danych i weryfikacji czy przetwarzane są one zgodnie z wymogami prawa.
- Co zawierają klauzule informacyjne ?
Klauzule informacyjne muszą zostać przygotowane w formie zrozumiałej, zwięzłej i przejrzystej. Zachodzi konieczność udzielenia wszystkich informacji przed rozpoczęciem przetwarzania danych (w przypadku danych uzyskanych w sposób niebezpośredni należy poinformować taką osobę w rozsądnym terminie, zależącym od okoliczności). Podstawowe elementy klauzuli informacyjnej:
- informacje o tożsamości administratora danych,
- dane kontaktowe inspektora ochrony danych,
- wskazanie podstaw prawnych przetwarzania danych,
- cel przetwarzania danych,
- okres w jakim dane będą przechowywane (konkretny termin lub podstawę ustalenia czasu, gdy podanie konkretnej daty nie jest możliwe),
- informacje o prawach podmiotu (art. 13-21 RODO),
- informacje o prawie do wniesienia skargi do organu nadzorczego,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
- informacje o zamiarze przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (jeśli taki proceder będzie mieć miejsce).
- Jakie prawa przysługują osobom, które udostępniają swoje dane osobowe ?
Osoba, której dane dotyczą posiada prawo do:
- żądania dostępu do swoich danych (art. 15 RODO),
- sprostowania swoich danych osobowych (art. 16 RODO),
- usunięcia lub ograniczenia przetwarzania danych osobowych (art. 17 RODO i art. 18 RODO),
- wniesienia sprzeciwu wobec przetwarzania (art. 21 RODO)
- przenoszenia danych (art. 20 RODO),
- wyrażenia/odwołania zgody na przetwarzanie danych osobowych (art. 7 RODO).
Administrator Danych Osobowych (ADO) zobowiązany jest do odniesienia się do ww. żądań właściciela danych, przy czym w praktyce ADO uwzględni je w kontekście przepisów prawnych (np. kodeksu pracy, regulaminu studiów), czyli ewentualnie innych podstaw prawnych dla przetwarzania tych danych.
- Czym jest zgoda na przetwarzanie danych osobowych ?
Zgoda na przetwarzanie danych osobowych jest to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 1 pkt. 11 RODO). Zgoda może przyjąć formę oświadczenia woli, wyrażonej w formie pisemnej lub elektronicznej np. klauzula zgody dołączona do kwestionariusza osobowego w formie papierowej, przy czym musi być jasno określony cel, w jakim dane są pozyskiwane i będą wykorzystywane.
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być́ równie łatwe jak jej wyrażenie.
- Co to jest upoważnienie do przetwarzania danych osobowych ?
Upoważnienie do przetwarzania danych osobowych służy realizacji obowiązku rozliczalności wynikającego z RODO, tzn. Uniwersytet Rzeszowski musi wykazać, iż do przetwarzania danych osobowych zostały dopuszczone tylko osoby uprawnione. Upoważnienie jest także dokumentem, który ogranicza dostęp do zasobów danych przez osoby nieuprawnione.
- Czym jest prawo do bycia zapomnianym ?
RODO przyznaje osobom, których dane dotyczą prawo do usunięcia danych osobowych oraz bycia zapomnianym. W przypadku uzasadnionego zażądania usunięcia danych, administrator niezwłocznie musi podjąć stosowne kroki w tym kierunku. Jeśli dane, o których mowa zostały przekazane innym podmiotom, do zadań administratora należy również poinformowanie o żądaniu usunięcia danych również współadministratorów i procesorów.
Obowiązek usunięcia danych osobowych przez administratora jest wymagany w następujących przypadkach:
- dane osobowe nie są niezbędne do realizacji celów, do których je zebrano;
- podmiot danych wycofał zgodę i nie istnieje inna podstawa prawna dla przetwarzania tych danych;
- podmiot danych wniósł sprzeciw do dalszego przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
- dane osobowe były przetwarzane niezgodnie z prawem;
- dane osobowe muszą być usunięte w celu wywiązania się̨ z obowiązku prawnego przewidzianego w unijnym bądź krajowym przepisie prawnym (np. przepisach dotyczących niszczenia dokumentacji medycznej);
- dane zostały zebrane w celu świadczenia usług internetowych dziecku.
- Co to jest naruszenie ochrony danych osobowych ?
Naruszenie ochrony danych osobowych to pojedyncze zdarzenie lub seria zdarzeń, związanych z bezpieczeństwem danych, które zagrażają ich poufności, dostępności lub integralności. Nie tylko ujawnienie danych osobowych jest incydentem, może być to także modyfikacja danych osobowych oraz brak dostępności danych osobowych. Dodać trzeba, że incydent dotyczy nie tylko danych osobowych, ale szeroko rozumianych zasobów systemu informatycznego, takich jak: osoby, usługi, oprogramowanie, dane, sprzęt i inne elementy mające wpływ na bezpieczeństwo przetwarzanych danych. Naruszeniem np. ujawnienie danych osobie nieuprawnionej, publikowanie na stronach internetowych bez podstawy prawnej informacji zawierających dane osobowe takie jak: imię i nazwisko, numer PESEL, nr indeksu, nr telefonu czy ocena z egzaminu. Naruszeniem ochrony danym może być także: wysyłanie pocztą elektroniczną adresów innych adresatów, wrzucenie dokumentów do kosza zamiast do niszczarki, niewystarczające zabezpieczenie danych na stacjach roboczych - brak: haseł dostępu, ochrony antywirusowej itp. Naruszenie ochrony danych osobowych dotyczy również szeroko rozumianych zasobów systemów informatycznych i innych elementów które mają wpływ na bezpieczeństwo przetwarzanych danych osobowych.
- Kto zobowiązany jest do zgłaszania naruszeń ochrony danych osobowych ?
Obowiązek zgłaszania naruszeń związanych z ochroną danych osobowych spoczywa na administratorze danych osobowych, który zobowiązany jest do bezwzględnego zgłoszenia incydentu w ciągu 72 godzin od jej stwierdzenia. Dopuszcza się możliwość odstąpienia od tej zasady wówczas gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
- Co rozumiemy pod pojęciem „zasada minimalizacji” i „zasada adekwatności” ?
Zasada minimalizacji danych osobowych wskazuje, na konieczność ograniczenia przetwarzania danych tylko do tych, które są niezbędne do osiągnięcia zamierzonego celu przetwarzania.
Zasada adekwatności oznacza, iż administrator powinien przetwarzać tylko takie dane, bez których osiągnięcie zamierzonego celu byłoby niemożliwe, przy czym zakres tych danych powinien być ustanowiony najpóźniej w momencie ich zbierania.
- Czym jest anonimizacja i pseudonimizacja danych ?
Anonimizacja to czynność pozwalająca na usunięcie powiązań pomiędzy danymi, a osobą, której te dane dotyczą. Zanonimizowane dane nie są zatem danymi osobowymi, ponieważ nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. W związku z tym RODO nie stosuje się do przetwarzania takich anonimowych informacji.
Pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której te dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 1 pkt. 5 RODO).
- Co oznacza "privacy by design" ?
Zasada „privacy by design” określa konieczność uwzględnienia ochrony danych osobowych na etapie zidentyfikowania czynności przetwarzania w ramach danego przedsięwzięcia. Zgodnie z takim podejściem ochrona danych osobowych powinna być nieodzownym elementem każdego nowego projektu, przy zastosowaniu odpowiednich środków technicznych i organizacyjnych. Zapewnienie bezpieczeństwa danych osobowych musi być uwzględnione i zagwarantowane przy projektowaniu nowej specjalności, wdrożeniu systemu informatycznego, reorganizacji dziekanatu itd.
- Czym jest "privacy by default" ?
"Privacy by default" określa domyślne uwzględnienie adekwatnych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu przetwarzania danych osobowych. Zgodnie z tą regułą można przetwarzać tylko takie dane, które są niezbędne do osiągnięcia celu dla którego zostały zebrane.
- Co to jest ocena skutków dla ochrony danych osobowych ?
Ocena skutków dla ochrony danych osobowych to proces, który ma opisać przetwarzanie danych osobowych, ocenić niezbędność i proporcjonalność przetwarzania danych oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych. Ocena skutków dla ochrony danych osobowych pozwala na podjęcie właściwych środków technicznych i organizacyjnych mających służyć zabezpieczeniu danych osobowych, a także wskazuje jakie czynności należy podjąć by zminimalizować ryzyko przetwarzania danych osobowych.
- Co to jest rejestr czynności przetwarzania ?
Rejestr czynności przetwarzania to dokument, który pokazuje w jakich procesach Administrator Danych Osobowych przetwarza dane osobowe. Rejestr uwzględnienia m.in. cel przetwarzania danych, podstawy przetwarzania danych, kategorię oraz zakres przetwarzanych danych oraz w jaki sposób dane są zabezpieczone. Rejestr czynności przetwarzania może być prowadzony w wersji papierowej lub elektronicznej. Należy zauważyć, iż pojęcie czynności przetwarzania danych osobowych nie zostało precyzyjnie opisane w RODO, co może powodować trudności w zidentyfikowaniu czynności przetwarzania danych osobowych. Czynność przetwarzania można określić przez kategorie podmiotów danych lub celów przetwarzania np. rekrutacja na studia.
- Co to jest powierzenie przetwarzania danych osobowych ?
Powierzenie przetwarzania danych osobowych to przetwarzanie określonego zakresu danych osobowych w imieniu Administratora Danych Osobowych (np. Uniwersytetu Rzeszowskiego). Powierzenie przetwarzania danych osobowych odbywa się na podstawie umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego, który wiąże Administratora Danych Osobowych i podmiot, który przetwarza dane w imieniu ADO.
Powierzenie przetwarzania danych osobowych powinno regulować m.in.:
- cel i charakter powierzenia;
- przedmiot powierzenia - rodzaj danych, kategorię osób, których dane dotyczą;
- czas trwania powierzenia;
- obowiązki i prawa ADO;
- podpowierzenie przetwarzania;
- zobligowanie osób upoważnionych do zachowania tajemnicy;
- stosowanie odpowiednich zabezpieczeń;
- pomoc w realizacji praw osób, których dane dotyczą;
- usunięcie lub zwrot danych po ustaniu powierzenia;
- udzielenie pomocy ADO w wypełnianiu obowiązków względem organu nadzorczego;
- zgoda na przeprowadzenie kontroli przetwarzania danych osobowych przez ADO.
- Po co zawierana jest umowa powierzenia przetwarzania ?
Czasami ani administrator danych, ani jego pracownicy nie wykonują samodzielnie całości operacji na danych jakie są używane. Jeżeli administrator danych chce, aby dla niego i na jego rachunek ktoś inny wykonał określone czynności z danymi osobowymi wówczas zawiera z tym kimś umowę powierzenia przetwarzania. Administrator wybiera podmiot, który zapewnia odpowiednie bezpieczeństwo danym osobowym i określa mu warunki, na których te dane powierzy. Minimalny zakres takiej umowy określa art. 28 RODO. Podmiot, który przyjmuje powierzone mu przetwarzanie danych nazywany jest „podmiotem przetwarzającym” lub „sub-procesorem”. Wykonuje określone czynności dla administratora i nie ma żadnych własnych celów w przetwarzaniu powierzonych mu danych. Podmiot przetwarzający odpowiada jednak solidarnie z administratorem za przetwarzanie danych i szkody z nim związane. Musi też współpracować z administratorem i poddawać się określonym obowiązkom oraz zapewnić udokumentowanie tego, że przetwarza dane prawidłowo, a na incydenty reaguje niezwłocznie. Powierzenie przetwarzania prawie zawsze występuje w związku z jakąś konkretną przyczyną. Zlecenie jakiejś firmie obsługi kadrowej lub księgowej zazwyczaj wymaga przetwarzania danych przez tę firmę i dane te wówczas powierza się do przetwarzania. Podobnie rzecz się ma z obsługą informatyczną – zazwyczaj w systemach/komputerach są dane osobowe, a dostęp do nich jest niezbędny pracownikom dostawcy systemu przy czynnościach serwisowych. Zlecenie przetłumaczenia dokumentów i akt zawierających dane osobowe, pośrednictwo w organizacji przejazdów i załatwianiu wiz, outosurcing windykacji dłużników czy zamówienie mailing-u w celu pozyskania chętnych do udziału w konferencji będą raczej zawsze wymagały powierzenia przetwarzania. Nawet umowa o niszczenie dokumentacji osobowej i nośników informatycznych będzie związana z powierzeniem przetwarzania danych osobowych.
Natomiast usługi przychodni medycyny pracy, radcy prawnego lub adwokata prowadzącego własną kancelarię nie muszą wymagać zawierania umowy powierzenia przetwarzania. Są to podmioty które mają własne cele (a nawet wynikające z prawa obowiązki) w przetwarzaniu danych osobowych w związku ze świadczonymi usługami. Nie uzasadnia zawierania umowy o powierzenie przetwarzania danych osobowych zawarcie zwyczajnej umowy na dostawę produktów, gdzie wprawdzie umieszcza się dane osób do kontaktów, ale kontakty te przebiegają przy użyciu służbowych adresów i telefonów pracowników zatrudnianych m.in. właśnie w celu obsługi takich kontaktów.
- Co to są techniczne i organizacyjne środki ochrony danych osobowych ?
Techniczne i organizacyjne środki ochrony danych osobowych to środki, które należy zastosować by zapewnić bezpieczeństwo danych osobowych adekwatne do ryzyka przetwarzania danych osobowych. Środki organizacyjne to np. wdrożenie polityk ochrony danych osobowych, wyznaczenie IOD, KOD, ASI, LADO, szkolenia z ochrony danych osobowych dla pracowników, wydawanie upoważnień do przetwarzania danych osobowych. Środki techniczne to np. stosowanie oprogramowania antywirusowego na stacjach roboczych, zapewnienie dostępu do systemu przy użyciu loginu i hasła, stosowanie firewalla czy UPS, odnotowywanie informacji o czynnościach użytkownika wykonanych w systemie informatycznym. W ramach środków technicznych i organizacyjnych można także wyróżnić środki ochrony fizycznej takie jak np.: drzwi i szafy zamykane na klucz, rolety antywłamaniowe, kraty w oknach, sejfy i kasy pancerne, ochrona czy system alarmowy.
- Jakie są różnice pomiędzy rejestrem czynności przetwarzania a rejestrem kategorii przetwarzania ?
Rejestr czynności przetwarzania prowadzi administrator danych osobowych i jest to dokument, który uwzględnia wykaz wszystkich procesów organizacji w jakich są przetwarzane dane osobowe. Zgodnie z art. 30 ust. 1 RODO rejestr czynności przetwarzania powinien zawierać takie informacje, jak:
- nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów,
- cele przetwarzania,
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Rejestr kategorii przetwarzania jest to natomiast wykaz czynności prowadzony przez każdego procesora, któremu administrator powierzył przetwarzanie danych. Zawiera się tam następujące informacje:
- nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów (np. cel i zakres usługi, umowy powierzenia),
- gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego,
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Jest to więc wykaz podmiotów, które zleciły wykonawcy jakieś usługi (np. obsługa informatyczna)
i w tym celu powierzyły określone dane do przetwarzania – art. 30 ust. 2 RODO.
- Czy mogę sprawdzać listy obecności na zajęciach ?
Bez sprawdzenia listy obecności trudno jest rozliczyć studentów z ich obowiązków. Odczytanie listy obecności nie będzie stanowiło problemu, jeśli ograniczy się do weryfikacji obecności osób wyczytywanych z nazwiska.
Nieprawidłowe będzie jednak „puszczenie” listy z nazwiskami i np. numerami albumów lub fotografowanie sali w celu potwierdzenia obecności osób podpisanych na liście. Takie przetwarzanie danych należy uznać za nadmiarowe i nieuzasadnione.
W pełni zrozumiałe jest natomiast weryfikowanie osób wchodzących na egzamin, zwłaszcza jeśli student proszony jest tylko o okazanie aktualnej legitymacji lub dokumentu ze zdjęciem.
- Czy dopuszczalne jest ujawnienie numerów albumów w celu ustalenia kolejności wejścia na egzamin ?
Numer albumu ma służyć zapewnieniu prywatności studentom i ich zidentyfikowaniu, bez nadmiernej ingerencji w prywatność tych osób. Zatem lista z numerami albumów wywieszona przed salą na ogólnodostępnym terenie kampusu nie doprowadzi do ujawnienia tożsamości osób egzaminowanych, ale dla nich samych będzie konkretną i jasną informacją. Trzeba pamiętać, że podstawowym narzędziem do komunikowania się ze studentem na UR jest system Wirtualna Uczelnia. Jednak dla potrzeb organizacji egzaminów lub skoordynowania zajęć promotorów czy recenzentów wywieszenie takiej listy może być znacznym ułatwieniem, a prywatność zdających na tym nie ucierpi.
- Czy student może otrzymać od uczelni upoważnienie do przetwarzania danych osobowych ?
Tak. Upoważnić do przetwarzania danych osobowych można nie tylko pracownika, ale każdą osobę stwarzającą swoistą rękojmię przestrzegania określonych zasad przy przetwarzaniu danych osobowych.
Podpisanie zobowiązania do zachowania poufności i do przestrzegania zasad obowiązujących na uczelni daje pewnego rodzaju rękojmię. Ponieważ studenci przetwarzają dane osobowe w celach związanych z działalnością samorządu czy organizacji studenckich a ich administratorem jest wciąż uczelnia – naturalnym będzie, że uczelnia upoważni ich do tego przetwarzania. Warto wcześniej zapewnić im wiedzę o tych zasadach, o obowiązkach i ograniczeniach wynikających z przetwarzania danych dla Uniwersytetu Rzeszowskiego.
- Czy fotografowanie uczestników konferencji i imprez uczelnianych to przetwarzanie danych osobowych ?
Jeśli na podstawie fotografii i ich opisów daje się ustalić tożsamość uwidocznionych osób to będzie to przetwarzanie danych osobowych.
Większość fotografii sporządzanych w takich okolicznościach ma charakter ilustracyjny i nie służy identyfikowaniu osób. Jeśli jednak mamy na celu pokazanie najzdolniejszych studentów, wybitnych absolwentów i zasłużonych pracowników, chcemy wymienić ich z nazwiska i przedstawić społeczności akademickiej, to jest to dobry powód, aby uprzedzić ich o tym i poprosić o zgodę na takie czynności. Nie zawsze musi to mieć formę pisemnego i odrębnego dokumentu, ponieważ można uprzedzić o tym w zaproszeniu na uroczystość lub poinformować na początku wydarzenia.
Trzeba też pamiętać, że wykorzystanie wizerunku osoby może wiązać się z opublikowaniem zdjęcia w prasie. Tu większe znaczenie może mieć prawo prasowe. Korzystanie z fotografii zwykle łączyć się może z prawami majątkowymi osoby pozującej i prawami autorskimi do samego zdjęcia. Te uprawnienia skłaniać mogą do uzyskania innych pozwoleń – dalece ważniejszych niż zgoda na przetwarzanie danych osobowych w grupie osób uwidocznionych np. na fotografii zbiorowej.
- Czy zgodne z prawem jest publikowanie zdjęć studentów bez ich zgody ?
NIE. Wizerunek jest traktowany jako dobro osobiste człowieka w rozumieniu art. 23 ustawy Kodeks cywilny, aby publikować zdjęcia studentów na stronach należy posiadać zgodę osoby, której dane dotyczą. Rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej (art. 81 ustawy o prawie autorskim i prawach pokrewnych). Zezwolenia nie wymaga rozpowszechnianie wizerunku:
- osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych;
- osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.
- Czy na stronie Uniwersytetu Rzeszowskiego można publikować wizerunek sprawcy czynu zabronionego (zdjęcia, nagrania wideo) ?
NIE. W świetle ustawy o ochronie danych osobowych – nikt nie może udostępniać danych osobowych, osoby, której dane dotyczą, jeżeli nie została spełniona jedna z przesłanek wynikających z art. 6 GDPR – stanowisko to dotyczy także upubliczniania zapisu z monitoringu wizyjnego. Z art. 23 ustawy Kodeks cywilny (tekst jednolity: Dz. U. z 2018 r. poz. 650) wynika wprost, że wizerunek jest dobrem osobistym człowieka i nie ma przy tym znaczenia, że osoba może zostać uznana za sprawcę czynu zabronionego. Warto jednak zwrócić uwagę na art. 13 ust. 3 ustawy Prawo prasowe, który wskazuje, iż: właściwy prokurator lub sąd może zezwolić, ze względu na ważny interes społeczny, na ujawnienie danych osobowych i wizerunku osób, przeciwko którym toczy się postępowanie przygotowawcze lub sądowe. policja natomiast publikuje wizerunki i dane osób, wobec których organy - prokuratury lub sądy wydały zgodę na publikację listu gończego. Uprawnienie to wynika z art. 21 ustawy o policji. Pobieranie danych i wizerunków osób poszukiwanych i zaginionych ze stron serwisu policji, a następnie umieszczanie na innych niż policyjne stronach internetowych jest dozwolone.
- Na jakiej podstawie można przetwarzać dane osobowe studentów na prywatnych nośnikach (np. praca zdalna) ?
Podstawą korzystania z prywatnego nośnika do przetwarzania służbowych danych osobowych powinna być oficjalna zgoda administratora danych. Przepisy o ochronie danych dają administratorowi możliwość subiektywnego doboru środków ochrony danych, w szczególności może on zezwolić użytkownikom na korzystanie z prywatnych nośników. Jednakże mając na uwadze konieczność doboru środków do ryzyk i zagrożeń zgodnie z art. 24 Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), takie działanie powinno zostać poprzedzone analizą ryzyka, a jeśli to konieczne także oceną skutków zgodnie z art. 35 RODO. Jeżeli w ocenie administratora korzystanie z prywatnych nośników niesie ze sobą akceptowalne ryzyko, urządzenie jest zweryfikowane/odpowiednio skonfigurowane przez UCI, wtedy dopuszczalne jest skorzystanie z prywatnego nośnika do przetwarzania danych służbowych. Administrator danych ponosi odpowiedzialność za bezpieczeństwo danych przetwarzanych przez pracownika na prywatnym nośniku (decyzja Prezesa UODO z 21.08.2020 r. w sprawie ZSOŚS.421.25.2019).
- Czy zgodne z prawem jest umieszczanie imion i nazwisk kandydatów na I rok studiów, bez ich zgody, na listach wyników egzaminów wstępnych ?
TAK, zgodnie z ustawą Prawo o szkolnictwie wyższym i nauce wyniki postępowania rekrutacyjnego są jawne.
- Czy uprawnione jest publikowanie list zawierających dane osobowe studentów wraz z wynikami z egzaminów w ramach realizowanego toku studiów ?
NIE, jedyną podstawą prawną uprawniającą do publikowania (np. zamieszczania na stronach internetowych) list zawierających dane osobowe studentów (np.: nr PESEL, imię i nazwisko, nr indeksu) wyników z egzaminów jest zgoda osoby, której dane dotyczą. Ustawa Prawo o szkolnictwie wyższym i nauce nie przewiduje takiej formy upublicznienia wyników z egzaminów cząstkowych. Aby jawnie publikować wyniki z egzaminów, należy posiadać zgodę osoby, której dane dotyczą.
- Czy dane studenta przetwarzane są na podstawie zgody na przetwarzanie danych ?
NIE, dane osobowe studentów przetwarzane są na podstawie przesłanki wynikającej z art. 6 ust. 1 lit. c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – General Data Protection Regulation - GDPR), a więc w celu wypełnienia obowiązku prawnego wynikającego z ustawy Prawo o szkolnictwie wyższym i nauce.
- Czy zgodna z prawem jest praktyka zatrzymywania dokumentów tożsamości przez biblioteki czy domy studenta ?
NIE, takie postępowanie jest sprzeczne z przepisami ogólnego rozporządzenia o ochronie danych osobowych. Zatrzymywanie dokumentu może odbywać się tylko na podstawie konkretnego przepisu prawa. Zgodnie z ustawą o ewidencji ludności i dowodach osobistych, zatrzymanie dowodu osobistego może odbywać się tylko w określonych w ustawie przypadkach. Mimo iż nie ma uregulowanego prawem zakazu pozostawiania legitymacji studenckich, przetrzymywanie ww. dokumentu jest zabronione. Dozwolone natomiast jest przedstawienie dokumentów tożsamości do wglądu i ewentualnego spisania danych.
- Do UR zwraca się pracodawca z prośbą o potwierdzenie wykształcenia (dyplomu) studenta, co robić ?
Uniwersytet Rzeszowski przetwarza dane osobowe w celu realizacji obowiązków wynikających z ustawy Prawo o szkolnictwie wyższym i nauce. Aby udostępnić dane (czyt. potwierdzić wykształcenie) podmiot zwracający się z wnioskiem o udostępnienie danych osobowych powinien wskazać podstawę prawną udostępnienia – spełnić choć jedną przesłankę z art. 6 RODO.
Pracodawca zgodnie z ustawą Kodeks pracy ma prawo żądać od pracownika udokumentowania danych przez dostarczenie dowodu osobistego, świadectwa pracy czy dyplomu. Natomiast prowadzenie tzw. background screening wymaga wyraźnej zgody pracownika. Pracodawca powinien uzyskać zgodę pracownika na ewentualne sprawdzenie podanych przez niego informacji – zgoda taka powinna być udzielona na jasno określony cel i zakres. Jeżeli natomiast została nam przesłana kopia dyplomu, powinniśmy zweryfikować jego autentyczność, w przypadku weryfikacji negatywnej, należy zgłosić ten fakt na policję.
- Czy zgodne z prawem jest udostępnianie informacji zawierających dane osobowe przez telefon ?
NIE. Jeżeli nie mamy pewności co do osoby, z którą prowadzimy rozmowę, przekazywanie informacji zawierających dane osobowe jest zabronione.
- Czy dopuszczalne jest publikowanie w Internecie informacji o studentach wykreślonych z listy studentów ?
NIE, gdyż obowiązujące przepisy prawa nie kształtują takich obowiązków lub uprawnień uczelni, których realizacja wymagałaby publikacji danych o skreśleniu z listy studentów w Internecie.
- Czy członkowie komisji rekrutacyjnych/stypendialnych/konkursowych powinni posiadać upoważnienie do przetwarzania danych osobowych ?
TAK, członkowie komisji posiadają dostęp do danych osobowych, tym samym przetwarzają dane osobowe. Procedura wydawania upoważnień została opisana w Zarządzeniu nr 130/2020 Rektora Uniwersytetu Rzeszowskiego z dnia 9 listopada 2020 r. w sprawie organizacji i aktualizowania dokumentacji związanej z przetwarzaniem danych osobowych w jednostkach administracyjnych w Uniwersytecie Rzeszowskim
- Czy Uniwersytet Rzeszowski ma prawo publikować na swoich stronach internetowych dane osobowe pracowników ?
TAK, informacje o pracowniku, takie jak jego imię i nazwisko, służbowy: numer telefonu, adres e-mail, są ściśle związane z wykonywaną przez niego pracą. Informacje takie mogą zostać podane do publicznej informacji bez zgody pracownika.
- Co powinienem zrobić w przypadku czasowego opuszczenia stanowiska pracy ?
W przypadku opuszczenia obszaru przetwarzania danych osobowych, gdy pozostaje on bez nadzoru osób upoważnionych, należy zamknąć pomieszczenie na klucz. Klucze do pomieszczeń powinny pozostawać pod nadzorem osób upoważnionych. Czasowo opuszczając stanowisko pracy należy wylogować się z systemu lub uruchomić wygaszacz ekranu chroniony hasłem. Nie należy pozostawiać dokumentów zawierających dane osobowe w miejscu widocznym. Po zakończonej pracy należy wylogować się ze wszystkich systemów, z których korzystaliśmy podczas pracy, zamknąć w szafach dokumenty zawierające dane osobowe lub inne tajemnice ustawowo chronione.
- Jak długie powinno być hasło do systemu informatycznego ?
Zaleca się stosowanie haseł o długości minimum 8 znaków, składających się z dużych i małych liter, cyfr oraz znaków specjalnych. Mile widziane są hasła o długości co najmniej 15 znaków. Nie należy stosować haseł składających się z imion i nazwisk, dat urodzenia, haseł domyślnych takich jak: admin, hasło itp. W przypadku konieczności zmiany hasła nie należy dokonywać „lekkiej” modyfikacji hasła starego.
- Czy mam obowiązek posiadać służbowy adres e-mail ?
TAK, każda osoba realizująca zadania o charakterze służbowym powinna posługiwać się adresem mailowym założonym w domenie Uniwersytetu Rzeszowskiego. Korzystanie w celach służbowych z prywatnych adresów mailowych jest zabronione.
- Co powinienem zrobić wysyłając wiadomość mailową zawierającą dokumenty z danymi osobowymi ?
Wysyłając maile zawierające pliki z danymi osobowymi, plik należy co najmniej zabezpieczyć za pomocą hasła, które należy przekazać adresatowi w innej formie np. telefonicznie czy za pomocą smsa.
- Przechowuję dane osobowe w chmurze co powinienem zrobić ?
Pliki przechowywane w tzw. chmurze obliczeniowej, jeżeli zawierają dane osobowe lub inne informacje wymagające ochrony, powinny być zaszyfrowane, a dostęp do chmury powinny mieć tylko te osoby, którym dostęp do danych jest niezbędny w celu wykonywania obowiązków służbowych.
- Jak postępować z danymi osobowymi przetwarzanymi w wersji papierowej ?
- dokumenty i wydruki zawierające dane osobowe należy przechowywać w pomieszczeniach zabezpieczonych fizycznie przed dostępem osób nieupoważnionych;
- użytkownicy są zobowiązani do stosowania „polityki czystego biurka”, polega ona na zabezpieczeniu dokumentów zawierających dane osobowe w szafach, biurkach, pomieszczeniach zamykanych na klucz, ograniczając wgląd przez osoby nieupoważnione;
- dokumenty należy przenosić w sposób zapobiegający ich kradzieży, zgubieniu lub utracie;
- zalecane jest niszczenie dokumentów i tymczasowych wydruków w niszczarkach niezwłocznie po ustaniu celu ich przetwarzania.
- Jak postępować z elektronicznymi nośnikami danych osobowych ?
- dane przechowywane są na nośnikach przenośnych jedynie w przypadkach, gdy jest to konieczne, przez czas niezbędny do spełnienia celu, w jakim zostały one na nośniku zapisane. Po ustaniu czasu przechowywania zawartość nośnika danych podlega skasowaniu;
- dane osobowe w systemie informatycznym przechowywane są przez czas wymagany do spełnienia celu, dla którego są one przetwarzane. Po upływie tego celu dane podlegają archiwizacji, skasowaniu lub anonimizacji;
- przenośne elektroniczne nośniki danych są przechowywane przez użytkowników w sposób minimalizujący ryzyko ich uszkodzenia lub zniszczenia, w szczególności w zamykanych szafach
i meblach biurowych; - w przypadku konieczności wyniesienia nośników danych poza jednostkę organizacyjną, użytkownik zobowiązany jest do zachowania szczególnej ostrożności i zabezpieczenia nośnika, konieczne jest użycie środków ochrony kryptograficznej (szyfrowanie danych);
- w przypadku wykorzystywania elektronicznych urządzeń mobilnych (m.in. smartphone, tablet) wymaga się zastosowania następujących środków bezpieczeństwa: blokada ekranu (pin/hasło/symbol graficzny), szyfrowanie pamięci/karty pamięci, program antywirusowy, wyłączenie nieużywanych usług (np. - 9 - Ochrona Danych Osobowych w praktyce UW wi-fi, bluetooth, nfc), instalowanie oprogramowania z zaufanych źródeł, używanie szyfrowania lub VPN podczas korzystania z publicznych hotspot-ów;
- w przypadku korzystania z komputerów przenośnych poza obszarem przetwarzania danych jednostki organizacyjnej, należy używać ich w sposób uniemożliwiający odczyt danych z ekranu przez osoby nieuprawnione i stosować środki ochrony kryptograficznej;
- za bezpieczeństwo komputerów przenośnych, urządzeń mobilnych, nośników danych odpowiadają ich użytkownicy. Zabrania się pozostawiania nośników danych bez nadzoru osoby upoważnionej.
- Jakie są kary za naruszenie RODO ?
Odpowiedź formalna:
Administrator danych, który naruszył RODO, podlega odpowiedzialności prawnoadministracyjnej (decyzje Prezesa UODO mogą obejmować kary pieniężne, a także różnego rodzaju nakazy mające na celu zapewnienie zgodności z RODO) oraz cywilnej (osoba, której dane dotyczą, ma prawo do odszkodowania za szkodę majątkową lub niemajątkową wynikłą z naruszenia RODO). Ponadto każda osoba, która nielegalnie przetwarza dane osobowe lub udaremnia przeprowadzenie kontroli przestrzegania przepisów o ochronie danych, podlega odpowiedzialności karnej, przewidzianej ustawą o ochronie danych osobowych. Ostatnim rodzajem odpowiedzialności jest odpowiedzialność dyscyplinarna pracownika naruszającego zasady ochrony danych osobowych. Pracownik, który dopuścił się tego typu naruszeń, podlega upomnieniu, naganie lub nawet zwolnieniu z własnej winy.
Odpowiedź praktyczna:
Prezes UODO może nałożyć karę pieniężną do 20 mln euro lub 4% obrotu za najpoważniejsze naruszenia, m.in. zasad przetwarzania danych, praw osób, których dane dotyczą, lub niestosowanie się do nakazów organu nadzorczego, a za pozostałe naruszenia – do 10 mln euro lub 2% obrotu, w zależności od tego, która kwota jest wyższa. Poza karami pieniężnymi Prezes UODO może wydawać nakazy związane z przywróceniem zgodności z RODO, a nawet nakazać ograniczenie przetwarzania wyłącznie do przechowywania, co może zatamować proces biznesowy i być bardziej dotkliwe niż kara pieniężna.
Ponadto pracownik, który narusza RODO, powinien liczyć się także z odpowiedzialnością odszkodowawczą w przypadku pozwu, karną w przypadku zawiadomienia do prokuratury lub dyscyplinarną w przypadku niestosowania się do wewnętrznych polityk i procedur.
- Kiedy i w jaki sposób można dokonać przeglądu służbowej skrzynki pracownika ?
W sytuacji, gdy pracownik nie ma możliwości/ woli przekazania pracodawcy danych związanych z wykonywaną pracą należy pamiętać, że dane te stanowią własność pracodawcy, a nie pracownika. Pracodawca jest uprawniony do wglądu w zawartość skrzynki pocztowej pracownika, przy czym z zachowaniem tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Zasadnym jest zrobienie notatki służbowej z tej czynności ze wskazaniem przyczyn takiego działania i pozyskanych ze skrzynki mailowej danych / informacji / dokumentów.