Download
slide1 n.
Skip this Video
Loading SlideShow in 5 Seconds..
dr hab. Mariusz Jagielski PowerPoint Presentation
Download Presentation
dr hab. Mariusz Jagielski

dr hab. Mariusz Jagielski

166 Views Download Presentation
Download Presentation

dr hab. Mariusz Jagielski

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Ochrona danych osobowych szkolenie dla pracowników administracji UŚ 17.XII.2013 Wydział Prawa i Administracji dr hab. Mariusz Jagielski

  2. DANE OSOBOWEto–zgodnie z art. 6.1 u.o.d.o.-wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

  3. Cecha charakterystyczna- brak anonimowości osoby, której dane dotyczą

  4. informacja będzie miała charakter osobowy:- jeżeli na jej podstawie możemy ustalić tożsamość osoby, do której się odnosi (dane identyfikujące)

  5. - jeżeli dotyczy ona osoby już zidentyfikowanej(dowolne dane dołączone do dokumentacji osoby zidentyfikowanej)

  6. Dane osobowe to też wizerunek i głos człowieka, w tym zarejestrowane na zdjęciach, nagraniach audio, nagraniach wideo i zapisane cyfrowo

  7. ZASADY PRZETWARZANIADANYCH OSOBWYCH

  8. Zasada legalizmu — dane wolno przetwarzać jedynie, gdy podmiot spełnia jedną z przesłanek przetwarzania danych osobowych

  9. + Zgoda osoby+ Przepis prawa+ Realizacja umowy+ Dobro publiczne+ Usprawiedliwiony cel administratora danychwystarczy by była spełniona jednadowolna z tych przesłanek

  10. Uniwersytet przetwarza większość danych na podstawieprzesłanki przepisuprawnego orazrealizacji umowy

  11. Jeśli chodzi o przetwarzanie danych studentów, to przesłanką uzupełniającą może być dobropubliczne. Tym dobrem jest edukacjapublicznaJeśli chodzi o realizowanie roszczeń w stosunku do studentów - właściwą przesłankę stanowi usprawiedliwionycel administratora.

  12. Zgodastudenta będzie więc potrzebna zupełnie wyjątkowo, w szczególności w sytuacji, gdy jego dane chcemy wykorzystywać w celach marketingowych(promocja Uniwersytetu).

  13. Zasada celowości przetwarzania — dane mogą być przetwarzane jedynie w oznaczonych, zgodnych z prawem, celach

  14. w przypadku UŚ zasadniczym celem jestrealizacja świadczenia edukacyjnego(celem uzupełniającym jestdochodzenie roszczeńz tytułu powyższej działalności)w pozostałych przypadkach celem powinno być realizowanie przepisów prawa

  15. Co do celu: a. można przetwarzać jedynie takie dane, które są adekwatne w stosunku do celu przetwarzaniab. dane wolno przetwarzać jedynie dla celu, dla którego zostały zebrane

  16. ad. a):Zasada minimalizmu — dane przetwarza się tylko wtedy i w takim zakresie, w jakim jest to konieczne do osiągnięcia celu

  17. ad. b):Zmiana celu jest możliwa jedynie wyjątkowo, gdy nowym celem mają być badanianaukowe, dydaktyczne, historyczne lub statystyczneZmiana celu na inny niż podane wyżej wymagaodrębnej przesłankiprzetwarzania danych.

  18. Zasada poufności danych — rozumie się przez to właściwość zapewniającą, że danenie są udostępniane nieupoważnionym podmiotom

  19. Obowiązuje zakaz podawania danych przez telefon – nigdy nie wiadomo kto jest po drugiej stroniepodawanie danych telefonicznie jest dopuszczalne, gdy wdrożono system identyfikujący rozmówcę lub mamy pewność z kim rozmawiamy

  20. Przekazywanie danych mailowojest dopuszczalne jedynie wtedy, gdy dane te są zaszyfrowaneAktualnie poczta UŚ nie zapewnia takiej funkcji W związku z powyższym nie należy przesyłać danych osobowych mailem nawet w korespondencji pomiędzy pracownikami UŚ upoważnionymi do przetwarzania danych

  21. Przekazywanie dokumentów w ramach Uniwersytetu powinno następować wyłącznie poprzez pracowników (kurierów)posiadających odpowiednie upoważnieniepowinno się wprowadzićsystem obiegu dokumentów, tak w ramach UŚ, jak i w ramach Wydziału

  22. udostępnianie danych - oznacza możliwość zapoznania się z ich treścią przez kogoś spoza UŚprzekazywanie danych w obrębie UŚnie stanowi udostępnienia danych – nie trzeba stosować rozwiązań o których poniżej

  23. do 7 marca 2011 obowiązywała szczególna procedura udostępniania danych(art. 29 u.o.d.o) aktualnie nie ma szczególnego przepisu, na podstawie którego udostępnia się dane osobowe

  24. Jeśli UŚ jest zobowiązany do przekazywana danych przez przepisy, to czyni to zgodnie z tymi przepisami (żadne szczególne wymagania nie są konieczne)np. przekazywanie danych do ZUS i Urzędów Skarbowych

  25. Jeśli do UŚ wystąpi podmiot uprawniony do uzyskania informacji na podstawie przepisów prawa to: 1. żądamy podania tego przepisu2. weryfikujemy czy składający wniosek jest podmiotem, za który się podaje (legitymujemy go, dzwonimy do instytucji, itd.)

  26. 3. Prosimy o akceptację pełnomocnika danych4. Ewidencjonujemy fakt udostępnienia danych 5. Udostępniamy daneUWAGA: obowiązuje zasada minimalizmu (podajemy tylko dane adekwatne do celu)

  27. UWAGA: gdy wnioskujący stwierdzi, że istniej konieczność niezwłocznego działania (np. policjant stwierdzi, że jest w trakcie pościgu lub chodzi o ratowanie życia lub zdrowia) udostępniamy dane niezwłocznie, ale:1. po wylegitymowaniu wnioskującego2. na podstawie pisemnego oświadczenia (jeśli to ostatnie jest niemożliwe, należy sporządzić notatkę służbową)

  28. Jeśli do UŚ wystąpi podmiot, którynie jest uprawniony do uzyskania informacji na podstawie przepisów prawa,to udostępnienie jest możliwe jedynie po spełnieniu dodatkowych wymogów

  29. 1. Cel przetwarzania nie ulega zmianie albo są nim badania naukowe, dydaktyczne, historyczne lub statystyczne2. Umożliwimy osobie, której dane dotyczą, wyrażenie sprzeciwu 3. Sprawdzimy podmiot, któremu udostępniamy dane (żądamy dokumentów potwierdzających kim jest i w jakim celu będzie dane wykorzystywać)

  30. Jeśli o dane prosi osoba, której dane dotyczą, to powyższa procedura nie obowiązuje.Osoba, której dane dotyczą, ma prawo dostępu do swoich danych i ich poprawiania.

  31. Jeśli w imieniu osoby, której dane dotyczą, występuje ktoś inny, to musimy mieć możliwość potwierdzenia, że podmiot danych wie o tym i zgadza się na przekazanie informacji. Dobrze taką informację gdzieś ogłosić!

  32. Obowiązek zabezpieczenia danych – polega na zastosowaniu środków mających uniemożliwić nieautoryzowaneudostępnienie, zmienienie lub zniszczenie danych

  33. Obowiązek zabezpieczenia danych jest realizowany poprzez:1) zastosowanie odpowiednich programów i narzędzi systemowych(poziom UŚ)2) wdrożenie odpowiednich procedur przetwarzania informacji(poziom Wydziałów)

  34. Obowiązki Wydziałów: - nadanieupoważnień do przetwarzania danych wszystkim, którzy mają dostęp do danych - prowadzenie ewidencji osób upoważnionych do przetwarzania danych (chodzi o to, by było wiadomo kto ma dostęp do jakich danych)

  35. zapoznanie pracowników przetwarzających dane z zasadami zawartymi w: a) polityce bezpieczeństwa informacji b) instrukcji zarządzania systemem informatycznym(te dokumenty muszą być faktycznie wdrożone)

  36. Inne obowiązkiWydziałów:

  37. zadbanie o prawidłowość danych - należy dołożyć staranności, by posiadane przez Wydział dane były prawdziwe i aktualne

  38. Trzeba wdrożyć odpowiednie procedury, które zagwarantują poprawność danychnp. zobowiązać studentów w umowie do aktualizacji informacji osobowych, wywieszenie informacji w dziekanacie, akcje informacyjne na początku lub końcu roku ak., itd.

  39. przestrzeganie dopuszczalnego czasu przechowywania danych - dane można przechowywać jedynie tak długo, jak długo jest to konieczne dla osiągnięcia celu przetwarzania (potem powinny zostać usunięte)

  40. UWAGA!Jeśli przepisy określają czas przechowywania pewnych kategorii danych, to należy postępować zgodnie z tymi przepisamiW takiej sytuacji jesteśmy związanicelemokreślonym przez te przepisy!

  41. Obowiązek informacyjny w związku ze zbieraniem danychZbieranie danych pierwotne wtórne

  42. Zbieranie pierwotne – to zbieranie bezpośrednio od osoby, której dane dotycząZbieranie wtórne – to zbieranie z dowolnego innego źródła

  43. a. Zbieranie pierwotne – podajemy informację z zakresu art. 24 u.o.d.o.

  44. Art. 24W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:1)adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2)celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3)prawie dostępu do treści swoich danych oraz ich poprawiania, 4)dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

  45. Nie trzeba podawać powyższych informacji w zakresie w jakim osoba, której dane dotyczą, już je zna

  46. MOMENT POINFORMOWANIA:w trakcie zbieraniaFORMA jest dowolna(można np. wywiesić informację na tablicy informacyjnej, można wpisać informację do kwestionariusza, przygotować informację na odrębnej kartce, itd.)

  47. a. Zbieranie wtórne – podajemy informację z zakresu art. 25 u.o.d.o.

  48. Art. 25W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:1)adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2)celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3)źródle danych, 4)prawie dostępu do treści swoich danych oraz ich poprawiania, 5) możliwości skorzystania z prawa żądania zaprzestania przetwarzania lub prawa sprzeciwu

  49. Nie trzeba podawać tych informacji, jeżeli: 1)osoba, której dane dotyczą, już je zna2)dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań informacyjnych wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, 3)dane są przetwarzane na podstawie przepisów prawa

  50. MOMENT POINFORMOWANIA: bezpośrednio po utrwaleniu danych.“Utrwalenie danych” to druga po zebraniu danych czynność przetwarzania – polega na zapisaniu danych w taki sposób, że umożliwia to korzystanie z nich