Polityka Bezpieczeństwa Informacji
Polityka Bezpieczeństwa Informacji
Podstawa prawna: · Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) obowiązuje w Polsce od dnia 25 maja 2018 roku. · Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r., poz. 1000).
I. Administrator Danych Osobowych
Administratorem danych osobowych przetwarzanych w Państwowej Wyższej Szkole Zawodowej w Elblągu jest Państwowa Wyższa Szkoła Zawodowa w Elblągu reprezentowana przez Jego Magnificencję Rektora, z siedzibą przy ul. Wojska Polskiego 1, 82-300 Elbląg
Przetwarzanie danych osobowych jest zgodne z wymogami prawa wówczas, gdy:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Operacje przetwarzania danych osobowych w PWSZ w Elblągu związane są z:
- działalnością dydaktyczną (rekrutacja na studia, kształcenie studentów I i II stopnia, kształcenie kadry naukowej),
- zarządzaniem zasobami ludzkimi,
- działalnością naukowo-badawczą,
- obsługą finansowo-księgową,
- innymi obszarami (np. biblioteka, promocja, korespondencja itp.).
W PWSZ w Elblągu przetwarzane są dane osobowe:
- pracowników i ich rodzin,
- osób, z którymi zawierane są umowy cywilnoprawne,
- kandydatów na studia, do pracy itp.,
- studentów (wszystkich stopni),
- osób korzystających z Biblioteki PWSZ w Elblągu,
- uczestników studiów podyplomowych, kursów i szkoleń,
- cudzoziemców podejmujących studia oraz uczestniczących w badaniach naukowych,
- osób biorących udział w postępowaniach konkursowych,
- uczestników badań naukowych,
- uczestników konferencji, projektów, seminariów,
- absolwentów,
- byłych pracowników uczelni.
II. Definicje
Podstawowe definicje
1. dane osobowe
oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”) (art. 4, pkt. 1, RODO). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:
- imię i nazwisko,
- numer identyfikacyjny (np. PESEL, numer i seria dowodu osobistego),
- dane o lokalizacji,
- imiona rodziców,
- numer telefonu,
- identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Czy określone dane są danymi osobowymi, zależy od kontekstu sytuacji!
2. przetwarzanie
oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany (art. 1, pkt. 2, RODO). Takimi operacjami są: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
3. ograniczenie przetwarzania
oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;
4. profilowanie
oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
5. pseudonimizacja
oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
6. zbiór danych
oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
7. administrator
oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
8. podmiot przetwarzający
oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
9. odbiorca
oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
10. strona trzecia
oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;
11. zgoda
osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
12. naruszenie ochrony danych osobowych
oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
13. dane genetyczne
oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
14. dane biometryczne
oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
15. dane dotyczące zdrowia
oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;
III. Obowiązek informacyjny
Przed rozpoczęciem przetwarzania danych osobowych zachodzi konieczność udzielenia osobie, której dane mają być przetwarzane, wszystkich informacji z tym związanych (w przypadku danych uzyskanych w sposób niebezpośredni należy poinformować taką osobę w rozsądnym terminie, zależącym od okoliczności).
Obowiązek informacyjny jest podstawowym obowiązkiem wynikającym z RODO, dla:
- zapewnienia przejrzystości przetwarzania danych osobowych,
- zapewnienia właścicielowi danych osobowych możliwości kontroli nad zakresem udostępnianych administratorowi danych i weryfikacji czy przetwarzane są one zgodnie z wymogami prawa.
Obowiązek informacyjny powinien być spełniony poprzez klauzulę informacyjną zawierającą podstawowe elementy:
- dane kontaktowe inspektora ochrony danych,
- podstawę prawną przetwarzania danych i organ nadzorczy nad poprawnością tego przetwarzania,
- cel przetwarzania danych,
- informacje, że podstawą przetwarzania danych jest wyłącznie dobrowolna zgoda podmiotu, którego dane dotyczą,
- okres w jakim dane będą przechowywane (konkretny termin lub podstawę ustalenia czasu, gdy podanie konkretnej daty nie jest możliwe),
- informacje o prawie podmiotu do: przenoszenia danych, cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem jeżeli przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1 lit a) RODO) lub szczególnej kategorii (art. 9 ust. 2 lit a) RODO),
- informacje o prawie do wniesienia skargi do organu nadzorczego,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
- informacje o zamiarze przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (jeśli będzie to mieć miejsce).
Klauzula informacyjna może być przedmiotem kontroli organu nadzorczego, a jej brak może zostać uznany za ciężkie naruszenie ochrony danych osobowych, za co grożą kary finansowe.