FAQ

ROZPORZĄDZENIE – RODO - FAQ
 
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679
 
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
 
Rozporządzenie o ochronie danych osobowych jest nowym prawem dotyczącym ochrony prywatności w Unii Europejskiej. Skonstruowano je tak, by każda osoba miała większą kontrolę nad własnymi danymi osobowymi. Nowe przepisy zostały przyjęte w formie rozporządzenia unijnego, co oznacza, że od 25 Maja 2018r. są bezpośrednio stosowanie  przez wszystkie podmioty, przetwarzające dane osobowe na terytorium Unii Europejskiej. Jednocześnie RODO zastąpi obowiązującą obecnie ustawę z 29 sierpnia 1997r. o ochronie danych osobowych.
 
ZOBACZ ODPOWIEDZI NA NAJCZĘŚCIEJ ZADAWANE PYTANIA DOTYCZĄCE RODO
 

  1. Jak Politechnika Częstochowska przygotowuje się do zmian w ustawie o danych osobowych?
    Politechnika Częstochowska jako podmiot przetwarzający dane osobowe wdraża procedury i inne dokumenty zgodnie z nowym rozporządzeniem (RODO) tj. prowadzenie ewidencji osób upoważnionych, prowadzenie rejestru operacji przetwarzania danych, politykę monitorowania, procedurę reagowania na naruszenia ochrony danych, prowadzenie rejestru incydentów i naruszeń, realizowanie praw osób które dane dotyczą oraz szeroko rozumiane zabezpieczenie systemów informatycznych.
    Lista pytań
  2. Co to są dane osobowe? – są to wszystkie informacje odnoszące się do zidentyfikowanej  lub możliwej do zidentyfikowania osoby fizycznej.
  • osoba zidentyfikowana to taka, której tożsamość znamy i możemy ją odróżnić spośród innych osób.
  • osoba możliwa do zidentyfikowania to osoba której tożsamości nie znamy ale korzystając z dostępnych nam środków, możemy ją poznać. 
Na przykład:
  • dane osobowe pracownika w przypadku zatrudnienia na podstawie kodeksu pracy które przetwarza pracodawca – to  osoba zidentyfikowana.
  • chcemy wejść w stosunek prawny z jakimś zewnętrznym kontrahentem, posiadając jego numer ewidencyjny w CEIDG lub KRS – osoba możliwa do zidentyfikowania na podstawie tego numeru.
Należy pamiętać że dane osobowe odnoszą się jedynie do osób fizycznych ponieważ osoby prawne nie mają własnych danych osobowych np. 
  • Nazwa FIRMY XYZ Sp. z.o.o nie stanowi danych osobowych, natomiast informacja Marek Nowak, pracownik firmy XYZ Sp. z.o.o już tak.

Lista pytań

  1. Kategorie danych według RODO:
  • dane osobowe zwykłe, tj. imię, nazwisko, adres, PESEL 
  • dane osobowe szczególnie chronione (dawniej wrażliwe) – są to kategorie danych, które wymagają szczególnej ochrony tj.: 
  • pochodzenie rasowe lub etniczne
  • poglądy polityczne
  • przekonania religijne lub światopoglądowe
  • przynależność do związków zawodowych
  • dane genetyczne oraz dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Lista pytań

  1. Kto jest Administratorem Danych Osobowych (ADO)?
Administratorem Państwa danych osobowych w Politechnice Częstochowskiej jest Politechnika Częstochowska reprezentowana przez Jego Magnificencję Rektora, z siedzibą przy ul. Dąbrowskiego 69, 42-201 Częstochowa.

Lista pytań

  1. Kto jest Inspektorem Danych Osobowych (IODO)?
Administrator Danych Osobowych w celu prowadzenia nadzoru nad przestrzeganiem ochrony danych osobowych na terenie Politechniki Częstochowskiej wyznaczył Inspektora Danych Osobowych (IODO) którym jest: dr. inż. Justyna Żywiołek 
 
Siedziba IODO:
42-200 Częstochowa
ul. Akademicka 5
tel.: 34 32 50 471
Wszystkie pytania i wątpliwości prosimy zgłaszać telefoniczne, e-mailowo lub bezpośrednio w siedzibie IODO. Po analizie kwestii problematycznej, IODO udzieli Państwu wyjaśnień i zaproponuje kierunek działania zgodnie z RODO. Proszę jednak pamiętać że IODO jest ekspertem w zakresie ochrony danych osobowych oraz znajomości Rozporządzenia ( RODO ) zatem wszystkie kierowane sprawy powinny mieć związek z omawianą materią.

Lista pytań

  1. Kto jest Administratorem Sieci Informatycznych(ASI) i za co jest odpowiedzialny.
Administrator Sieci Informatycznych jest odpowiedzialny za nadzorowanie bezpieczeństwa przetwarzania danych w systemach informatycznych. Jego najważniejszymi obowiązkami są:  
  • zapewnienie bezpieczeństwa w uczelnianych systemach informatycznych oraz czuwanie nad ich prawidłowym funkcjonowaniem.
  • tworzenie kopii zapasowych.
  • zapewnienie bezpiecznego przepływu danych. 
Rektor PCz w zarządzeniu nr 129/2018 powołał na stanowisko Administratora Sieci Informatycznych (ASI) kierownika Uczelnianego Centrum Informatycznego którym jest inż. Piotr Kupczak
Siedziba ASI:
42-200 Częstochowa
ul. Dąbrowskiego 69
tel.: 34 325 02 50

Lista pytań

  1. Czy dostępne są wzoru dokumentów? 

Na oficjalnej stronie Politechniki Częstochowskiej powstała zakładka RODO w której na bieżąco zamieszczane są niezbędne informacje związane z przetwarzaniem danych osobowych na terenie uczelni, między innymi:

  • podstawowe informację dotyczące RODO na terenie PCZ
  • przewodniki postępowania dla pracowników PCZ oraz dla Studentów.
  • zalecenia
  • wzory najczęściej używanych dokumentów
  • FAQ
  • klauzule informacyjne
  • prawo (zakładka dostępna jedynie z serwera uczelni)

Lista pytań

  1. Czym jest przetwarzanie danych?
Przetwarzanie danych osobowych oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób papierowy lub za pomocą sprzętów komputerowych tj.:
  • zbieranie
  • utrwalanie
  • organizowanie
  • porządkowanie 
  • przechowywanie
  • adaptowanie
  • modyfikowanie
  • pobieranie
  • przeglądanie
  • ujawnianie poprzez przesłanie
  • rozpowszechnianie lub innego rodzaju udostępnianie
  • dopasowywanie lub łączenie
  • ograniczanie
  • usuwanie oraz niszczenie

Lista pytań

  1. Kiedy przetwarzanie danych osobowych jest zgodne z RODO?

Przetwarzanie danych osobowych jest dozwolone, gdy spełniony jest przynajmniej jeden z kilku czynników;

  • przetwarzanie odbywa się na podstawie wyraźnej i świadomej zgody osoby, której dane dotyczą w jednym lub większej liczbie określonych celów
  • przetwarzanie jest niezbędnym warunkiem do wykonania umowy, której stroną jest osoba której dane dotyczą
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przed administratora lub stronę trzecią
  • osoba przetwarzająca dane osobowe musi posiadać ważne upoważnienie ADO
  • praca na danych osobowych musi odbywać się przy wdrożeniu odpowiednich środków zabezpieczających; organizacyjnych, informacyjnych i informatycznych.

Lista pytań

  1. Jakie prawa przysługują osobom, które udostępniają swoje dane osobowe:
  • żądanie dostępu do swoich danych – osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora informacji dot. jakie to są dane np. cel, kategoria, informację o odbiorcach, planowany okres przechowywania itp.
  • sprostowanie swoich danych osobowych – osoba której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych które uzna za nieprawdziwe lub nieaktualne.
  • usunięcie lub ograniczenie przetwarzania danych osobowych „prawo do bycia zapomnianym” – osoba której dane dotyczą ma prawo żądać niezwłocznego usunięcia dotyczących jej danych a administrator ma obowiązek bez zbędnej zwłoki usunąć te dane jeżeli nie występuje nadrzędny interes do przetwarzania danych osobowych.
  • przenoszenia danych – osoba której dane dotyczą ma prawo prosić administratora o przeniesienie jej danych osobowych do innego podmiotu. Administrator nie musi przenosić danych osobowych o ile jest to technicznie niemożliwe
  • wyrażenie/odwołanie zgody na przetwarzanie danych osobowych – osoba której dane dotyczą w każdej chwili może udzielić lub cofnąć zgodę na przetwarzanie danych które jej bezpośrednio dotyczą

Lista pytań

  1. Co to jest obowiązek informacyjny?

Jest to obowiązek który zobowiązuje Administratora Danych Osobowych do udzielenia szeregu informacji osobie, której dane osobowe będą przetwarzane:

  • dane identyfikacyjne ADO ( Administrator Danych Osobowych)
  • dane identyfikacyjne IODO( Inspektor Ochrony Danych Osobowych) i ASI ( Administrator Systemów Informatycznych)
  • cel i zakres przetwarzania danych osobowych
  • termin przechowywania danych osobowych
  • podstawa prawna  przetwarzania danych osobowych
  • osoba której dane dotyczą musi zostać poinformowana o możliwości modyfikacji przetwarzanych danych oraz o prawie do ich usunięcia
  • możliwość złożenia skargi do organu nadzorczego
Obowiązek ten ma na celu uświadomić osobę, której dane dotyczą, o tym na co się godzi wyrażając zgodę na przetwarzanie swoich danych osobowych. Obowiązek ten wypełnia klauzula informacyjna, która została umieszczona w załączniku na stronie PCZ w zakładce RODO.
Lista pytań
  1. Upoważnienie do przetwarzania danych 
Upoważnienie to nic innego jak dokument, który umożliwi Państwu wykonanie określonych czynności. W przypadku RODO będziemy mówić o upoważnieniu do przetwarzania danych osobowych. Upoważnienie dla pracowników wydaje Administrator Danych Osobowych jedynie w celu i w zakresie niezbędnym do wykonywania powierzonych Państwu zadań. Upoważnienie powinno zawierać również przybliżony termin ważności a w przypadku potrzeby rozszerzenia Państwa uprawnień, niezbędne będzie wydanie nowego dokumentu, na te nowe okoliczności. O wydanie upoważnienia dla pracownika występuje do ADO jego przełożony.
  1. Czym jest zgoda na przetwarzanie danych?
Zgoda na przetwarzanie danych osobowych powinna być:
  • dobrowolna - oznacza to, że nie może zachodzić ryzyko wprowadzenia w błąd, zastraszenia lub znaczących negatywnych konsekwencji dla osoby, której dane dotyczą
  • konkretna - zgoda musi określać dokładne cele przetwarzania
  • świadoma - zgoda powinna odnosić się do konkretnej rzeczy oraz powinna obejmować tylko określone dane osobowe w sposób jasny i przejrzysty
  • jednoznaczna- jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych.
Zgoda najczęściej przyjmuje formę oświadczenia woli w wersji papierowej lub elektronicznej z dokładnym określeniem zakresu oraz celu przetwarzania. Należy pamiętać że osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę a wycofanie to musi być równie łatwe jak jej wyrażenie oraz nie może pociągać za sobą żadnych negatywnych konsekwencji.
  1. W jakich sytuacjach możemy mówić o naruszeniu i co w takich sytuacjach powinniśmy zrobić?
Naruszenie zasad ochrony danych osobowych to nic innego jak pojedyncze zdarzenie lub seria zdarzeń która w skutkach może doprowadzić do zagrożenia poufności, dostępności i integralności danych osobowych osoby fizycznej której dane dotyczą. Należy zwrócić uwagę że w dzisiejszych czasach na naruszenie najbardziej podatne będą sprawy dotyczące szeroko rozumianych systemów informatycznych. 
Na przykład: 
  • ujawnienie danych osobowych osobie nieuprawnionej – będzie to sytuacja w której osoba z zewnątrz, nie posiadająca stosownego upoważnienia do pracy na konkretnych danych osobowych uzyska do nich dostęp.
  • nietrwałe usuwanie dokumentacji która zawiera dane osobowe – zaleca się każdorazowo niszczyć dokumenty w niszczarce.
  • zastanie w pomieszczeniu w którym przetwarzane są dane osobowe okna otwartego na oścież, wyłamania zamków, ewidentnych śladów ingerencji osób postronnych.
  • każdorazowe zagubienie dokumentów lub przenośnych nośników danych (pendrive)
  • wyciek danych podczas rozmowy telefonicznej wynikający z niezapoznaniem się przez pracownika z wymogami RODO.
  • w momencie pracy na komputerach zauważyli Państwo błędne działanie systemu, które może być spowodowane nielegalnym oprogramowaniem tj. atak wirusa lub trojana. Ważne jest aby nie korzystali Państwo ze służbowych komputerów w celach innych niż wykonywanie zadań zawodowych. Każda niezabezpieczona witryna lub pobrane pliki mogą doprowadzić do zainfekowania sprzętu.
  • wysyłanie nieszyfrowaną pocztą elektroniczną danych osobowych.
  • niezabezpieczanie haseł dostępu do komputerów lub skrzynek pocztowych.
Każdorazowo muszą się Państwo zastanowić czy w wynikłym zdarzeniu doszło do naruszenia ponieważ nie każda sytuacja nim będzie. Na przykład podczas pracy przez okno wyleciała nam kartka zawierająca listę osób które w tym miesiącu kupowały kawę do biura. Kartka oznaczona jest samymi imionami więc w tym przypadku nie dojdzie do naruszenia ponieważ nie będzie możliwe zidentyfikowanie poszczególnych osób. Ponadto treść dokumentu nie stwarza żadnego zagrożenia dla danych osobowych. Natomiast jeżeli przez to samo okno, wiatr zabierze nam listę studentów którym przysługuje świadczenie socjalne będzie to znaczne naruszenie i pracownik zobowiązany jest je zgłosić.
 
Zgodnie z RODO w przypadku naruszenia podmiot przetwarzający czyli Państwo pracujący na danych osobowych po stwierdzeniu naruszenia, bez zbędnej zwłoki zgłaszacie to administratorowi lub inspektorowi danych osobowych. Przekazując informację w/w podmiotom w miarę własnych możliwości i wiedzy powinni Państwo przekazać również opis zaistniałego incydentu oraz określić przybliżoną liczbę osób których prawa mogły zostać naruszone.
  1. Jak ma przebiegać kontrola organu i co należy wykazać?
Podczas kontroli UODO ( Urząd Ochrony Danych Osobowych) koniecznym będzie wykazanie zgodności przetwarzania z RODO, a w szczególności:
  • czy dane zostały pozyskane i przetwarzane są na podstawie zgód od osób których dotyczą.
  • osoby przetwarzające dane mają do tego pisemne upoważnienie z prawidłowym zakresem i określonym celem przetwarzania.
  • czy prowadzony jest rejestr incydentów
  • czy zachowany jest 72h termin zgłaszania naruszeń do UODO.
Przed przeprowadzeniem kontroli organ zobowiązany jest wysłać pisemną informację odnośnie planowanej kontroli. Kontrola polega na wizycie kontrolerów z UODO, którzy sprawdzają dokumentację i sposób postępowania z danymi osobowymi oraz wprowadzone zabezpieczenia.
  1. Co to jest zewnętrzny nośnik danych?
Jest to nic innego jak przedmiot bądź urządzenie na którym możliwe jest zapisanie informacji.
Zewnętrzny nośnik danych powinien umożliwiać przechowywanie, odtwarzanie oraz przenoszenie informacji. Najpopularniejszymi nośnikami danych dostępnymi na rynku są:
  • Płyty CD/DVD
  • Pendrive
  • Dysk przenośny 
  • Laptop
  • Karty pamięci 
  • Papier

Lista pytań

  1. Czym jest zasada minimalizacji ?
Jest to  zasada która zobowiązuje ADO oraz podmiot przetwarzający do zbierania tylko takich danych osobowych, które są niezbędne do realizacji zamierzonego celu przetwarzania. Chodzi o to że zbieramy minimum informacji które są nam potrzebne.
  1. Czym jest zasada adekwatności?
W myśl zasady adekwatności administrator danych osobowych powinien przetwarzać tylko takie dane, które bez których realizacja prawnie uzasadnionego celu przetwarzania byłaby niemożliwa. Ważne jest aby zakres tych danych osobowych był ustalony najpóźniej w momencie zbierania.