I. Ogólne informacje o RODO w Uczelni Lingwistyczno-Technicznej w Przasnyszu, Wydział Filologiczny w Świeciu
1. „Dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
2. RODO stosuje się do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz w przypadku przetwarzania w sposób inny niż zautomatyzowany, np. w formie tradycyjnej – papierowej, jeżeli dane stanowią lub mogą stanowić część zbioru. Przykładami takich zbiorów danych w szkole są: indeksy, listy zatrudnionych pracowników, księga ewidencji, księga studentów, protokoły, karty przebiegu studenta, które są prowadzone zarówno w systemie informatycznym, jak i przetwarzane tradycyjnie.
3. Administratorem danych osobowych studentów, wykładowców pracowników Uczelni jest ten, kto decyduje o celach i sposobach przetwarzania tych danych, czyli szkoła, którą reprezentuje rektor Uczelni. Administratorem danych osobowych, zwanym dalej „Administratorem” jest Uczelnia Lingwistyczno-Techniczna w Przasnyszu, Wydział Filologiczny w Świeciu reprezentowane przez Rektora dr Elżbietę Sternal – Inspektor Danych Osobowych.
4. Przetwarzanie danych osobowych w Uczelni Lingwistyczno-Technicznej w Przasnyszu, Wydział Filologiczny Świeciu – dotyczy każdej czynności wykonywanej na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, np.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie danych, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie, łączenie, ograniczanie, usuwanie lub niszczenie danych.
5. Za zabezpieczenie przetwarzania danych osobowych w systemie informatycznym odpowiada administrator systemów informatycznych.
6. Administrator Danych powołuje Inspektora Ochrony Danych w celu nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych w Uczelni Lingwistyczno-Technicznej w Przasnyszu, Wydział Filologiczny Świeciu. Przepisy art. 37, 38 i 39 RODO określają zasady powołania IOD, jego status oraz zadania i obwiązki.
7. Przez pojęcie naruszenia ochrony danych należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO). Aby zaistniało naruszenie muszą być spełnione łącznie trzy przesłanki: naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie; skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych; naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
8. Dane kontaktowe Administratora: Uczelnia Lingwistyczno-Technicznej w Przasnyszu, Wydział Filologiczny Świeciu – ul. Chmielniki 2A, 86-100 Świecie, e-mail: kontakt@ultswiecie.edu.pl, tel. +48 (52) 333 02 70. Inspektor Ochrony Danych (IOD) jest Elżbieta Sternal – kontakt za pośrednictwem wysłanej wiadomości na adres skrzynki pocztowej: elzbietasternal@wp.pl.
9. Do Inspektora Ochrony Danych należy kierować wyłącznie sprawy dotyczące przetwarzania Państwa danych przez Uczelnię Lingwistyczno-Techniczną w Przasnyszu, Wydział Filologiczny Świeciu w tym realizacji Państwa praw.
II. Zasady przetwarzania danych osobowych w Uczelni Lingwistyczno-Technicznej w Przasnyszu, Wydział Filologiczny w Świeciu
1. Celem RODO jest zapewnienie każdej osobie możliwości ochrony jej praw i wolności oraz zapewnienie kontroli nad przetwarzaniem należących do niej danych. W tym celu mogą Państwo skorzystać ze swoich praw:
a) prawa dostępu do danych – osoba, której dane dotyczą ma prawo do otrzymania informacji m.in. jakie jej dane Administrator przetwarza, w jakich celach są one przetwarzane, oraz uzyskania ich kopii. Mogą Państwo zwrócić się do Administratora z wnioskiem o otrzymanie informacji (wniosek dostępny w siedzibie Administratora).
b) prawa do usunięcia danych (prawo do bycia zapomnianym) – osoba, której dane dotyczą może wskazać zakres i okoliczności uzasadniające wnioskowane usunięcie danych, np. dane nie są już niezbędne do realizacji celów, dla których zostały zebrane, a nie występują podstawy prawne do dalszego przetwarzania danych, dane są przetwarzane niezgodnie z prawem.
c) prawo do usunięcia danych może być zrealizowane w przypadkach, gdy Administrator nie ma podstaw prawnych do przetwarzania danych. Zwracamy uwagę, że jeżeli przetwarzanie danych jest niezbędne realizacji obowiązku prawnego to dane osobowe nie mogą zostać usunięte.
d) prawa do przenoszenia danych – osoba, której dane dotyczą ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła Administratorowi. Wniosek o przeniesienie danych może złożyć osoba, której dane dotyczą. Informacja przekazywana będzie w formie pliku przekazywanego na zabezpieczonej hasłem płycie CD.
e) prawa do ograniczenia przetwarzania danych – osoba, której dane dotyczą wskazuje, że wystąpiły przesłanki określone w art. 18 RODO dla ograniczenia przetwarzania jej danych np. Administrator nie potrzebuje pewnych danych, nie występują przesłanki do dalszego ich przetwarzania a osoba, której dane dotyczą wnosi o wstrzymanie operacji na danych lub nieusuwanie danych. Każdy wniosek o ograniczenie przetwarzania danych będzie wymagał indywidualnego rozpatrzenia pod względem istniejących podstaw dla przetwarzania danych, celu i zakresu ich przetwarzanych.
f) prawo do sprostowania danych – w każdym momencie, gdy zajdzie taka potrzeba osoba, której dane dotyczą informuje Administratora o zmianie swoich danych osobowych. Mogą Państwo zwrócić się do Administratora z prośbą o sprostowanie nieprawidłowych, czy uzupełnienie niekompletnych danych osobowych.
g) prawo sprzeciwu – w każdym momencie można złożyć sprzeciw wobec przetwarzania danych. Sprzeciw wobec przetwarzania danych można złożyć np. w placówce Administratora, listownie na adres Administratora. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. To sam Administrator odpowiada za wykazanie, że jego ważne prawnie uzasadnione interesy mają nadrzędny charakter wobec interesów lub podstawowych praw i wolności osoby, której dane dotyczą. Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
h) prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, jeżeli uważają Państwo, że przetwarzanie Państwa danych osobowych narusza przepisy prawa.
2. Pani/Pana dane osobowe będą przetwarzane w celu:
– realizacji procesu kształcenia;
– dokumentacji przebiegu nauczania;
-wykonania przez Administratora obowiązków informacyjnych, archiwizacyjnych i statystycznych wynikających z ustawą Prawo o oświatowe i ustawa o systemie oświaty;
– przechowywane są przez okres wymagany przez Prawo o oświatowe i ustawę o systemie oświaty;
– dydaktycznych, wychowawczych i opiekuńczych oraz prowadzenia dokumentacji szkolnej oraz gromadzenia danych w POL-on;
3. W niektórych sytuacjach mamy prawo przekazać dalej Pani/Pana dane – jeśli będzie to konieczne, aby Administrator mógł świadczyć usługi, przy czym dane te będą przekazywane wyłącznie osobom i podmiotom, których Administrator upoważni i którym zleci czynności przetwarzania danych, lub też wynika z obowiązku ustawowego administratora podanie danych osobowych jest dobrowolne, jednak konieczne do realizacji celów, do jakich zostały zebrane. Niepodanie danych może skutkować niemożliwością realizacji tych celów. Podanie danych osobowych w zakresie wymaganym ustawą Prawo oświatowe i ustawa o systemie oświaty jest obligatoryjne.
4. Uczelnia Lingwistyczno-Techniczna w Przasnyszu, Wydział Filologiczny w Świeciu podczas przetwarzania danych osobowych przestrzega następujących zasad, zgodnie z którymi dane osobowe są:
a. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość);
b. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu);
c. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych);
d. prawidłowe i w razie potrzeby uaktualniane, a dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, muszą być niezwłocznie usunięte lub sprostowane (prawidłowość);
e. przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (ograniczenie przechowywania);
f. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).
5. Podczas przetwarzania danych osobowych przez Uczelnię Lingwistyczno-Techniczną w Przasnyszu, Wydział Filologiczny w Świeciu mowa w art. 13 i 14 RODO poprzez:
a. zabezpieczenie danych osobowych przez zastosowanie odpowiednich środków technicznych i organizacyjnych, tak aby dane te nie były udostępniane osobom nieupoważnionym oraz aby dane te były chronione przed zniszczeniem albo utratą (np. poprzez szyfrowanie danych, pseudonimizację, zapewnienie integralności i poufności danych);
b. respektowanie praw osób, których dane są przetwarzane, np. udzielania informacji co do celów, sposobów, źródeł, zakresu przetwarzania danych osobowych, spełniania żądań sprostowania, uaktualnienia albo uzupełnienia czy też czasowego wstrzymania ich przetwarzania;
c. wyznaczenia inspektora ochrony danych.
6. Przetwarzanie danych osobowych zwykłych w Uczelni Lingwistyczno-Technicznej w Przasnyszu, Wydział Filologiczny w Świeciu jest zgodne z prawem wyłącznie wtedy, gdy:
a. osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie;
b. „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
c. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub jest konieczne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
d. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
e. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
f. przetwarzanie jest niezbędne do wykonywania zadania realizowanego w interesie publicznym;
g. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub prawa i wolności osoby, której dane dotyczą. Na przesłankę prawnie uzasadnionego interesu realizowanego przez administratora lub osobę trzecią nie mogą się powołać organy publiczne w ramach wykonywania swoich zadań.
h. zgoda na przetwarzanie danych osobowych może być w dowolnym momencie wycofana. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej 1.5
i. Każda z wyżej wymienionych przesłanek ma charakter autonomiczny i może stanowić samodzielną podstawę przetwarzania danych osobowych. W szkołach i placówkach oświatowych najczęściej przetwarzanie danych odbywa się na podstawie przepisów prawa. W takiej sytuacji nie ma konieczności wyrażenia zgody przez osobę, której dane dotyczą. O zgodę na przetwarzanie danych osobowych należy prosić jedynie wtedy, gdy nie istnieją inne przesłanki przetwarzania danych.
7. Uczelnia Lingwistyczno-Techniczna w Przasnyszu, Wydział Filologiczny w Świeciu w ramach określonych tymi przepisami może przetwarzać dane osobowe: studentów, wykładowców, pracowników niebędących wykładowcami.
8. W Uczelni Lingwistyczno-Technicznej w Przasnyszu, Wydział Filologiczny w Świeciu dane osobowe przetwarzane są między innymi w zakresie:
a. imię i nazwisko,
b. data urodzenia,
c. numer PESEL,
d. inne przypisane numery (numer, seria dowodu, paszportu),
e. adres zamieszkania/zameldowania,
f. adres e-mail (o ile bazuje na imieniu i nazwisku danej osoby),
g. numer telefonu,
h. szczególne czynniki określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby,
i. wizerunek,
9. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Danymi osobowymi będą zatem takie dane, które pozwalają na natychmiastowe określenie tożsamości konkretnej osoby oraz takie które przy pewnym nakładzie kosztów, czasu i działań są wystarczające do jej ustalenia. Przykładem pojedynczej informacji stanowiącej daną osobową jest natomiast numer PESEL, który zgodnie z art. 15 ust. 2 ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz.U. z 2015 r. poz. 388) jest 11-cyfrowym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do elektronicznej kontroli poprawności nadanego numeru ewidencyjnego. Można więc stwierdzić, że numer PESEL z definicji stanowi daną osobową, a jej przetwarzanie podlega wszelkim rygorom przewidzianym w RODO.
10. W Uczelni Lingwistyczno-Technicznej w Przasnyszu, Wydział Filologiczny w Świeciu są przetwarzane również dane szczególnych kategorii:
a. dane o stanie zdrowia;
b. dane ujawniające pochodzenie rasowe lub etniczne;
c. poglądy polityczne;
d. przekonania religijne lub światopoglądowe;
e. przynależność do związków zawodowych;
f. dane genetyczne, biometryczne.
III. Zgłoszenie naruszenia danych osobowych
1. Zgłoszenie naruszenia powinno zawierać następujące informacje:
a. charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane zostały naruszone,
b. dane Inspektora Ochrony Danych – imię i nazwisko oraz dane kontaktowe lub oznaczenie innego punktu kontaktowego,
c. możliwe konsekwencje naruszenia ochrony danych osobowych,
d. opisywać środki techniczne i organizacyjne zastosowane lub proponowane przez Administratora Danych w celu zaradzenia naruszeniu ochrony danych osobowych.
2. Administrator Danych jest zobowiązany do dokumentowania naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Dokumentacja ta musi pozwolić Prezesowi Urzędu na weryfikowanie prawidłowości postępowania administratora w tym zakresie. Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
3. Art. 34 RODO określa sposób zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.
4. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator Danych bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o zaistniałym naruszeniu.
5. Zawiadomienie musi być napisane prostym i zrozumiałym językiem, opisywać charakter naruszenia oraz zawierać informacje podane Prezesowi Urzędu w zgłoszeniu naruszenia.
6. Zawiadomienie osoby, której naruszenie dotyczy, nie jest wymagane, gdy:
a. administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie,
b. administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
c. wymagałoby niewspółmiernie dużego wysiłku – w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
IV. Zgłoszenie naruszenia powinno zawierać następujące informacje:
• charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane zostały naruszone,
• dane Inspektora Ochrony Danych – imię i nazwisko oraz dane kontaktowe lub oznaczenie innego punktu kontaktowego,
• możliwe konsekwencje naruszenia ochrony danych osobowych,
• opisywać środki techniczne i organizacyjne zastosowane lub proponowane przez Administratora Danych w celu zaradzenia naruszeniu ochrony danych osobowych.
Administrator Danych jest zobowiązany do dokumentowania naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Dokumentacja ta musi pozwolić Prezesowi Urzędu na weryfikowanie prawidłowości postępowania administratora w tym zakresie.
Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
Art. 34 RODO określa sposób zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator Danych bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o zaistniałym naruszeniu. Zawiadomienie musi być napisane prostym i zrozumiałym językiem, opisywać charakter naruszenia oraz zawierać informacje podane Prezesowi Urzędu w zgłoszeniu naruszenia.
Zawiadomienie osoby, której naruszenie dotyczy, nie jest wymagane, gdy:
• administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie,
• administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
• wymagałoby niewspółmiernie dużego wysiłku – w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób