Ta strona używa cookie. Informacje o tym w jakich celach pliki cookie są używane znajdziesz w Polityce Prywatności.
W przeglądarce internetowej możesz określić warunki przechowywania i dostępu do cookies. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki.

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. oraz dyrektywy 95/46/WE ("RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku. Szczegóły znajdują się tutaj.

Zamknij
  

FAQ

1. Co to jest RODO?

RODO to skrót od: Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz do uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

RODO stanowi główny element europejskiej reformy ochrony danych osobowych. RODO powstało w związku z koniecznością ujednolicenia przepisów regulujących ochronę danych osobowych w państwach UE. Na pakiet reformujący ochronę danych osobowych w Unii Europejskiej składa się także Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW – tzw. dyrektywa policyjna. Do aktów prawnych kompleksowo regulujących ochronę danych osobowych można także zaliczyć będącą jeszcze w fazie prac legislacyjnych dyrektywę o e-prywatności.

2. Co to są dane osobowe?
Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane osobowe to wszystkie dane, które dotyczą konkretnej osoby fizycznej – od imienia i nazwiska, nr PESEL umieszczonego w dokumencie tożsamości, przez adres e-mail do danych umieszczonych na wizytówce. Danymi osobowymi może być także odcisk palca, adres IP, login do portalu internetowego czy numer telefonu.
 
3. Co to są szczególnie kategorie danych osobowych?
Szczególne kategorie danych osobowych to grupa danych sensytywnych (wrażliwych), które podlegają szczególnym zasadom przetwarzania i ochrony. Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane: genetyczne,  biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Przetwarzanie szczególnych kategorii danych osobowych jest zabronione, chyba, że m.in.:

  • osoba, której dane dotyczą wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych,
  • przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw administratora danych osobowych wynikających z przepisów prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,
  • przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości,
  • przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
     
4. Co to jest przetwarzanie danych osobowych?
Przetwarzanie danych osobowych to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Katalog czynności, które mogą składać się na przetwarzanie danych osobowych, ma charakter przykładowy – należy przyjąć, iż przetwarzanie danych osobowych to każda czynność, którą wykonujemy z wykorzystaniem danych osobowych.

5. Kto to jest Administrator Danych Osobowych (ADO)?

Administrator Danych Osobowych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Administratorem Danych Osobowych przetwarzanych na UR, jest Uniwersytet Rzeszowski z siedzibą przy al. Rejtana 16 C, 35-959 Rzeszów, reprezentowany przez JM Rektora. Uniwersytet Rzeszowski, jest Administratorem Danych Osobowych m.in.: studentów, doktorantów, pracowników, które wykorzystuje w celach określonych przepisami prawa.
 

6. Kto to jest Inspektor Ochrony Danych (IOD)?

Inspektor Ochrony Danych to wyznaczona przez Rektora Uniwersytetu Rzeszowskiego osoba, która została wpisana do prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych rejestru inspektorów ochrony danych osobowych, odpowiedzialna za nadzór i bezpieczeństwo danych osobowych przetwarzanych na Uniwersytecie Rzeszowskim.

Inspektor Ochrony Danych odpowiada za nadzór nad funkcjonowaniem i efektywnością procesów prawidłowego przetwarzania danych osobowych.
 

7. Kto to jest Administrator Systemu Informatycznego (ASI)?
Administrator Systemu Informatycznego to osoba odpowiedzialna za funkcjonowanie systemu informatycznego oraz wykonująca w nim czynności wymagające specjalnych uprawnień. Administrator Systemu Informatycznego jest odpowiedzialny za przestrzeganie zasad i wymagań bezpieczeństwa danych w systemie informatycznym.
 
8. Co to jest zarządzenie w sprawie ochrony danych osobowych na Uniwersytecie Rzeszowskim?
Zarządzenie w sprawie ochrony danych osobowych na Uniwersytecie Rzeszowskim to dokument, który kompleksowo reguluje ochronę danych osobowych na Uniwersytecie Rzeszowskim. Do zarządzenia załączono szereg załączników, które zawierają m.in.: instrukcje, procedury i wytyczne prawidłowego przetwarzania danych osobowych.
 
9. Co to jest legalne przetwarzanie danych osobowych?
Legalne przetwarzanie danych osobowych oznacza, przetwarzanie danych osobowych w zgodności z przepisami prawa.

Aby przetwarzanie danych osobowych odbywało się w zgodzie z prawem powinna zostać spełniona jedna z poniższych przesłanek:

  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie jej danych osobowych,
  • przetwarzanie jest niezbędne do wykonania umowy lub czynności przed jej zawarciem,
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, 
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej.
     
10. Co to jest obowiązek informacyjny?

Obowiązek informacyjny to obowiązek Administratora Danych Osobowych do poinformowania osoby, której dane dotyczą o:

danych identyfikujących Administratora Danych Osobowych,

danych kontaktowych Inspektora Ochrony Danych

przysługujących jej prawach,

celu przetwarzania danych osobowych,

okresie przechowywania danych osobowych,

podstawie przetwarzania danych osobowych,

możliwości złożenia skargi do organu nadzorczego (UODO),

Obowiązek informacyjny ma na celu uświadomić osobę, której dane dotyczą, o tym na co się godzi wyrażając zgodę na przetwarzanie swoich danych osobowych. Obowiązek ten jest realizowany najczęściej w postaci klauzul informacyjnych.
 

11. Jakie prawa posiadają osoby, których dane dotyczą?
Osoba, której dane dotyczą posiada prawo do:
  • żądania od Administratora Danych Osobowych dostępu do swoich danych,
  • sprostowania swoich danych osobowych,
  • usunięcia lub ograniczenia przetwarzania danych osobowych,
  • wniesienia sprzeciwu wobec przetwarzania,
  • przenoszenia danych,
  • wyrażenia/odwołania zgody na przetwarzanie danych osobowych.
     
12. Co to jest zgoda na przetwarzanie danych osobowych?
Zgoda na przetwarzanie danych osobowych to jedna z przesłanek legalności przetwarzania danych osobowych, rozumiana jako okazanie woli przez osobę, której dane dotyczą, którego treścią jest przyzwolenie na przetwarzanie danych osobowych. Zgoda na przetwarzanie danych osobowych musi być: dobrowolna, konkretna, świadoma i jednoznaczna.

Zgoda na przetwarzanie danych osobowych może przyjąć formę oświadczenia woli, wyrażonego w formie pisemnej lub elektronicznej np. klauzula zgody dołączona do kwestionariusza osobowego w formie papierowej lub umieszczenie klauzuli zgody w formularzu elektronicznym przy zastosowaniu checkboxa. Zgoda na przetwarzanie danych osobowych musi być wyrażona na jasno określony cel np. zgoda na przetwarzanie danych osobowych w procesie rekrutacji do pracy czy udziału w konkursie, konferencji itp.

13. Co to jest upoważnienie do przetwarzania danych osobowych?

Upoważnienie do przetwarzania danych osobowych to wydawany na wniosek kierownika jednostki organizacyjnej przez Inspektora Ochrony Danych dokument, który uprawnia pracownika lub osobę mającą zostać dopuszczoną do przetwarzania danych osobowych, poświadczający, iż do przetwarzania danych dopuszczone są tylko osoby, które zostały do tego celu uprawnione i zaznajomione z przepisami regulującymi ochronę danych osobowych.

Upoważnienie do przetwarzania danych osobowych służy realizacji obowiązku rozliczalności wynikającego z RODO, tzn. Uniwersytet Rzeszowski musi wykazać, iż do przetwarzania danych osobowych zostały dopuszczone tylko osoby uprawnione. Upoważnienie jest także dokumentem, który ogranicza dostęp do zasobów danych przez osoby nieuprawnione.
 

14. Co to jest rejestr czynności przetwarzania?
Rejestr czynności przetwarzania to dokument, który pokazuje w jakich procesach Administrator Danych Osobowych przetwarza dane osobowe.

Rejestr uwzględnienia m.in. cel przetwarzania danych, podstawy przetwarzania danych, kategorię oraz zakres przetwarzanych danych oraz w jaki sposób dane są zabezpieczone.
Rejestr czynności przetwarzania może być prowadzony w wersji papierowej lub elektronicznej.
Należy zauważyć, iż pojęcie czynności przetwarzania danych osobowych nie zostało precyzyjnie opisane w RODO, co może powodować trudności w zidentyfikowaniu czynności przetwarzania danych osobowych. Czynność przetwarzania można określić przez kategorie podmiotów danych lub celów przetwarzania.

Przykładowe czynności przetwarzania danych:

  • rekrutacja: na studia/do pracy,
  • obsługa zatrudnienia pracowników,
  • zgłaszanie pracowników do opieki medycznej,
  • prowadzenie księgowości,
  • ewidencja gości hotelowych,
  • prowadzenie rejestru pełnomocnictw.
     
15. Co to jest ocena skutków dla ochrony danych osobowych?
Ocena skutków dla ochrony danych osobowych to proces, który ma opisać przetwarzanie danych osobowych, ocenić niezbędność i proporcjonalność przetwarzania danych oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych.

Ocena skutków dla ochrony danych osobowych pozwala na podjęcie właściwych środków technicznych i organizacyjnych mających służyć zabezpieczeniu danych osobowych, a także wskazuje jakie czynności należy podjąć by zminimalizować ryzyko przetwarzania danych osobowych.

16. Co to jest powierzenie przetwarzania danych osobowych?

Powierzenie przetwarzania danych osobowych to przetwarzanie określonego zakresu danych osobowych w imieniu Administratora Danych Osobowych (np. Uniwersytetu Rzeszowskiego). Powierzenie przetwarzania danych osobowych odbywa się na podstawie umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego, który wiąże Administratora Danych Osobowych i podmiot, który przetwarza dane w imieniu ADO.

Powierzenie przetwarzania danych osobowych powinno regulować m.in.:

 

Powierzenie przetwarzania danych osobowych powinno regulować m.in.:

 

cel i charakter powierzenia,

przedmiot powierzenia – rodzaj danych, kategorię osób, których dane dotyczą,

czas trwania powierzenia,

obowiązki i prawa ADO,

podpowierzenie przetwarzania,

zobligowanie osób upoważnionych do zachowania tajemnicy,

stosowanie odpowiednich zabezpieczeń,

pomoc w realizacji praw osób, których dane dotyczą,

usunięcie lub zwrot danych po ustaniu powierzenia,

udzielenie pomocy ADO w wypełnianiu obowiązków względem organu nadzorczego,

zgoda na przeprowadzenie kontroli przetwarzania danych osobowych przez ADO.

Powierzenie przetwarzania danych osobowych to przekazanie danych osobowych innemu podmiotowi np. ubezpieczycielowi lub hostingodawcy w celu przechowywania danych na serwerze, czy w sytuacji wymagającej serwisowania systemów IT w których przetwarzane są dane osobowe.
 

17. Co to są techniczne i organizacyjne środki ochrony danych osobowych?
Techniczne i organizacyjne środki ochrony danych osobowych to środki, które należy zastosować by zapewnić bezpieczeństwo danych osobowych adekwatne do ryzyka przetwarzania danych osobowych.

Środki organizacyjne to np. wdrożenie polityk ochrony danych osobowych, wyznaczenie Inspektora Ochrony Danych, szkolenia z ochrony danych osobowych dla pracowników, wydawanie upoważnień do przetwarzania danych osobowych.
Środki techniczne to np. stosowanie oprogramowania antywirusowego na stacjach roboczych, zapewnienie dostępu do systemu przy użyciu loginu i hasła, stosowanie firewalla czy UPS, odnotowywanie informacji o czynnościach użytkownika wykonanych w systemie informatycznym.
W ramach środków technicznych i organizacyjnych można także wyróżnić środki ochrony fizycznej takie jak np.: drzwi i szafy zamykane na klucz, rolety antywłamaniowe, kraty w oknach, sejfy i kasy pancerne, ochrona czy system alarmowy.

18. Czym są: zasada minimalizacji i adekwatności przetwarzania danych osobowych?
Zgodnie z zasadą minimalizacji danych, dane osobowe powinny być stosowne oraz ograniczone do tego co niezbędne do celów, w których są przetwarzane. Należy przetwarzać tylko takie dane osobowe, bez których nie da się osiągnąć zamierzonego celu przetwarzania. 

Zasada adekwatności oznacza, iż ADO powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych. Relewantność (adekwatność) danych powinna być oceniania najpóźniej w momencie ich zbierania. Przyjmuje się, że np. pozyskanie dwóch form kontaktu (nr telefonu i adres e-mail) od osoby, której dane dotyczą jest nadmiarowe i stanowi naruszenie.

19. Co to jest privacy by design i privacy by default?
Uwzględnianie ochrony danych w fazie projektowania (privacy by design) to działanie, którego celem jest włączenie ochrony prywatności już na etapie zidentyfikowania czynności przetwarzania. To podejście, które mówi, iż ochrona danych powinna być wbudowana w każdy nowy projekt, przy zastosowaniu odpowiednich środków technicznych i organizacyjnych.

Domyślna ochrona danych (privacy by default) to uwzględnienie jak najdalej posuniętych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu informatycznego. Domyślnie, czyli bez konieczności jakiejkolwiek aktywności osób, której dane dotyczą. Domyślnie powinny być przetwarzane w systemie tylko te dane, które są niezbędne do osiągnięcia celu dla którego zostały zebrane.

20. Co to jest naruszenie ochrony danych osobowych?
Naruszenie ochrony danych osobowych to pojedyncze zdarzenie lub seria zdarzeń, związanych z bezpieczeństwem danych, które zagrażają ich poufności, dostępności lub integralności. Nie tylko ujawnienie danych osobowych jest incydentem, może być to także modyfikacja danych osobowych oraz brak dostępności danych osobowych. Dodać trzeba, że incydent dotyczy nie tylko danych osobowych, ale szeroko rozumianych zasobów systemu informatycznego, takich jak: osoby, usługi, oprogramowanie, dane, sprzęt i inne elementy mające wpływ na bezpieczeństwo przetwarzanych danych.

Naruszeniem ochrony danych osobowych jest np. ujawnienie danych osobie nieuprawnionej, publikowanie na stronach internetowych bez podstawy prawnej informacji zawierających dane osobowe takie jak: imię i nazwisko, numer PESEL, nr indeksu, nr telefonu czy ocena z egzaminu. Naruszeniem ochrony danym może być także: wysyłanie pocztą elektroniczną adresów innych adresatów, wrzucenie dokumentów do kosza zamiast do niszczarki, niewystarczające zabezpieczenie danych na stacjach roboczych – brak: haseł dostępu, ochrony antywirusowej itp.

 

Nasi partnerzy

Tweety na temat @UR_Rzeszow