Rozdział 2. - Ogólna klauzula informacyjna, przepisy prawne i naruszenie ochrony danych

RODO

Co oznacza skrót RODO?

Skrót RODO, czyli Rozporządzenie Ogólne o ochronie Danych Osobowych odnosi się do rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej o numerze 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Od kiedy RODO jest stosowane?

Ogólne rozporządzenie o ochronie danych jest stosowane od dnia 25 maja 2018 roku.

Co obejmuje określenie „dane osobowe”?

„Dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikatory internetowe lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Kto jest administratorem moich danych osobowych?

Administratorem Twoich danych osobowych jest Politechnika Bydgoska im. Jana i Jędrzeja Śniadeckich,  Al. prof. S. Kaliskiego 7, 85-796 Bydgoszcz.

Kim jest Inspektor Ochrony Danych (IOD)?

Jest to osoba powołana przez Administratora, z którą możesz skontaktować się w sprawach dotyczących przetwarzania danych osobowych oraz korzystania z Twoich praw związanych z przetwarzaniem danych.

Kontakt z IOD jest dostępny w formie pisemnej, mailowej lub telefonicznej pod adresem:

Inspektor Ochrony Danych:
Tamara Bohdanowicz-Turska
Politechnika Bydgoska im. Jana i Jędrzeja Śniadeckich
ul. Aleje prof. Sylwestra Kaliskiego 7, 85-796 Bydgoszcz
e-mail: iod@pbs.edu.pl
telefon: +48 52 374 94 71

Podstawa prawna i cele przetwarzania danych osobowych.

Przetwarzanie danych osobowych jest zgodne z prawem tylko wtedy, gdy zostanie spełniona jedna z poniższych przesłanek:

  • przetwarzanie jest niezbędne do wykonania umowy lub czynności przed jej zawarciem;
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej.
  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie jej danych osobowych;

Przetwarzamy lub będziemy przetwarzać Twoje dane osobowe:

  • w związku z realizacją zadań uczelni wynikających z obowiązujących przepisów prawa (art. 6 ust. 1 lit. c RODO), a w szczególności ustawy:
    • Prawo o szkolnictwie wyższym i nauce oraz przepisów wykonawczych do ustawy,  łącznie ze statutem Politechniki Bydgoskiej;
    • akty prawne dotyczące finansów publicznych, podatków, rachunkowości, zamówień publicznych, ubezpieczeń społecznych, pracy i opieki społecznej;
    • Prawo telekomunikacyjne, przepisy dotyczące mediów elektronicznych, cyfrowego bezpieczeństwa, wykonywania usług drogą elektroniczną;
    • Pozostałe przepisy dotyczące publicznych szkół wyższych
  • w związku z realizacją umowy z Politechniką (w tym wolontariatu), której jesteś stroną  (art. 6 ust.1 lit. b RODO), lub to podjęcia niezbędnych działań w celu zawarcia z umowy,
  • z wykonywaniem przez Politechnikę zadań realizowanych w interesie publicznym  lub sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e)
  • z realizacją czynności wynikających prawnie uzasadnionych interesów Politechniki (art. 6 lit. f RODO), np. takich jak  rozpowszechnianie wiedzy poprzez uczestnictwo w wydarzeniach organizowanych przez Politechnikę Bydgoską, dochodzenie roszczeń w postępowaniu sądowym, administracyjnym lub też innym postępowaniu pozasądowym,

Komu udostępniamy Twoje dane osobowe?

Dane mogą zostać udostępnione jedynie instytucjom uprawnionym ustawowo, podmiotom współpracującym przy realizacji naszych celów oraz podmiotom, które uzyskają zgodę właściciela danych na takie udostępnienie

Czy moje dane osobowe mogą zostać przekazane do państwa trzeciego lub organizacji międzynarodowej?

Tak, możliwe jest udostępnienie danych osobowych podmiotom spoza Europejskiego Obszaru Gospodarczego (EOG), ale tylko jeśli właściciel danych będzie tego oczekiwał. Przekazanie danych osobowych ww. podmiotom odbywa się na podstawie umów międzynarodowych lub standardowych klauzul ochrony danych przyjętych przez Komisję Europejską, przez co podlegają odpowiednim zabezpieczeniom w zakresie ochrony prywatności oraz praw i wolności osoby, których dotyczą.

Jaki jest okres przechowywania danych osobowych?

Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”). Administrator nie będzie przetwarzał danych dłużej niż wymaga tego obowiązujące prawo.

Jakie są Twoje prawa związane z przetwarzaniem danych osobowych?

Masz prawo do:

  1. dostępu do swoich danych,
  2. sprostowania swoich danych osobowych,
  3. żądania usunięcia swoich danych,
  4. żądania ograniczenia przetwarzania swoich danych osobowych,
  5. przenoszenia swoich danych osobowych,
  6. pozyskania wiedzy i informacji, w szczególności w zakresie celów, w jakich Twoje dane osobowe są przetwarzane,
  7. uzyskania informacji na temat okresu przez jaki Twoje dane osobowe będą przetwarzane,
  8. uzyskania wiedzy na temat odbiorców Twoich danych osobowych,
  9. żądania zaprzestania przetwarzania lub usunięcia danych przetwarzanych na podstawie zgody,
  10. poznania założeń ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz przynajmniej w przypadku profilowania, konsekwencji takiego przetwarzania,
  11. wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego.

Czy mam prawo do cofnięcia zgody dotyczącej przetwarzania danych?

Tak, jeżeli wcześniej została wyrażona zgoda na takie przetwarzanie i dane nie są konieczne do wypełnienia obowiązków wynikających z innych przepisów prawa.

Gdzie można wnieść skargę, jeśli uznasz, że Twoje prawa zostały naruszone?

Skargę taką można wnieść do organu nadzorczego, który zajmuje się ochroną danych osobowych. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych (PUODO).

Czy podanie przeze mnie danych osobowych jest konieczne?

Tak, jeśli obowiązek podania danych osoby wynika z przepisów prawa lub jest niezbędny do zawarcia lub wykonania umowy między osobą, której te dane dotyczą, a administratorem.

Czy wobec podanych przez mnie danych osobowych następuje automatyczne podejmowanie decyzji lub profilowanie?

W oparciu o Twoje dane osobowe nie są podejmowane żadne automatyczne decyzje lub profilowanie. Podejmowane automatycznie czynności ograniczają się do porządkowania danych, a wszelkie decyzje są podejmowane przez uprawnione Komisje oraz osoby. Każda osoba odbierająca decyzję jest poinformowana o trybie wyrażenia własnego stanowiska i prawie do zakwestionowania tej decyzji.

Czy na terenie Politechniki Bydgoskiej stosowany jest monitoring wizyjny?

Tak, w celu Twojej ochrony, jak i innych osób a także mienia, w oznaczonych miejscach uczelni zamontowane są kamery rejestrujące obraz. 

PRZEPISY PRAWNE

W sprawie ochrony danych osobowych w Polsce, od dnia 25 maja 2018 roku obowiązują dwa dokumenty, a mianowicie:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
  2. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych,

Rozporządzenie obowiązuje w sposób jednolity na terenie całej Unii Europejskiej, natomiast Ustawa reguluje sprawy dotyczące ochrony danych osobowych przekazane przez Rozporządzenie do decyzji organów państw członkowskich i dotyczy tylko instytucji oraz obywateli polskich.

Ponadto w Politechnice Bydgoskiej im. Jana i Jędrzeja Śniadeckich, zgodnie z Zarządzeniami Rektora obowiązuje Polityka Bezpieczeństwa Danych Osobowych oraz Zasady Ochrony Danych w PBŚ.

NARUSZENIE OCHRONY DANYCH OSOBOWYCH

 Zgłaszanie naruszenia ochrony danych osobowych - instrukcja

Zgodnie z art. 33 RODO Politechnika Bydgoska im. Jana i Jędrzeja Śniadeckich ma obowiązek dokumentowania i w uzasadnionych przypadkach zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu - Urzędowi Ochrony Danych Osobowych.
Niedopełnienie obowiązku zgłoszeniowego może pociągnąć za sobą odpowiedzialność w postaci nałożenia na administratora przez organ nadzorczy administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 RODO.

Czym jest naruszenie?

Naruszenie ochrony danych osobowych  -  oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych

Można wyróżnić trzy typy naruszenia ochrony danych osobowych:

  • naruszenie dotyczące poufności danych – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych;
  • naruszenie dotyczące integralności danych – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych;
  • naruszenie dotyczące dostępności danych – naruszenie, w rezultacie którego dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych.

Zgłaszanie naruszeń

Każde naruszenie ochrony danych osobowych należy niezwłocznie zgłosić Inspektorowi Ochrony Danych, ewentualnie Administratorowi jedną z trzech dostępnych form komunikacji (pismem zwykłym, pocztą elektroniczną lub telefonicznie). Po dokonaniu analizy naruszenia zostanie podjęta decyzja o tym czy dane naruszenie powinno zostać zgłoszone do Urzędu Ochrony Danych czy też nie.

Bez względu na to czy dane naruszenie zostanie zgłoszone do UODO, Politechnika Bydgoska  jest zobowiązana do dokumentowania naruszeń i prowadzenia ich wewnętrznego rejestru. Rejestr prowadzi Inspektor ochrony Danych.