Ochrona danych osobowych
e-learning



Poniższy kurs zawiera wyciąg z Polityki Bezpieczeństwa Danych tylko najważniejszych spraw związanych z przetwarzaniem danych osobowych.

Przepisy

W 2018 roku w krajach Unii Europejskiej zostało wprowadzone rozporządzenie dotyczące ochrony danych osobowych tzw. RODO. Rozporządzenie miało na celu ujednolicenie prawa do ochrony danych osobowych we wszystkich krajach członkowskich Unii Europejskiej.

Od tego czasu w pracy przetwarzamy dane osobowe na podstawie przepisów:

a) RODO,

b) krajowej Ustawie o ochronie danych osobowych,

c) stworzonej wewnątrz firmy i zatwierdzonej przez jej kierownika (dyrektora, rektora) Polityki Bezpieczeństwa Danych.

Każdy pracownik ma prawo wglądu do Polityki Bezpieczeństwa Danych w firmie oraz do swoich danych osobowych i w razie potrzeby do poprawienia ich.


Dane osobowe

Wg definicji dane osobowe to wszelkie informacje umożliwiające zidentyfikowanie osoby fizycznej. Mogą to być np. numery (PESEL, telefon, dowód tożsamości), adresy (zamieszkania, e-mail) w połączeniu z imieniem i nazwiskiem danej osoby.

Mogą to być np. dane:

  • pracowników,

  • studentów,

  • doktorantów,

  • absolwentów,

  • kontrahentów.

Dane dotyczące miejsca pracy i kontaktu do pracownika nie są chronione i pracodawca może je wykorzystywać.

Każda osoba, której dane są przetwarzane ma prawo:

  • wglądu w swoje dane osobowe,

  • zapoznać się z tzw. klauzulą informacyjną (informacją jak przetwarzane są jej dane osobowe w danej firmie),

  • poprawić swoje dane osobowe,

  • wycofać zgodę na przetwarzanie jej danych osobowych (jeżeli wcześniej udzieliła takiej zgody),

Dane wrażliwe

Wśród danych osobowych wyróżniane są tzw. dane szczególnych kategorii (tzw. dane wrażliwe), które przetwarzane mogą być tylko w określonych warunkach przy dodatkowych zabezpieczeniach.

Wg przepisów dane wrażliwe są to:

  • dane ujawniające pochodzenie rasowe lub etniczne,

  • dane ujawniające poglądy polityczne,

  • dane ujawniające przekonania religijne lub światopoglądowe,

  • dane ujawniające przynależność do związków zawodowych,

  • dane genetyczne,

  • dane biometryczne (wykorzystywane w celu jednoznacznego zidentyfikowania osoby fizycznej),

  • dane dotyczące zdrowia,

  • dane dotyczące seksualności lub orientacji seksualnej.

Przechowywanie, wysyłanie danych

W związku z tym, zgodnie z Polityką Bezpieczeństwa Danych zwykłe dane osobowe można przetwarzać w firmie a w uzasadnionych przypadkach również dane wrażliwe (np. o stanie zdrowia pracownika, niepełnosprawności).

Przesyłanie danych osobowych:

  • dane osobowe zwykłe wewnątrz firmy można wysyłać poprzez e-mail tylko osobom upoważnionym,

  • dane osobowe zwykłe poza firmę można wysłać tylko osobom do tego upoważnionym w sposób zaszyfrowany (hasło do pliku z danymi),

  • danych osobowych wrażliwych nie można wysyłać mailem.

Dane w formie papierowej powinny być przechowywane:

  • dane osobowe zwykłe w szafach biurowych zamykanych na klucz,

  • dane osobowe wrażliwe w szafach antywłamaniowych (metalowych) zamykanych na klucz.

Danych osobowych nie przekazujemy telefonicznie, chyba, że jesteśmy pewni, że jest to uprawniony pracownik firmy.

Upoważnienie do przetwarzania danych

Pracownicy w firmie mogą przetwarzać dane osobowe tylko na podstawie wydanego przez Administratora danych (Kierownika firmy, dyrektora, rektora) upoważnienia lub polecenia przetwarzania danych.

W takim dokumencie powinny znajdować się informacje, kto i w jakim zakresie jest upoważniony do przetwarzania danych osobowych.

Zawsze nalezy przetwarzać tylko minimalną ilość danych potrzebnych do pracy. Nie można zbierać danych na zapas.

Administrator danych osobowych oraz
Inspektor Ochrony Danych

W zakładzie pracy Administrator danych (Kierownik) powołuje Inspektora Ochrony Danych w celu nadzorowania przetwarzania danych osobowych.

Inspektor Ochrony Danych:

  • doradza pracownikom w jaki sposób bezpiecznie przetwarzać dane osobowe,

  • prowadzi rejestr osób upoważnionych,

  • przygotowuje i aktualizuje niezbędną dokumentację,

  • reaguje na incydenty bezpieczeństwa (niezgodne z prawem przetwarzanie danych osobowych), w ciągu 72 godzin od zaistnienia incydentu bezpieczeństwa musi zawiadomić o tym fakcie Urząd Ochrony Danych,

  • jest punktem kontaktowym w przypadku skarg na przetwarzanie danych lub kontroli lub zapytań z Urzędu Ochrony Danych Osobowych.

Inspektorowi Ochrony Danych zgłaszamy informację o odejściu z pracy uprawnionego do przetwarzania danych pracownika lub przyjęciu nowego.

Administrator Danych:

  • wystawia upoważnienia pracownikom,

  • zatwierdza dokumentację - Politykę Bezpieczeństwa Danych,

  • udostępnia pracownikom narzędzia pracy takie jak np. komputer, służbową pocztę elektroniczną i jest uprawniony w wyjątkowych sytuacjach do wglądu w pliki lub pocztę,

  • podpisuje umowy powierzenia danych - z podmiotami (np. firmami) którym zleca czynności związane z przetwarzaniem danych, za które jest odpowiedzialny (np. z firmą informatyczną). Firma taka gwarantuje umową, że wdrożyła u siebie przepisy RODO a jej pracownicy posiadają upoważnienia do przetwarzania danych,

  • ponosi odpowiedzialność finansową za niezgodne z przepisami przetwarzanie danych osobowych w firmie.

Najczęściej popełniane błędy przy przetwarzaniu danych osobowych

w większości nieświadome przekazywanie danych osobowych w prywatnych rozmowach (np. o chorobach pracowników)

publikowanie wyników grupie studentów bez uzyskania od nich zgody

odpowiadanie na fałszywe maile mające na celu wyłudzenie danych lub zawirusowanie komputera po kliknięciu w załącznik lub link w mailu;

wykorzystywanie służbowej poczty elektronicznej do celów prywatnych


publikowanie podpisanych wizerunków osób bez ich zgody

pomyłkowe wysłanie lub opublikowanie na stronie internetowej niewłaściwego załącznika

Dobre praktyki

Dane osobowe podobnie jak inne ważne aktywa biznesowe mają swoją wartość i dlatego muszą być odpowiednio chronione.

Poniżej kilka zasad, które poprawią bezpieczeństwo przetwarzania danych osobowych w Państwa pracy:


  • nie przekazywać danych do swojego konta w systemie informatycznym, każdy powinien pracować na swoim koncie, każda osoba odpowiada za swoje konto w systemie,

  • zabezpieczyć komputer przed odejściem od biurka, zamknąć pomieszczenie po wyjściu z biura,

  • postępować ostrożnie z wiadomościami e-mail, podejrzane wiadomości często z błędami i od nieznanych nadawców powinny być usuwane bez ich otwierania,

  • w razie podejrzenia naruszenia przepisów o ochronie danych osobowych niezwłocznie poinformować o tym Inspektora Ochrony Danych, błędy popełnia każdy a ukrywanie pomyłki może z czasem spowodować jeszcze większe problemy,

  • ustawić odpowiednio długie hasło do systemu, najnowsze badania pokazują, że bezpieczniej mieć długie hasło niż często je zmieniać,

  • stosować różne hasła do różnych systemów informatycznych,

  • w razie wątpliwości zadać pytanie Inspektorowi Ochrony Danych lub informatykowi, nie działać pochopnie,

  • zużyte elektroniczne nośniki danych (dysk, pendrive) oddajemy do utylizacji Inspektorowi Ochrony Danych, który przekazuje to specjalistycznej firmie, która zajmuje się trwałym niszczeniem nośników danych,

  • w przypadku zamieszczania zdjęcia w Internecie na, którym widać wizerunek osoby w większości przypadków należy uzyskać zgodę tej osoby i przekazać jej klauzulę informacyjną Uczelni (zgoda nie jest wymagana kiedy wizerunek jest niewyraźny),

  • aby przekazać studentom zbiorczo wyniki lub oceny, należy najpierw uzyskać od każdej osoby indywidualnie zgodę na taką formę publikacji wyników, domyślnie nauczyciel ma obowiązek przesyłać wyniki indywidualnie każdemu studentowi,

  • niepotrzebne dokumenty niszczymy w niszczarce, zabronione jest wyrzucanie dokumentów do kosza,

  • używać służbowego maila tak jak innych narzędzi pracodawcy tylko do celów służbowych,

  • jeżeli pracujemy zdalnie, np. z domu to tylko na indywidualnym koncie komputera, tak aby inni domownicy nie mieli do niego dostępu,

  • każdy komputer powinien mieć aktualny, wspierany system operacyjny oraz zainstalowany program antywirusowy,

  • w przypadku nagrywania zajęć należy wcześniej poinformować o tym studentów, jeżeli nagranie miałoby być opublikowane to również uzyskać ich zgodę (dot. zarówno wykładów stacjonarnych i zdalnych),

  • stosować zasadę czystego biurka - na biurku trzymamy tylko aktualne dokumenty, niepotrzebne w tej chwili są schowane w szafie zamykanej na klucz, to samo dotyczy pieczątek, nośników pamięci itp. Po pracy wszystko jest sprzątane i chowane do szafy lub biurka i zamykane na klucz. Zostawiamy puste biurko.

Ciekawostka

Na stronie https://haveibeenpwned.com/ można sprawdzić czy podany w wyszukiwarce adres e-mail był wcześniej upubliczniony przez hakerów przy okazji włamań na różne strony internetowe.


zapraszam do wypełnienia testu składającego się z 20 pytań