Szanowni Państwo,
W dniu 25 maja 2018 roku rozpoczął się okres stosowania ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r. Parlamentu Europejskiego i Rady (UE) (w skrócie RODO). W związku powyższym przekazujemy Państwu Komunikat EWSPA w sprawie polityki stosowania przez Uczelnię, jako administratora danych osobowych, wspomnianych wyżej przepisów.
I. Wybrane informacje ogólne na temat RODO
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) obowiązuje w Polsce od dnia 25 maja 2018 roku.
RODO stanowi podstawowy element europejskiej reformy ochrony danych osobowych. Głównym celem ogólnego rozporządzenia o ochronie danych osobowych jest ujednolicenie przepisów regulujących ochronę danych osobowych w państwach UE, a także unormowanie sposobu przepływu danych między tymi państwami. RODO jest aktem, który w sposób kompleksowy reguluje kwestie dotyczące ochrony danych osobowych i nie wymaga implementacji do krajowego systemu prawnego, oznacza to, że przepisy RODO stosowane są wprost.
Na pakiet regulujący ochronę danych osobowych składa się także tzw. dyrektywa policyjna (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r.) oraz będąca w fazie prac legislacyjnych dyrektywa o e-prywatności.
Na gruncie prawa krajowego aktem prawnym, który wypracowuje mechanizm spójności stosowania przepisów GDPR, jest ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r., poz. 1000).
II. Kto jest administratorem Państwa danych osobowych w EWSPA?
Administratorem, czyli podmiotem przetwarzającym Państwa dane osobowe jest Europejska Wyższa Szkoła Prawa i Administracji z siedzibą w Warszawie (01-043), przy ul. Okopowej 59, reprezentowana przez Rektora, zwana w dalszej części EWSPA.
Administrator danych ustala cele i sposoby przetwarzania danych osobowych, a także zobowiązany jest – uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia – wdrożyć odpowiednie środki techniczne i organizacyjne, by przetwarzanie danych osobowych odbywało się zgodnie z RODO.
III. Co to są dane osobowe
Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny (PESEL), dane o lokalizacji, identyfikator internetowy (adres IP, adres e-mail) lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane osobowe to wszystkie dane, które dotyczą konkretnej osoby fizycznej – od imienia i nazwiska, nr PESEL umieszczonego w dokumencie tożsamości, przez adres e-mail do danych umieszczonych na wizytówce. Danymi osobowymi może być także odcisk palca, adres IP, login do portalu internetowego czy numer telefonu.
Istnieje również szczególna kategoria danych sensytywnych (wrażliwych), które ujawniają:
- pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub filozoficzne,
- przynależność wyznaniową, partyjną lub związkową,
- jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz
- danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym i podlegają szczególnym zasadom przetwarzania i ochrony.
Przetwarzanie danych wrażliwych jest jednak dopuszczalne, jeżeli:
- osoba, której dane dotyczą, wyrazi na to zgodę na piśmie
- przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony;
- przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora;
- przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem
- przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;
- przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą;
- jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone;
- przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
IV. Na czym polega przetwarzanie danych osobowych?
Przetwarzanie danych osobowych to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Katalog czynności, które mogą składać się na przetwarzanie danych osobowych, ma charakter przykładowy – należy przyjąć, iż przetwarzanie danych osobowych to każda czynność, którą wykonujemy z wykorzystaniem danych osobowych.
V. Jak można skontaktować się z Administratorem Państwa danych osobowych w EWSPA?
W sprawach związanych z Państwa danymi zapytania prosimy kierować na adres email: dane.osobowe@ewspa.edu.pl
lub za pośrednictwem poczty tradycyjnej na adres:
Europejska Wyższa Szkoła Prawa i Administracji w Warszawie
01-043 Warszawa, ul. Okopowa 59
VI. W jakich procesach przetwarzamy dane osobowe w EWPSA?
EWSPA przetwarza dane osobowe w obszarach związanych m.in. ze:
- Statutową działalnością dydaktyczną – już na etapie rekrutacji kandydatów oraz w procesie kształcenia na wszystkich poziomach studiów, jak również w ramach wszystkich form kształcenia ustawicznego (szkolenia, kursy, studia podyplomowe, Studium Policealne, Liceum Ogólnokształcące dla dorosłych) ,
- zarządzaniem zasobami ludzkimi (rekrutacja do pracy, zatrudnienie, obsługa kadrowa, bezpieczeństwo i higiena pracy),
- działalnością naukowo-badawczą (badania naukowe, współpraca naukowa),
- działalnością na rzecz studentów (pomoc materialna oraz ubezpieczenia studentów, stypendia naukowe),
- obsługą finansowo-księgową (rachunkowość, rozrachunki z pracownikami, kontrahentami),
- innymi obszarami działalności (biblioteką, działaniami marketingowymi, reklamowymi oraz promocyjnymi, sklepem internetowym wydawnictwa uczelni, korespondencją przychodząca i wychodząca).
VII. Jaki zakres Państwa danych osobowych przetwarzany jest w EWSPA?
Uczelnia przetwarza dane między innymi w zakresie:
- imion i nazwisk;
- dat urodzenia;
- numeru PESEL;
- numeru indeksu;
- serii i numeru dokumentu potwierdzającego tożsamość;
- adresu e-mail;
- numeru telefonu;
- wizerunku;
- obywatelstwa.
W zakresie danych osobowych przetwarzanych przez EWSPA występują także szczególne kategorie danych o:
- stanie zdrowia, stopniu niepełnosprawności;
RODO wprowadza tzw. zasadę minimalizacji danych osobowych. Zgodnie z tą zasadą można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych. Zgodnie z zasadą minimalizacji danych należy ograniczyć zbieranie danych tylko do tych, bez których nie można osiągnąć celu przetwarzania.
VIII. Czyje dane osobowe przetwarzamy w EWSPA?
1. pracowników uczelni,
2. studentów, słuchaczy studiów podyplomowych, słuchaczy Europejskiego Niepublicznego Studium Policealnego „Europejskiego” Prywatnego Zaocznego Liceum Ogólnokształcącego dla dorosłych w Szczecinie, uczestników kursów oraz szkoleń;
3. kandydatów na studia, osób ubiegających się o przyjęcie do Europejskiego Niepublicznego Studium Policealnego, osób ubiegających się o przyjęcie na studia podyplomowe, osób aplikujących do udziału w kursach oraz szkoleniach, osób ubiegających się o przyjęcie do „Europejskiego” Liceum Ogólnokształcącego dla Dorosłych w Szczecinie;
4. cudzoziemców podejmujących i odbywających studia lub inne formy kształcenia w EWSPA, a także uczestniczących w badaniach naukowych lub pracach rozwojowych;
5. czytelników biblioteki;
6. osób biorących udział w konkursach;
7. uczestników badań naukowych;
8. uczestników konferencji, projektów, seminariów;
9. absolwentów.
IX. Jaki jest cel przetwarzania danych osobowych przez EWSPA?
W EWSPA dane osobowe są przetwarzane w celu:
a) realizacji procesów rekrutacyjnych
b) zawarcia i wykonania umowy o świadczenie nauki, w tym obsługi procesów kształcenia na wszystkich poziomach,
c) realizacji projektów badawczych,
d) obsługi czytelników bibliotek,
e) przyznawania stypendiów,
f) zarządzania ofertą: edukacyjną, naukową, usługową,
g) obsługą i realizacją konkursów/konferencji
h) wywiązania się uczelni z obowiązku archiwizacji dokumentacji studentów i absolwentów
i) windykacji należności z tytułu zawartej umowy
j) działalności promocyjnej i działań marketingowych – podstawa prawna oświadczenie osoby, której dane dotyczą
X. Na jakich podstawach prawnych EWSPA przetwarza dane osobowe?
Podstawy do legalnego przetwarzania danych osobowych określa art. 6 GDOR. Z punktu widzenia przepisu przetwarzanie jest dopuszczalne, gdy:
1. osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jej danych osobowych;
2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
XI. W przypadku EWSPA podstawą przetwarzania danych osobowych jest m.in.:
1. Ustawa – Prawo o szkolnictwie wyższym,
2. Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów oraz rozporządzenia wykonawcze do ustawy – Prawo o szkolnictwie wyższym
3. Ustawa O Systemie Oświaty z 7 września 1991 roku z późniejszymi zmianami -(Liceum i Studium), wraz z rozporządzeniami wykonawczymi do wyżej wymienionej ustawy,
4. Zgoda osoby, której dane dotyczą
5. ustawa Kodeks pracy,
6. ustawa o bibliotekach,
7. ustawa o narodowym zasobie archiwalnym i archiwach
XII. Kto może przetwarzać dane osobowe w EWSPA?
Do przetwarzania danych osobowych w EWSPA, mogą zostać dopuszczone wyłącznie osoby posiadające upoważnienie do przetwarzania danych osobowych.
Podmioty zewnętrzne, które świadczą na rzecz EWSPA usługi np. w zakresie prowadzenia działań marketingowych i rekrutacyjnych, zwane inaczej Procesorami, mogą zostać dopuszczone do przetwarzania danych osobowych wyłącznie na mocy umowy powierzenia przetwarzania danych osobowych.
XIII. Czy EWSPA może udostępnić dane osobowe?
Udostępnianie danych osobowych to jedna z form operacji wykonywanych na danych osobowych w ramach przetwarzania tych danych. EWSPA, administrując danymi, może udostępniać je osobom lub podmiotom uprawnionym do ich otrzymania na podstawie przepisów prawa (organy administracji państwowej, wymiaru sprawiedliwości) lub innym podmiotom w przypadku posiadania przez te podmioty podstaw prawnych do legalnego przetwarzania danych.
EWSPA udostępnia dane osobowe innym podmiotom zewnętrznym na podstawie przepisów szczególnych, takim jak:
- zgodnie z ustawą Prawo o szkolnictwie wyższym Ministerstwu Nauki i Szkolnictwa Wyższego;
- ZUS w celu potwierdzenia statusu studenta;
- potencjalnym pracodawcom na podstawie pisemnej zgody studenta lub absolwenta.
XIV. Czy dane osobowe w EWSPA są przetwarzane w sposób automatyczny i podlegają profilowaniu?
Dane osobowe w EWSPA nie podlegają profilowaniu i nie są przetwarzane w sposób automatyczny.
XV. Jakie prawa mają osoby, których dane osobowe są przetwarzane w EWSPA?
Wszystkim osobom, których dane są przetwarzane w EWSPA, przysługuje:
1. prawo dostępu do danych,
2. prawo żądania ich sprostowania, usunięcia i ograniczenia przetwarzania.
W zakresie, w jakim podstawą przetwarzania danych osobowych, jest przesłanka prawnie uzasadnionego interesu administratora, osobie, której dane osobowe są przetwarzane przysługuje prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzoru zajmującego się ochroną danych osobowych.
XVI. Kiedy EWSPA powinna pozyskiwać zgodę na przetwarzanie danych osobowych?
Zgoda na przetwarzanie danych osobowych to jedna z przesłanek legalności przetwarzania danych osobowych, rozumiana jako okazanie woli przez osobę, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwalającego na przetwarzanie dotyczących jej danych osobowych. Zgoda na przetwarzanie danych osobowych musi być: dobrowolna, konkretna, świadoma i jednoznaczna.
Zgoda na przetwarzanie danych osobowych może przyjąć formę oświadczenia woli, wyrażonego w formie pisemnej lub elektronicznej, np. klauzula zgody dołączona do kwestionariusza osobowego w formie papierowej lub umieszczenie klauzuli zgody w formularzu elektronicznym przy zastosowaniu checkboxa.
Zgoda na przetwarzanie danych osobowych musi być wyrażona na jasno określony cel np. zgoda na przetwarzanie danych osobowych w procesie rekrutacji, do pracy, czy udziału w konferencji itp.
W EWSPA na podstawie zgody przetwarzane są m.in. dane następujących kategorii osób:
- kandydatów do pracy;
- absolwentów (monitorowanie karier zawodowych);
- uczestników konferencji/szkoleń/seminariów.
- Jeżeli dane osobowe przetwarzane są na podstawie zgody, osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody ma być równie proste do realizacji jak jej wyrażenie.
XVII. Jak długo EWSPA przechowuje dane osobowe?
Jeżeli podstawę przetwarzania danych osobowych stanowi zgoda osoby, której dane dotyczą, wówczas dane osobowe mogą być przetwarzane do czasu odwołania zgody. Po odwołaniu zgody, dane mogą być przetwarzane przez okres odpowiadający ew. terminowi przedawnienia roszczeń, jakie może ponosić administrator danych. Jeżeli dane przetwarzane są na podstawie umowy, wówczas mogą być przetwarzane tak długo, jak jest to niezbędne do wykonania umowy, a po tym czasie przez okres odpowiadający okresowi przedawnienia roszczeń.
Dodatkowo czas przetwarzania danych zależy od przepisów szczególnych, i tak np.:
1. Uczelnia przechowuje przez okres 6 miesięcy kopie dokumentów kandydatów nieprzyjętych na pierwszy rok studiów wraz z kopią pisma, na podstawie którego zwrócono kandydatowi złożone oryginały dokumentów (§ 19 ust. 2 Rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów).
2. Teczkę akt osobowych studenta/absolwenta przechowuje się w archiwum uczelni przez okres 50 lat (§ 4 ust. 2 Rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów).
XVIII. Jakie techniczne i organizacyjne zabezpieczenia danych osobowych są stosowane przez EWSPA jako administratora danych?
Zabezpieczenia organizacyjne:
- wyznaczenie inspektora ochrony danych;
- opracowanie i wdrożenie dokumentacji ochrony danych osobowych;
- do przetwarzania danych osobowych dopuszczone zostały osoby do tego upoważnione;
- prowadzenie ewidencji osób upoważnionych;
- przeszkolenie i zaznajomienie pracowników z przepisami ochrony danych osobowych;
- procedura wydawania kluczy do pomieszczeń osobom uprawnionym;
- nadzór obszarów przez służbę ochrony;
- portiernie monitorujące osoby wchodzące i wychodzące z budynków;
- osoby trzecie w obszarze przetwarzania danych osobowych przebywają w obecności osób upoważnionych;
- osoby upoważnione zobowiązane są do zachowania danych osobowych i sposobów zabezpieczeń w tajemnicy.
Środki ochrony fizycznej:
- drzwi zamykane na klucz;
- drzwi o podwyższonej odporności na włamanie;
- systemy alarmowe;
- szafy niemetalowe/metalowe zamykane na klucz;
- sejfy, kasy pancerne;
- niszczarki dokumentów.
Środki ochrony w ramach narzędzi programowych:
- rejestracja zmian w systemach;
- określenie praw dostępu do danych;
- identyfikatory użytkowników oraz hasła;
- token.