Bezpieczeństwo i ochrona danych osobowych
Ochrona danych osobowych jest kluczowa dla naszych podstawowych praw i wolności.
Należy zapewnić odpowiedni poziom ochrony danych osobowych na wszystkich płaszczyznach ich przetwarzania, tak aby zapewnić ciągłość funkcjonowania Uniwersytetu Śląskiego w Katowicach i minimalizację ryzyka naruszenia praw lub wolności osób fizycznych oraz ryzyka wiążącego się z przetwarzaniem, w szczególności wynikającym z przypadkowego lub niezgodnego z prawem zniszczenia, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w skrócie RODO, wprowadza podstawowe mechanizmy mające zapewnić odpowiedni stopień zabezpieczenia praw i wolności osób fizycznych, w tym danych osobowych. Ochrona danych zapobiega kradzieży tożsamości, oszustwom i innym nadużyciom. Chroniąc dane, dbamy o naszą prywatność i bezpieczeństwo.
Czym są dane osobowe?
Dane osobowe są to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego, jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej, zgodnie z art. 4 pkt 1 RODO.
Naruszenie danych osobowych
Oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Naruszenie może skutkować ryzykiem kradzieży tożsamości, szantażem lub oszustwem, utratą zaufania do Uniwersytetu Śląskiego w Katowicach lub konsekwencjami prawnymi i finansowymi (np. kary nałożone przez PUODO).
- Wysyłanie wiadomości e-mail do wielu adresatów bez użycia funkcji „ukryte do wiadomości” UDW. W szczególności dotyczy wysyłania maili na adresy prywatne;
- Wysłanie maila lub korespondencji papierowej zawierającej dane osobowe do błędnego adresata;
- Nieuprawnione – spowodowane błędem lub celowym działaniem – usuwanie danych osobowych bez należytego upoważnienia/żądania;
- Utrata/kradzież/zagubienie nośnika np. pendrive, karty pamięci, dysku przenośnego, laptopa, telefonu komórkowego, na którym składowane byłyby dane osobowe, w tym zagubienie dokumentacji papierowej zawierającej dane osobowe;
- Wyrzucenie dokumentów z danymi osobowymi bez ich trwałego zniszczenia (brak użycia niszczarki lub bezpiecznego kosza);
- Udostępnienie danych osobowych nieuprawnionemu podmiotowi bądź osobie/ brak podstawy prawnej do udostępnienia;
- Brak dostępności do danych osobowych ( np. w systemach IT, na dyskach twardych, serwerach) poprzez np. atak typu ransomware, który polega na zaszyfrowaniu dysków przez hakera w celu pozyskania okupu;
- Celowe lub przypadkowe uszkodzenie systemu, w wyniku którego tracimy dostęp do danych osobowych.
W przypadku podejrzenia lub stwierdzenia wystąpienia naruszenia ochrony danych osobowych w swoim otoczeniu należy natychmiast, bez zbędnej zwłoki dokonać jego zgłoszenia.
Pamiętaj, że Uniwersytet Śląski w Katowicach jako administrator danych ma obowiązek zgłoszenia naruszenia danych do Prezesa Urzędu Ochrony Danych Osobowych, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Przy braku odpowiedniej i szybkiej reakcji, naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.
ZGŁOSZENIA NALEŻY DOKONAĆ – NAJLEPIEJ PISEMNIE
- do Inspektora Ochrony Danych na adres e-mail: dariusz.pawelczak@us.edu.pl lub iod@us.edu.pl, tel. 32 359 24 36;
- lub do Zespołu Inspektora Ochrony Danych na adres e-mail: aneta.landrat@us.edu.pl, tel. 32 359 24 33;
- Zgłoszenia można dokonać również osobiście w biurze Inspektora Ochrony Danych pod adresem: Katowice, ul. Bankowa 14, pok. nr 334, II piętro.
Zgłoszenie naruszenia danych osobowych powinno zawierać:
- datę zaistniałego zdarzenia (opcjonalnie godzinę zdarzenia);
- opis charakteru naruszenia, szczegółowy opis zdarzenia;
- opis zaistniałych okoliczności zdarzenia;
- kategorię i przybliżoną liczbę osób, których dane dotyczyły;
- dane kontaktowe osoby zgłaszającej (nr. telefonu, adres e-mail, jednostka UŚ).
- Pracuj tylko na swoim własnym koncie w systemie informatycznym,
do którego masz nadany dostęp; - Twórz silne hasła do systemów składające się co najmniej z kilkunastu znaków, w tym małe i duże litery, cyfry i znaki specjalne. Do tworzenia haseł nie używaj słów, które można znaleźć w słownikach językowych, nie wykorzystuj swoich danych osobowych takich jak imiona, nazwisko, data urodzenia, itp. ;
- Zachowuj tylko dla siebie swoje hasła i identyfikatory: nikomu nie udostępniaj swoich haseł, nie zapisuj ich w widocznym miejscu, przechowuj bezpiecznie swoje identyfikatory dostępu do systemów informatycznych;
- Stosuj zasadę czystego ekranu, czystego biurka oraz czystej drukarki:
– nie zapisuj plików na pulpicie komputera, zachowaj tylko standardowe ikony pulpitu;
– blokuj komputer, jeżeli opuszczasz miejsce pracy nawet na chwilę (klawisz Windows + L);
– odbieraj wydruki, kopie z drukarek/kserokopiarek bezpośrednio po ich wydrukowaniu/kopiowaniu;
– po zakończeniu pracy schowaj dokumenty do szaf i biurek zamykanych na klucz; - Nośniki z danymi osobowymi chroń przed utratą, kradzieżą lub zniszczeniem;
- Zniszcz nośniki z danymi, których już nie potrzebujesz – dokumenty papierowe niszcz w niszczarce lub wrzucaj do „bezpiecznego kosza”;
- Zachowuj ostrożność podczas rozmów na tematy służbowe – nie przekazuj
w miejscach publicznych (np. komunikacja publiczna, restauracja, rozmowy przez telefon w miejscach publicznych, itp.) i w rozmowach prywatnych informacji dotyczących spraw zawodowych. Dbaj o dobry wizerunek UŚ; - Zamykaj pomieszczenie służbowe, które opuszczasz, jeżeli nikogo w nim nie ma;
- Zachowuj ostrożność przy korzystaniu z zasobów internetowych – poczta elektroniczna, strony internetowe, portale społecznościowe;
- Uważaj na podejrzane wiadomości smsowe;
- Stosuj zabezpieczenia danych osobowych w postaci pseudonimizacji oraz anonimizacji danych – tam gdzie jest to możliwe.
Obowiązkowe szkolenia z zakresu bezpieczeństwa i ochrony danych osobowych
UWAGA!
Aby wciąż podnosić świadomość pracowników związaną z ochroną danych osobowych, Zespół Inspektora Ochrony Danych zaleca cykliczne korzystanie
z dostępnych szkoleń z zakresu bezpieczeństwa informacji i ochrony danych.
Szkolenia realizowane w formie e-learningowej dostępne są na naszej platformie szkoleniowej Moodle.
Linki do szkoleń:
- Ochrona danych osobowych – cz.1 (RODO1)
- Ochrona danych osobowych – cz.2 (RODO2)
Poza szkoleniami dostępnymi na platformie, zachęcamy do udziału w stacjonarnych szkoleniach organizowanych przez Zespół Inspektora Ochrony Danych.
Szkolenia są organizowane cyklicznie, dodatkowo potrzebę organizacji szkolenia może zgłosić kierownik jednostki UŚ do Zespołu Inspektora Ochrony Danych.