Ochrona danych osobowych

Administrator danych osobowych

Administratorem danych osobowych jest Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego z siedzibą w Warszawie (kod: 00 – 908) przy ul. gen. Sylwestra Kaliskiego 2
 
Administrator danych powołał inspektora danych osobowych nadzorującego prawidłowość przetwarzania danych osobowych. Inspektorem danych osobowych w WAT jest Katarzyna Jabłońska.
Z IOD można skontaktować się poprzez adres e‑mail:  iod@wat.edu.pl

Inspektor ochrony danych

Administrator danych powołał inspektora ochrony danych nadzorującego prawidłowość przetwarzania danych osobowych. Rolę inspektora ochrony danych (IOD) w Wojskowej Akademii Technicznej pełni mgr Katarzyna Jabłońska.
Kontakt do IOD:
tel. +48 261 839 950

Zgłaszanie naruszeń

Wszystkie osoby przetwarzające dane osobowe w WAT mają obowiązek informowania o zauważonych incydentach naruszenia bezpieczeństwa

Załącznik nr 12 do „Polityki bezpieczeństwa danych osobowych w Wojskowej Akademii Technicznej”
Instrukcja postępowania w sytuacji naruszenia zasad ochrony danych osobowych

  1. Celem niniejszej instrukcji jest określenie zasad postępowania w przypadku, gdy:
    • stwierdzono naruszenie zasad ochrony danych osobowych w obszarze przetwarzania danych osobowych,
    • stan urządzeń, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci komputerowej mogą wskazywać na naruszenie ochrony danych osobowych.
  2. Instrukcja określa zasady postępowania wszystkich osób mających dostęp do przetwarzania danych osobowych zarówno w systemach informatycznych oraz w wersji papierowej.
  3. Naruszenie ochrony danych osobowych oznacza takie naruszenie zasad bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych, a w szczególności:
    • nieautoryzowany dostęp do danych;
    • nieautoryzowane modyfikacje lub zniszczenie danych;
    • udostępnienie danych nieautoryzowanym lub nieuprawnionym podmiotom;
    • nielegalne ujawnienie danych;
    • pozyskiwanie danych z nielegalnych źródeł.
  4. W przypadku stwierdzenia lub podejrzenia naruszenia zabezpieczenia systemu lub zaistnienia zdarzeń, które mogą wskazywać na naruszenie ochrony danych osobowych, każda osoba przetwarzająca dane osobowe w WAT jest zobowiązana przerwać przetwarzanie tych danych i niezwłocznie powiadomić o  zaistniałym zdarzeniu bezpośredniego przełożonego, który poinformuje LADO lub wyznaczonego przez niego ODO, a następnie powinien postępować stosownie do ich decyzji.
  5. Po stwierdzeniu naruszenia LADO lub wyznaczony przez niego ODO we współpracy z IOD i ASI podejmują działania zmierzające do wyjaśnienia przyczyn i okoliczności zgłoszonego zdarzenia. W zależności od rodzaju zdarzenia należy w  szczególności:
    • podjąć działania mające na celu minimalizację negatywnych skutków zdarzenia;
    • dokonać wizji lokalnej w zakresie adekwatnym do rodzaju zgłoszonego zdarzenia;
    • przeprowadzić wywiady z pracownikami w celu ustalenia okoliczności zdarzenia;
    • przeprowadzić analizy poprawności funkcjonowania systemu informatycznego, jeżeli zgłoszone zdarzenie było związane z nieprawidłowym jego funkcjonowaniem;
    • przeprowadzić analizy zapisu zdarzeń w systemie informatycznym, z uwzględnieniem zapisu operacji realizowanych przez użytkowników;
    • sporządzić dokumentację fotograficzną lub filmową (w razie potrzeby);
    • zabezpieczyć dowody zdarzenia;
    • zebrać inne materiały pozwalające na wyjaśnienie przyczyn zaistnienia zdarzenia, jego charakteru i potencjalnych skutków;
    • zapewnić możliwość dalszego bezpiecznego przetwarzania danych.
  6. LADO lub wyznaczony przez niego ODO w ciągu 24 godzin od zaistnienia zdarzenia przekazuje informację o tym fakcie do  IOD (wzór).
  7. IOD niezwłocznie analizuje sytuację i przekazuje informacje ‑rekomendacje do AD.
  8. AD zgłasza fakt naruszenia ochrony danych osobowych organowi nadzorczemu w  ciągu 72 godzin od stwierdzenia naruszenia, chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
  9. W celu realizacji zadań wynikających z niniejszej Instrukcji IOD, w porozumieniu ze LADO oraz ODO, ma prawo do podejmowania wszelkich działań dopuszczonych przez prawo, a w szczególności:
    • żądania wyjaśnień od pracowników;
    • korzystania z pomocy konsultantów;
    • wnioskowania o wydanie zakazu wykonywania pracy w zakresie przetwarzania danych osobowych do czasu przywrócenia pożądanego bezpieczeństwa przetwarzania danych i zapewnienia przestrzegania procedur bezpieczeństwa;
    • nakazania wprowadzenia dodatkowych środków bezpieczeństwa.
  10. Polecenia IOD wydawane w czasie realizacji zadań wynikających z niniejszej instrukcji są priorytetowe i winny być wykonywane przed innymi, zapewniając ochronę danych osobowych.
  11. LADO lub wyznaczony przez niego ODO prowadzi rejestr naruszeń i incydentów (zał. nr 14) w formie papierowej lub elektronicznej. Kopię rejestru przekazuje do IOD w  formie elektronicznej.
  12. IOD odpowiedzialny jest za przeprowadzanie przynajmniej raz w roku analizy zaistniałych incydentów w celu:
    • określenia skuteczności podejmowanych działań wyjaśniających i naprawczych;
    • określenia wymaganych działań zwiększających bezpieczeństwo systemu informatycznego i minimalizujących ryzyko zaistnienia incydentów;
    • określenia potrzeb w zakresie szkoleń z ochrony danych osobowych.
  13. Odmowa udzielenia wyjaśnień lub współpracy z IOD w obszarze ochrony danych osobowych traktowana będzie jako naruszenie obowiązków pracowniczych.
  14. Nieprzestrzeganie zasad postępowania określonych w niniejszej Instrukcji stanowi naruszenie obowiązków pracowniczych i może być podstawą odpowiedzialności dyscyplinarnej.

Monitoring

Klauzula informacyjna dotycząca przetwarzania danych osobowych w postaci wizerunku osób widniejących na nagraniach monitoringu

Realizując obowiązek wynikający z art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), zwanego dalej „Rozporządzeniem”, Wojskowa Akademia Techniczna informuje:

  1. Administratorem Pani/Pana danych osobowych jest Wojskowa Akademia Techniczna Jarosława Dąbrowskiego z siedzibą w Warszawie (kod: 00 – 908) przy ul. gen. Sylwestra Kaliskiego 2.
  2. Administrator danych osobowych zwany dalej: „Administratorem” powołał Inspektora Ochrony Danych nadzorującego prawidłowość przetwarzania danych osobowych, z którym można się skontaktować za pośrednictwem adresu e‑mail: iod@wat.edu.pl
  3. Podstawą prawną przetwarzania danych jest niezbędność przetwarzania danych dla celów wynikających z prawnie uzasadnionych interesów Administratora (art. 6 ust. 1 lit. f Rozporządzenia), którymi są zapewnienie bezpieczeństwa pracowników, ochrona mienia pracodawcy oraz zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę (art. 222 § 1 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy). Podstawą przetwarzania danych osobowych jest także niezbędność wypełnienia obowiązku prawnego ciążącego na Administratorze (art. 6 ust. 1 lit. c Rozporządzenia), który wynika z przepisów ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych oraz Instrukcji o ochronie obiektów wojskowych, wprowadzonej Decyzją Nr 334/MON Ministra Obrony Narodowej z dnia 19 września 2011 r. w sprawie wprowadzenia do użytku w resorcie obrony narodowej „Instrukcji o ochronie obiektów wojskowych”.
  4. W związku z powyższym, obiektem wideofilmowania nie jest osoba czy grupa osób, lecz określone miejsce.
  5. Wojskowa Akademia Techniczna informuje osoby, które potencjalnie mogą znaleźć się w obszarze objętym monitoringiem, że wejście w taki obszar jest równoznaczne z wyrażeniem przez tę osobę zgody na przetwarzanie jej danych w zakresie wizerunku.
  6. Źródłem przetwarzanych Pani/Pana danych są kamery systemu monitoringu.
  7. Odbiorcą zarejestrowanych Pani/Pana danych osobowych będą wyłącznie podmioty uprawnione do uzyskania tych danych (podmioty świadczące na rzecz Administratora usługę stałej ochrony fizycznej obiektów, a także organy upoważnione na podstawie odrębnych przepisów prawa).
  8. Pani/Pana dane osobowe nie będą przekazywane do państw trzecich ani do organizacji międzynarodowych.
  9. Pani/Pana dane osobowe w postaci wizerunku utrwalonego na zapisach nagrań monitoringu będą przetwarzane przez okres 80 dni, a w przypadku, kiedy nagrania stanowią lub mogą stanowić dowód w postępowaniu prowadzonym na podstawie przepisów prawa – do czasu prawomocnego zakończenia postępowania.
  10. Przysługuje Pani/Panu prawo dostępu do swoich danych osobowych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych. Nie przysługuje Pani/Panu prawo do przeniesienia danych.
  11. Przysługuje Pani/Panu prawo do wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych.