1. Celem niniejszej instrukcji jest określenie zasad postępowania w przypadku, gdy:
   • stwierdzono naruszenie zasad ochrony danych osobowych w obszarze przetwarzania danych osobowych,
   • stan urządzeń, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci komputerowej mogą wskazywać na naruszenie ochrony danych osobowych.
2. Instrukcja określa zasady postępowania wszystkich osób mających dostęp do przetwarzania danych osobowych zarówno w systemach informatycznych oraz w wersji papierowej.
3. Naruszenie ochrony danych osobowych oznacza takie naruszenie zasad bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych, a w szczególności:
   • nieautoryzowany dostęp do danych;
   • nieautoryzowane modyfikacje lub zniszczenie danych;
   • udostępnienie danych nieautoryzowanym lub nieuprawnionym podmiotom;
   • nielegalne ujawnienie danych;
   • pozyskiwanie danych z nielegalnych źródeł.
4. W przypadku stwierdzenia lub podejrzenia naruszenia zabezpieczenia systemu lub zaistnienia zdarzeń, które mogą wskazywać na naruszenie ochrony danych osobowych, każda osoba przetwarzająca dane osobowe w WAT jest zobowiązana przerwać przetwarzanie tych danych i niezwłocznie powiadomić o  zaistniałym zdarzeniu bezpośredniego przełożonego, który poinformuje LADO lub wyznaczonego przez niego ODO, a następnie powinien postępować stosownie do ich decyzji.
5. Po stwierdzeniu naruszenia LADO lub wyznaczony przez niego ODO we współpracy z IOD i ASI podejmują działania zmierzające do wyjaśnienia przyczyn i okoliczności zgłoszonego zdarzenia. W zależności od rodzaju zdarzenia należy w  szczególności:
   • podjąć działania mające na celu minimalizację negatywnych skutków zdarzenia;
   • dokonać wizji lokalnej w zakresie adekwatnym do rodzaju zgłoszonego zdarzenia;
   • przeprowadzić wywiady z pracownikami w celu ustalenia okoliczności zdarzenia;
   • przeprowadzić analizy poprawności funkcjonowania systemu informatycznego, jeżeli zgłoszone zdarzenie było związane z nieprawidłowym jego funkcjonowaniem;
   • przeprowadzić analizy zapisu zdarzeń w systemie informatycznym, z uwzględnieniem zapisu operacji realizowanych przez użytkowników;
   • sporządzić dokumentację fotograficzną lub filmową (w razie potrzeby);
   • zabezpieczyć dowody zdarzenia;
   • zebrać inne materiały pozwalające na wyjaśnienie przyczyn zaistnienia zdarzenia, jego charakteru i potencjalnych skutków;
   • zapewnić możliwość dalszego bezpiecznego przetwarzania danych.
6. LADO lub wyznaczony przez niego ODO w ciągu 24 godzin od zaistnienia zdarzenia przekazuje informację o tym fakcie do  IOD (wzór).
7. IOD niezwłocznie analizuje sytuację i przekazuje informacje ‑rekomendacje do AD.
8. AD zgłasza fakt naruszenia ochrony danych osobowych organowi nadzorczemu w  ciągu 72 godzin od stwierdzenia naruszenia, chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
9. W celu realizacji zadań wynikających z niniejszej Instrukcji IOD, w porozumieniu ze LADO oraz ODO, ma prawo do podejmowania wszelkich działań dopuszczonych przez prawo, a w szczególności:
   • żądania wyjaśnień od pracowników;
   • korzystania z pomocy konsultantów;
   • wnioskowania o wydanie zakazu wykonywania pracy w zakresie przetwarzania danych osobowych do czasu przywrócenia pożądanego bezpieczeństwa przetwarzania danych i zapewnienia przestrzegania procedur bezpieczeństwa;
   • nakazania wprowadzenia dodatkowych środków bezpieczeństwa.
10. Polecenia IOD wydawane w czasie realizacji zadań wynikających z niniejszej instrukcji są priorytetowe i winny być wykonywane przed innymi, zapewniając ochronę danych osobowych.
11. LADO lub wyznaczony przez niego ODO prowadzi rejestr naruszeń i incydentów (zał. nr 14) w formie papierowej lub elektronicznej. Kopię rejestru przekazuje do IOD w  formie elektronicznej.
12. IOD odpowiedzialny jest za przeprowadzanie przynajmniej raz w roku analizy zaistniałych incydentów w celu:
    • określenia skuteczności podejmowanych działań wyjaśniających i naprawczych;
    • określenia wymaganych działań zwiększających bezpieczeństwo systemu informatycznego i minimalizujących ryzyko zaistnienia incydentów;
    • określenia potrzeb w zakresie szkoleń z ochrony danych osobowych.
13. Odmowa udzielenia wyjaśnień lub współpracy z IOD w obszarze ochrony danych osobowych traktowana będzie jako naruszenie obowiązków pracowniczych.
14. Nieprzestrzeganie zasad postępowania określonych w niniejszej Instrukcji stanowi naruszenie obowiązków pracowniczych i może być podstawą odpowiedzialności dyscyplinarnej.

Polityka bezpieczeństwa danych osobowych¹

Ewidencja osób upoważnionych do przetwarzania danych osobowych ¹

Klauzula informacyjna ¹

Oświadczenie o zapoznaniu się z przepisami  ¹

Raport z naruszenia bezpieczeństwa ¹

Rejestr czynności przetwarzania danych osobowych ¹

Rejestr naruszeń, incydentów ¹

Rejestr udostępnionych danych ¹

Rejestr umów powierzenia ¹

Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora ¹

Umowa powierzenia przetwarzania danych osobowych ¹

Upoważnienie do przetwarzania danych osobowych ¹

Wniosek o udostępnienie danych osobowych

Wniosek o nadanie, modyfikację, cofnięcie upoważnienia do przetwarzania danych osobowych ¹

Zgoda na przetwarzanie danych osobowych ¹

¹ Dokument do pobrania w sieci wewnętrznej WAT

Klauzula informacyjna dotycząca przetwarzania danych osobowych w postaci wizerunku osób widniejących na nagraniach monitoringu

Realizując obowiązek wynikający z art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), zwanego dalej „Rozporządzeniem”, Wojskowa Akademia Techniczna informuje:

1. Administratorem Pani/Pana danych osobowych jest Wojskowa Akademia Techniczna Jarosława Dąbrowskiego z siedzibą w Warszawie (kod: 00 – 908) przy ul. gen. Sylwestra Kaliskiego 2.
2. Administrator danych osobowych zwany dalej: „Administratorem” powołał Inspektora Ochrony Danych nadzorującego prawidłowość przetwarzania danych osobowych, z którym można się skontaktować za pośrednictwem adresu e‑mail: iod@wat.edu.pl
3. Podstawą prawną przetwarzania danych jest niezbędność przetwarzania danych dla celów wynikających z prawnie uzasadnionych interesów Administratora (art. 6 ust. 1 lit. f Rozporządzenia), którymi są zapewnienie bezpieczeństwa pracowników, ochrona mienia pracodawcy oraz zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę (art. 222 § 1 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy). Podstawą przetwarzania danych osobowych jest także niezbędność wypełnienia obowiązku prawnego ciążącego na Administratorze (art. 6 ust. 1 lit. c Rozporządzenia), który wynika z przepisów ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych oraz Instrukcji o ochronie obiektów wojskowych, wprowadzonej Decyzją Nr 334/MON Ministra Obrony Narodowej z dnia 19 września 2011 r. w sprawie wprowadzenia do użytku w resorcie obrony narodowej „Instrukcji o ochronie obiektów wojskowych”.
4. W związku z powyższym, obiektem wideofilmowania nie jest osoba czy grupa osób, lecz określone miejsce.
5. Wojskowa Akademia Techniczna informuje osoby, które potencjalnie mogą znaleźć się w obszarze objętym monitoringiem, że wejście w taki obszar jest równoznaczne z wyrażeniem przez tę osobę zgody na przetwarzanie jej danych w zakresie wizerunku.
6. Źródłem przetwarzanych Pani/Pana danych są kamery systemu monitoringu.
7. Odbiorcą zarejestrowanych Pani/Pana danych osobowych będą wyłącznie podmioty uprawnione do uzyskania tych danych (podmioty świadczące na rzecz Administratora usługę stałej ochrony fizycznej obiektów, a także organy upoważnione na podstawie odrębnych przepisów prawa).
8. Pani/Pana dane osobowe nie będą przekazywane do państw trzecich ani do organizacji międzynarodowych.
9. Pani/Pana dane osobowe w postaci wizerunku utrwalonego na zapisach nagrań monitoringu będą przetwarzane przez okres 80 dni, a w przypadku, kiedy nagrania stanowią lub mogą stanowić dowód w postępowaniu prowadzonym na podstawie przepisów prawa – do czasu prawomocnego zakończenia postępowania.
10. Przysługuje Pani/Panu prawo dostępu do swoich danych osobowych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych. Nie przysługuje Pani/Panu prawo do przeniesienia danych.
11. Przysługuje Pani/Panu prawo do wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych.