W związku z ostatnimi wydarzeniami dotyczącymi naruszeń ochrony danych osobowych w uczelniach wyższych, zwracam uwagę na konieczność regularnego sprawdzania środków technicznych i organizacyjnych, w tym narzędzi informatycznych, stosowanych w jednostkach UJ pod kątem bezpieczeństwa danych osobowych i stosowania procedur i zabezpieczeń określonych w Zarządzeniu nr 38 Rektora Uniwersytetu Jagiellońskiego z 30 maja 2018 roku w sprawie: ochrony danych osobowych w Uniwersytecie Jagiellońskim z późn. zm.
W związku z ostatnimi wydarzeniami dotyczącymi naruszeń ochrony danych osobowych w uczelniach wyższych, zwracam uwagę na konieczność regularnego sprawdzania środków technicznych i organizacyjnych, w tym narzędzi informatycznych, stosowanych w jednostkach UJ pod kątem bezpieczeństwa danych osobowych i stosowania procedur i zabezpieczeń określonych w Zarządzeniu nr 38 Rektora Uniwersytetu Jagiellońskiego z 30 maja 2018 roku w sprawie: ochrony danych osobowych w Uniwersytecie Jagiellońskim z późn. zm.
Naruszenia przepisów regulujących ochronę danych osobowych w szczególności dot. bezpieczeństwa systemów teleinformatycznych, z których korzystają uczelnie:
- Politechnika Warszawska: https://zaufanatrzeciastrona.pl/post/powazny-wyciek-wielu-danych-osobowych-studentow-politechniki-warszawskiej/
- SWPS: https://uodo.gov.pl/pl/138/1512
- SGGW: https://uodo.gov.pl/pl/138/1464
W związku z powyższym zalecam Specjalistom ds. ochrony danych w UJ bieżące weryfikowanie z jakich narzędzi informatycznych/oprogramowania korzystają w swoich jednostkach organizacyjnych do przetwarzania danych osobowych oraz:
- jakie zabezpieczenia dostępu oraz przechowywania danych są stosowane (uwierzytelnianie dwuskładnikowe, szyfrowanie danych, zmiany haseł itp.);
- czy dostęp do danych osobowych w wersji tradycyjnej (papierowej) oraz tych zgromadzonych w systemach informatycznych posiadają wyłącznie osoby upoważnione oraz przeszkolone w zakresie ochrony danych osobowych;
- gdzie przechowywane są dane (na serwerach uczelni czy serwerach zewnętrznych);
- czy tworzone są kopie zapasowe danych, przechowywane na innych nośnikach i czy są one również zabezpieczone na takim samym poziomie;
- czy w ramach jednostki organizacyjnej do przetwarzania danych osobowych korzystacie Państwo z oprogramowania oferowanego przez deweloperów zewnętrznych i czy w związku z tym zostały zawarte z deweloperami umowy powierzenia przetwarzania danych osobowych;
- czy zbierany zakres danych osobowych jest zakresem minimalnym, niezbędnym do osiągnięcia zamierzonych celów, w których dane są przetwarzane.
W szczególności proszę zwrócić uwagę na oprogramowanie wykorzystywane do prowadzenia zajęć i egzaminów zdalnych.
Zgodnie z Zarządzeniem nr 41 Rektora Uniwersytetu Jagiellońskiego z 29 kwietnia 2020 roku w sprawie: zasad regulujących organizację weryfikacji uzyskanych efektów uczenia się określonych w programie studiów z wykorzystaniem technologii informatycznych w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 oraz Zarządzeniem nr 30 Rektora Uniwersytetu Jagiellońskiego z 17 marca 2020 roku w sprawie: zasad regulujących tryb dostosowania zajęć do formy zdalnej ich prowadzenia w celu przeciwdziałania rozprzestrzenianiu się wirusa SARS-CoV-2 rekomendowanymi narzędziami informatycznymi są: Platforma e-learningowa Pegaz (wraz z systemem BigBlueButton) oraz Office365 (w szczególności MS Teams). Korzystanie z narzędzi rekomendowanych w zarządzeniach pozwoli m.in. na kontrolę przepływu danych, w tym danych osobowych i zmniejszy ryzyko wystąpienia naruszenia praw osób, których dane dotyczą. Uprzejmie przypominam, że korespondencja dot. realizacji zadań służbowych, a w szczególności korespondencja ze studentami powinna odbywać się z wykorzystaniem poczty elektronicznej znajdującej się w domenie uczelnianej.
Chciałabym zwrócić uwagę, że wystąpienie naruszenia ochrony danych wiąże się z ryzykiem nałożenia przez Prezesa Urzędu Ochrony Danych Osobowych na Uniwersytet Jagielloński administracyjnej kary pieniężnej w wysokości do 100 tysięcy złotych.
W razie jakichkolwiek pytań i wątpliwości zapraszam do kontaktu z moim biurem: biuro.iod@uj.edu.pl