Polityka prywatności
Polityka prywatności UMFC
Postanowienia ogólne
Ochrona osób fizycznych w związku z przetwarzaniem ich danych osobowych jest jednym z praw podstawowych każdej osoby. Uniwersytet Muzyczny Fryderyka Chopina (dalej UMFC) przywiązuje szczególną wagę do poszanowania prywatności osób, których dane przetwarza, bez względu na to, czy zostały one pozyskane bezpośrednio od osoby, której dane dotyczą, jak i w przypadku, gdy zostały one pozyskane z innych źródeł. Niniejszy dokument polityki prywatności (dalej: Polityka) dostarcza m.in.:
- nauczycielom akademickim, pracownikom, współpracownikom, studentom, doktorantom, stronom zawieranych przez UMFC umów, mieszkańcom domów studenckich, osobom korzystającym z zasobów Biblioteki Głównej i wszystkim innym osobom, których dane są przetwarzane w ramach wszystkich procesów występujących w UMFC,
- osobom, których dane przetwarzane są w związku z odwiedzaniem stron internetowych UMFC i korzystającym z narzędzi na nich udostępnionych,
- osobom kontaktującym się z UMFC w dowolnych sprawach, w tym przesyłających korespondencję, wnioski o dostęp do informacji publicznej, składających oferty w prowadzonych postępowaniach lub przekazujących UMFC swoje dane osobowe w jakichkolwiek innych sprawach, z własnej inicjatywy informacji na temat sposobów pozyskiwania, przetwarzania oraz zabezpieczania ich danych osobowych. Polityka zawiera podstawowe informacje na temat przetwarzania i ochrony danych, natomiast szczegółowe informacje przekazywane są w odrębnych, dedykowanych dla danego rodzaju przetwarzania (procesu) klauzulach informacyjnych.
Administrator danych
Administratorem danych osobowych przetwarzanych w UMFC (we wszystkich jego lokalizacjach, w tym danych przetwarzanych w Bibliotece Głównej UMFC oraz Domach Studenckich) jest Uniwersytet Muzyczny Fryderyka Chopina z siedzibą w Warszawie przy ul. Okólnik 2. Kontakt z administratorem danych realizowany jest za pośrednictwem adresu e-mail: rektor@chopin.edu.pl telefonicznie: 22 2789 230 lub korespondencyjnie na adres siedziby w Warszawie, ul. Okólnik 2.
Inspektor ochrony danych
Administrator wyznaczył Inspektora ochrony danych. Kontakt z inspektorem realizowany jest za pośrednictwem adresu e-mail iod@chopin.edu.pl lub korespondencyjnie, na adres siedziby UMFC, z dopiskiem „IOD”.
Przepisy prawa, podstawy przetwarzania danych
Polityka prywatności UMFC opiera się przede wszystkim na przepisach:
1. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE.L Nr 119, str 1) – dalej „RODO”,
2. ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000),
3. ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (tj. Dz.U. z 2017 r., poz. 1907 ze zm.),
4. ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (tj. Dz.U. z 2017 r., poz. 1219 ze zm.),
5. ustawy z dnia 20 lipca 2018 r. – Prawo o szkolnictwie wyższym i nauce (Dz.U. z 2018, poz. 1668 z późn. zm.)
Podstawa przetwarzania danych osobowych w określonym procesie w UMFC zależy od celu przetwarzania danych – szczegółowe informacje dedykowane odpowiednim kategoriom osób I ich danych przekazywane są w odrębnych informacjach na temat przetwarzania danych, zawartych w formularzach, kwestionariuszach, umowach lub regulaminach dotyczących danego procesu przetwarzania.
Zasady przetwarzania danych osobowych
W ramach przetwarzania danych osobowych osób UMFC przykłada wagę do tego, aby dane te były przetwarzane w sposób bezpieczny, rzetelny, zgodny z prawem oraz przejrzysty dla osoby, której dane dotyczą.
Najważniejsze zasady, którymi kieruje się UMFC przy przetwarzaniu danych to:
a) dane osobowe zbierane są jedynie w minimalnym zakresie, niezbędnym do realizacji celów, w których są zbierane,
b) cele zbierania danych osobowych są jasno określone, mają oparcie w przepisach prawa lub działaniach statutowych instytutu – UMFC nie przetwarza danych w sposób niezgodny z tymi celami,
c) UMFC dba o aktualność i poprawność danych osobowych, które przetwarza i niezwłocznie reaguje na każdy wniosek o sprostowanie czy aktualizację danych, chyba że odpowiednie przepisy prawa stanowią w tym zakresie odrębnie,
d) UMFC realizuje prawo osób do dostępu do ich danych osobowych oraz ich poprawiania, chyba że odpowiednie przepisy prawa stanowią w tym zakresie odrębnie,
e) UMFC realizuje także tam, gdzie ma to zastosowanie, odpowiednio: prawa osób do usunięcia danych osobowych, wycofania zgody, ograniczenia przetwarzania, do przenoszenia danych, prawa wniesienia sprzeciwu wobec przetwarzania danych, prawa do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu,
f) UMFC ogranicza przechowywanie danych osobowych zgodnie z przepisami prawa jedynie do okresu niezbędnego do realizacji celów, w których są zbierane, chyba że zachodzą legalne przesłanki mogące wydłużyć okres przechowywania danych,
g) UMFC chroni dane osobowe przed ich utratą, dostępem osób niepowołanych, przypadkową utratą lub zmianą oraz innymi bezprawnymi formami przetwarzania,
h) jeżeli dane osobowe są udostępniane innym podmiotom, następuje to w sposób bezpieczny, umownie zabezpieczony oraz zgodny z obowiązującymi przepisami prawa,
i) ochrona osób fizycznych w związku z przetwarzaniem ich danych osobowych jest jednym z praw podstawowych każdej osoby. UMFC przywiązuje szczególną wagę do poszanowania prywatności osób, których dane są przetwarzane, bez względu na to, czy zostały one pozyskane bezpośrednio od osoby, której dane dotyczą, czy też z innych źródeł.
Bezpieczeństwo danych osobowych
UMFC podejmuje techniczne i organizacyjne środki służące ochronie danych osobowych przed bezprawnym czy nieautoryzowanym dostępem lub wykorzystaniem, jak również przed przypadkowym ich zniszczeniem, utratą lub naruszeniem integralności. Zasada zapewnienia bezpieczeństwa realizowana jest na każdym etapie przetwarzania danych i w każdym obszarze wykonywania działalności UMFC. Procedury bezpieczeństwa obejmują w szczególności:
zabezpieczenie dostępu, system kopii zapasowych, monitorowanie, przegląd i utrzymanie, zarządzanie incydentami bezpieczeństwa.
W ramach zapewniania bezpieczeństwa przetwarzanych danych osobowych UMFC zobowiązuje się do uwzględnienia zasad:
a) poufności – czyli ochrony danych przed przypadkowym ujawnieniem osobom trzecim,
b) integralności – czyli ochrony danych przed nieuprawnioną modyfikacją,
c) dostępności – czyli zapewnienia dostępu upoważnionych osób do danych, jeżeli wystąpi taka potrzeba.
Dane osobowe mogą być przetwarzane przez osoby trzecie jedynie w przypadku, gdy taki podmiot zobowiąże się do zapewnienia właściwych technicznych i organizacyjnych środków gwarantujących zapewnienie bezpieczeństwa przetwarzania danych osobowych, jak również do zachowania danych w tajemnicy. Każda osoba mająca dostęp do danych osobowych przetwarzanych w UMFC dysponuje odpowiednim upoważnieniem i jest zobowiązana do
zachowania ich w tajemnicy.
Dane osobowe, które osoby podają na naszych stronach, są szyfrowane i chronione certyfikatem SSL.
Kategorie, zakres i cel przetwarzania danych
UMFC przetwarza dane osobowe wyłącznie w określonych, jednoznacznych i zgodnych z prawem celach. Na temat tego jaki jest cel, zakres i podstawa prawna przetwarzania danych osobowych, UMFC każdorazowo informuje osoby w ramach odrębnego komunikatu dedykowanego dla poszczególnych procesów: np. procesu nauczania, zatrudnienia, projektów, badań, zleceń, postępowań ofertowych, zamówień publicznych itp., w ramach których przetwarzane są dane osobowe. Klauzule informacyjne zawierające niezbędne informacje określone w art. 13 i 14 RODO zamieszczane są w zależności od procesu, np. w kwestionariuszach osobowych, formularzach, zawieranych umowach, na stronie internetowej. Dane zbierane są również automatycznie w zakresie danych zawartych w logach systemowych oraz plikach cookies.
Skąd pozyskujemy dane
Dane pozyskujemy na różne sposoby, przede wszystkim zależy to od celu ich przetwarzania. Bez względu na sposób pozyskania danych, zawsze przetwarzamy je zgodnie z przepisami prawa. Mogą one być dostarczone bezpośrednio przez osobę, której dotyczą, otrzymane od podmiotów lub osób trzecich, zebrane automatycznie jako dane zawarte w logach systemowych oraz plikach cookies bądź pozyskane z powszechnie dostępnych źródeł.
Odbiorcy danych
Dostęp do danych osobowych przetwarzanych w UMFC mogą mieć następujący odbiorcy danych:
- upoważnieni pracownicy UMFC i inne osoby upoważnione przez administratora,
- pracownicy jednostki nadzorującej działalność UMFC,
- pracownicy organów lub podmiotów administracji publicznej w związku z realizowanymi przez nie zadaniami wynikającymi z przepisów prawa,
- usługodawcy i ich upoważnieni pracownicy, którym w drodze umowy powierzono przetwarzanie danych osobowych na potrzeby realizacji usług świadczonych dla UMFC w związku z realizacją usług własnych, w szczególności podmioty obsługujące systemy informatyczne, świadczące usługi doradcze, prawne, audytorskie i in.
Jeżeli jest to możliwe, UMFC w klauzulach informacyjnych wskazuje faktycznych odbiorców danych, a jeżeli nie ma takiej możliwości, wskazuje na ich kategorię. W uzasadnionych przypadkach dane osobowe mogą być także udostępnione organom administracji publicznej (np. prokuratura, policja, straż miejska, urzędy państwowe) i sądom. W przypadku gdy odbiorcy danych będą samodzielnie i w imieniu własnym przetwarzać dane osobowe osób, których dane dotyczą, np. oferować produkty i usługi za pośrednictwem własnych kanałów bez udziału UMFC, albo też realizować będą usługi we własnym imieniu, wówczas staną się odrębnymi administratorami danych i w tym zakresie ponoszą swoją własną odpowiedzialność za przetwarzanie takich danych osobowych, nie podlegając warunkom Polityki prywatności UMFC.
W sytuacji gdy na stronie UMFC zostaną zamieszczone linki do innych stron internetowych, stron serwisów społecznościowych lub do stron internetowych podmiotów współpracujących, należy mieć na względzie, że przechodząc na stronę internetową strony trzeciej, będziemy podlegać odrębnej polityce prywatności i ochrony danych osobowych, właściwej dla danej strony internetowej. W takim przypadku należy zapoznać się z polityką prywatności i ochrony
danych osobowych poszczególnych stron internetowych.
Okres przechowywania danych
Dane będą przechowywane przez czas, jaki jest niezbędny do zrealizowania celów, w których dane zostały zebrane. Jeżeli jest to możliwe, UMFC w klauzulach informacyjnych dedykowanych dla poszczególnych kategorii osób i procesów przetwarzania podaje okres przechowywania danych. W przypadku procesów przetwarzania danych opartych na zgodzie dane przechowywane będą przez okres jej ważności lub do czasu jej cofnięcia.
W każdym jednak przypadku okres przechowywania może ulec zmianie, tj. dane osobowe mogą być przechowywane dłużej, jeżeli obowiązek taki wynika z przepisów prawa lub jest to konieczne do ustalenia, obrony lub dochodzenia roszczeń (np. do chwili przedawnienia roszczeń możemy przechowywać dowód udzielonej przez użytkownika zgody), bądź krócej, np. w przypadku zrealizowana żądania usunięcia danych.
Okres przechowywania danych osobowych jest ustalony zgodnie z obowiązującymi przepisami prawa. Osoba, której dane dotyczą, ma prawo do uzyskania od nas informacji, jaki jest planowany i prawdopodobny czas przechowywania danych osobowych.
Poniżej wskazujemy podstawowe okresy przechowywania danych:
a) w przypadku przetwarzania wynikającego z przepisów prawa – przez czas określony w odpowiednich przepisach
b) w przypadku przetwarzania opartego na zgodzie – do czasu jej wycofania lub wcześniejszego ustania celu, dla którego zgoda była wyrażana,
c) w przypadku przetwarzania danych w związku z realizacją zadania w interesie publicznym – do ustania celu przetwarzania lub wniesienia sprzeciwu związanego ze szczególną sytuacją osoby, której dane dotyczą, chyba że zaistnieją ważne podstawy do dalszego przetwarzania tych danych,
d) w przypadku przesłanej korespondencji za pośrednictwem formularza kontaktowego – odpowiednio do momentu wniesienia sprzeciwu, cofnięcia zgody lub ustania celu przetwarzania, jednak nie dłużej niż przez okres do 3 lat,
e) świadczenia usług drogą elektroniczną lub w związku z zawartymi umowami – przez czas trwania umowy, nie dłużej niż do ustania okresu przedawnienia roszczeń,
f) w celach opartych na uzasadnionym interesie – przez okres ważności tych celów albo do czasu wniesienia sprzeciwu, w każdym przypadku nie dłużej niż 5 lat, chyba że zaistnieje konieczność przechowywania danych dłużej, gdy obowiązek taki wynika z przepisów prawa lub będzie to konieczne do ustalenia, obrony lub dochodzenia roszczeń,
g) w celach związanych z postępowaniem w sprawie zamówień publicznych – przez okres 5 lat,
h) w celach związanych z rozliczeniem należności publicznoprawnych – przez okres 5 lat,
i) w celach archiwizacyjnych – zgodnie z okresem przyjętym w instrukcji kancelaryjnej i jednolitym rzeczowym wykazem akt dla danego rodzaju dokumentacji.
Prawa osób, których dane dotyczą
Osoba, której dane osobowe przetwarzane są w UMFC, z zastrzeżeniem wyjątków przewidzianych przepisami prawa, ma prawo do:
a) wycofania zgody na przetwarzanie danych osobowych w dowolnym momencie, tylko w przypadkach, jeśli zgoda jest podstawą prawną przetwarzania danych,
b) dostępu do danych, tj. osoba ma prawo do otrzymania od UMFC potwierdzenia, czy jej dane osobowe są przetwarzane przez UMFC, w jakim celu, w jaki sposób i jak długo,
c) sprostowania nieaktualnych lub niedokładnych danych osobowych, a także prawo do ich uzupełnienia w przypadku, gdy są niekompletne,
d) sprzeciwu wobec przetwarzania danych osobowych, jeśli UMFC przetwarza dane osobowe w oparciu o uzasadniony interes (np. cele analityczne, statystyczne, dowodowe, archiwizacyjne). Wówczas w razie sprzeciwu UMFC zaprzestanie przetwarzania danych, chyba że wykaże istnienie istotnych, prawnie uzasadnionych podstaw do przetwarzania, które obiektywnie powinny mieć pierwszeństwo nad interesem osoby, której dane dotyczą lub są niezbędne do ustalenia, dochodzenia lub obrony roszczeń (np. cele dowodowe bądź dochodzenie roszczeń),
e) usunięcia danych osobowych („prawo do bycia zapomnianym”). Polega to, co do zasady, na żądaniu od administratora niezwłocznego usunięcia dotyczących danych osobowych osoby zgodnie z art. 17 RODO; istnieją jednak wyjątki od tego prawa (w szczególności do celów ustalenia, dochodzenia lub obrony roszczeń),
f) ograniczenia przetwarzania danych osobowych, co w wymiarze praktycznym może polegać na czasowym zablokowaniu dostępu do danych czy przeniesieniu danych do innego systemu,
g) przenoszenia danych, tj. osoba ma prawo do otrzymania kopii danych osobowych, które nam dostarczyła, jeśli przetwarzanie odbywa się w oparciu o jej zgodę lub na podstawie umowy oraz w sposób zautomatyzowany.
Wnioski dotyczące przetwarzanych danych osobowych, w tym dotyczące realizacji przysługujących praw, można przesyłać mailowo na adres: iod@chopin.edu.pl lub pisemnie na adres: UMFC.
Odpowiedzi na wnioski będą realizowane bez zbędnej zwłoki, nie później jednak niż w ciągu 30 dni liczonych od momentu otrzymania wniosku. Termin ten może ulec przedłużeniu z uwagi na skomplikowany charakter żądania lub liczbę żądań o kolejne dwa miesiące, o czym wnioskodawca zawsze zostanie poinformowany.
Wnioski powinny zawierać imię i nazwisko osoby wnioskującej oraz dane kontaktowe (numer telefonu lub adres e-mail, w przypadku wniosków pisemnych także adres do korespondencji). W celu realizacji niektórych wniosków UMFC może zażądać dodatkowych informacji, by potwierdzić tożsamość wnioskodawcy.
Każda z osób, której dane są przetwarzane w UMFC, w przypadku uznania, że dane w UMFC nie są przetwarzane zgodnie z przepisami prawa, ma również prawo do złożenia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych, z siedzibą w Warszawie przy ul. Stawki 2.
Przekazywanie danych do państw trzecich i organizacji międzynarodowych
W przypadku obowiązku lub konieczności przekazywania danych osobowych do państw trzecich właściwe informacje będą zawarte w informacji na temat przetwarzania danych dedykowanej konkretnemu procesowi przetwarzania. Wyjątkiem są dane, które są publicznie dostępne w sieci Internet - o ile jest ona dostępna poza obszarem UE.
Przetwarzanie danych osobowych automatycznie (w tym poprzez profilowanie)
Dane osobowe przetwarzane w UMFC nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym w oparciu o profilowanie.
Zmiany w Polityce prywatności
UMFC zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce, co może wynikać z potrzeby dostosowania do zmian w przepisach prawa czy obowiązujących standardów prywatności. W związku z tym, o wszelkich zmianach UMFC będzie informował stosownym komunikatem na stronie internetowej Uczelni.
Przetwarzanie danych z wykorzystaniem plików cookies oraz innych technologii internetowych
W związku z korzystaniem przez osoby ze stron internetowych UMFC, możemy gromadzić dane zawarte w logach systemowych, plikach cookies lub możemy wykorzystywać inne podobne technologie internetowe. Więcej informacji na temat ewentualnego wykorzystywania plików cookies i innych technologii internetowych określają odrębne polityki cookies dedykowane poszczególnym stronom.