Rzeczpospolita Polska

Zarządzenie nr 30/2008 Rektora Uniwersytetu Przyrodniczego we Wrocławiu z dnia 12 marca 2008 roku

w sprawie ochrony danych osobowych i baz danych w systemach informatycznych w Uniwersytecie Przyrodniczym we Wrocławiu

Na podstawie art. 66 ust.2 ustawy z dnia 25 lipca 2005 roku Prawo o szkolnictwie wyższym (Dz. U. nr164 poz. 1365 ze zmianami), art. 3 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity z 2002 r.: Dz.U. Nr 101, poz. 926 ze zmianami) w związku z § 1 i § 9 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) zarządza się, co następuje:

 

§ 1

  1. Przetwarzanie danych osobowych w Uniwersytecie Przyrodniczym we Wrocławiu służy realizacji statutowych zadań szkoły wyższej, z poszanowaniem praw i wolności osób powierzających Uczelni swoje dane.
  2. W szczególności dane osobowe przetwarza się:
    1)  dla zabezpieczania prawidłowego toku realizacji zadań dydaktycznych, naukowych i organizacyjnych Uczelni, wynikających z przepisów ustawy Prawo o szkolnictwie wyższym,
    2)  w celu zapewnienia prawidłowej, zgodnej z prawem i celami Uczelni polityki personalnej oraz bieżącej obsługi stosunków pracy i umów cywilnoprawnych,
    3)  dla realizacji innych usprawiedliwionych celów i zdań Uczelni.
  3. Dane osobowe przetwarzane są z poszanowaniem obowiązujących w tym zakresie przepisów prawa, a w szczególności:
    1)  przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity z 2002 r.: Dz.U. Nr 101, poz. 926 ze zmianami) oraz przepisów wykonawczych,
    2)  przepisów art. 221 § 1-5 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity z 1998 r.: Dz. U. Nr 21, poz. 94 ze zmianami) i przepisów wykonawczych,
    3)  przepisów innych ustaw i rozporządzeń normujących przetwarzanie danych osobowych osobowych.

§ 2

  1. Zarządzenie przedstawia zasady postępowania przy przetwarzaniu danych osobowych, prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane, sposób zarządzania systemami informatycznymi oraz sposoby postępowania w przypadkach naruszania ochrony danych osobowych.
  2. W celu realizacji wymagań formalnych i organizacyjnych dotyczących ochrony danych osobowych wprowadza się następujące dokumenty stanowiące integralną część zarządzenia:
    1)  Polityka bezpieczeństwa w Uniwersytecie Przyrodniczym we Wrocławiu (załącznik nr 1),
    2)  Instrukcja zarządzania systemami informatycznymi, używanymi do przetwarzania danych osobowych w Uniwersytecie Przyrodniczym we Wrocławiu (załącznik nr 2),
    3)  Instrukcja postępowania w przypadkach naruszenia ochrony danych osobowych w Uniwersytecie Przyrodniczym we Wrocławiu (załącznik nr 3),
    4)  Wykaz informatycznych baz danych, w których przetwarzane są dane osobowe w Uniwersytecie Przyrodniczym we Wrocławiu – wzór (załącznik nr 4),
    5)  Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych i ich identyfikatory – wzór (załącznik nr 5),
    6)  Wykaz miejsc przetwarzania danych osobowych w systemach informatycznych w Uniwersytecie Przyrodniczym we Wrocławiu – wzór (załącznik nr 6),
    7)  Wzór wniosku i upoważnienia do przetwarzania danych osobowych w Uniwersytecie Przyrodniczym we Wrocławiu (załącznik nr 7),
    8)  Wzór oświadczenia osoby upoważnionej do przetwarzania danych osobowych w Uniwersytecie Przyrodniczym we Wrocławiu (załącznik nr 8).

§ 3

Ilekroć w niniejszym zarządzeniu jest mowa o:
1)  Uczelni – rozumie się przez to Uniwersytet Przyrodniczy we Wrocławiu,
2)  ustawie – rozumie się przez to: ustawę z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. nr 101 z 2002 roku, poz. 926 ze zmianami),
3)  rozporządzeniu – rozumie się przez to Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024),
4)  danych osobowych – rozumie się przez to każdą informację dotyczącą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
5)  dysponencie danych – rozumie się przez to osobę fizyczną, która powierzyła swoje dane Uczelni w związku z podjęciem nauki, badań, zatrudnienia lub w wyniku zawarcia umowy cywilnoprawnej,
6)  przetwarzaniu danych – rozumie się przez to wszelkie operacje wykonywane na danych osobowych , takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie , zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
7)  zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
8)  systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń , programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
9)  zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i informacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
10)  usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

§ 4

  1. Uczelnia prowadzi następujące zbiory danych osobowych:
    1)  studentów,
    2)  pracowników,
    3)  osób, z którymi zawierane są umowy cywilnoprawne,
    4)  kontrahentów,
    5)  osób korzystających z Biblioteki Głównej,
    6)  osób spoza Uczelni, które przeprowadzają postępowania o uzyskanie w Uczelni stopnia naukowego doktora lub doktora habilitowanego,
    7)  osób spoza Uczelni, które przeprowadzają w Uczelni postępowanie o nadanie tytułu naukowego profesora,
    8)  6) uczestników studiów podyplomowych, kursów i szkoleń,
    9)  byłych pracowników Uczelni,
    10)  osób, którym Uczelnia nadała tytuł doktora honoris causa lub inne odznaczenia oraz tytuły honorowe.
  2. W sytuacji, gdy zachodzi konieczność tworzenia zbiorów danych osobowych innych osób niż wymienione w ust. 1, zbiory te poddawane są rejestracji zgodnie z rozdziałem 6 ustawy. Kierownik jednostki organizacyjnej, w której utworzono taki zbiór, zapewnia przetwarzanie danych z tych zbiorów zgodne z przepisami ustawy.

§ 5

Przepisy zarządzenia stosuje się do danych osobowych zawartych w zbiorach danych:

–    tradycyjnych, w szczególności w kartotekach, teczkach, księgach, skorowidzach, wykazach i innych zbiorach ewidencyjnych,

–    w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych osobowych.

§ 6

  1. Administratorem danych osobowych, zwanym dalej „ADO” – w sensie formalno-prawnym jest Uczelnia, natomiast w sensie praktycznym za realizację podstawowych obowiązków ADO odpowiedzialny jest rektor.
  2. Zadania przewidziane w ustawie dla ADO, rektor powierza lokalnym administratorom danych osobowych, zwanym dalej „lokalnymi administratorami”:
    1)   prorektorom – w zakresie podległych im jednostek organizacyjnych,
    2)   dziekanom – w zakresie pracowników i studentów poszczególnych wydziałów,
    3)   kanclerzowi – w zakresie podległych mu jednostek organizacyjnych,
    4)   kwestorowi – w zakresie podległych mu jednostek organizacyjnych,
    5)   dyrektorowi Biblioteki Głównej – w zakresie zbioru danych osobowych osób korzystających z Biblioteki Głównej Uczelni.

§ 7

  1. Rektor wyznacza Administratora Bezpieczeństwa Informacji, zwanego dalej „ABI”, nadzorującego przestrzeganie zasad zabezpieczania danych osobowych w Uczelni.
  2. Główne zadania ABI, to: nadzór nad przeciwdziałaniem dostępowi osób nieuprawnionych do zbiorów danych oraz wykrywanie naruszeń w systemie ochrony i prawidłowego wykorzystywania danych osobowych w Uczelni.
  3. Wymienione w ust. 2 zadania ABI wykonuje z pomocą:
    a)  Centrum Sieci Komputerowych Uczelni,
    b)  administratorów sieci teleinformatycznych.
  4. Szczegółowe zadania ABI określone są w załączniku nr 2.

§ 8

  1. Zobowiązuje się ABI do prowadzenia dokumentacji odzwierciedlającej wykonywanie zadań z zakresu ochrony danych osobowych i baz danych.
  2. Dokumentacja, o której mowa w ust. 1, obejmuje:
    a)  prowadzenie ewidencji zbiorów danych, w których przetwarzane są dane osobowe w Uczelni,
    b)  prowadzenie ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych  w systemach informatycznych i ich identyfikatorów,
    c)  prowadzenie ewidencji miejsc przetwarzania danych osobowych w Uczelni i sposobu ich zabezpieczania,
  3. Dział Kadr i Spraw Socjalnych jest zobowiązany w ciągu czterech miesięcy od wejścia w życie niniejszego zarządzenia do uzupełniania akt osobowych pracowników Uczelni zatrudnionych przy przetwarzaniu danych osobowych o:
    a)  imienne upoważnienia do przetwarzania danych osobowych, wydane przez ABI lub osobę uprawnioną,
    b)  oświadczenia, z których wynika, że zapoznali się z aktualnymi przepisami dotyczącymi ochrony danych osobowych, że zobowiązują się do zachowania w tajemnicy danych osobowych, zasad bezpieczeństwa tych danych stosowanych w czasie ich przetwarzania, nawet po ustaniu stosunku pracy w Uczelni oraz, że są świadomi indywidualnej odpowiedzialności za nieprzestrzeganie przepisów o ochronie danych osobowych,
  4. Udostępnianie danych osobowych pracowników i studentów Uczelni do celów innych niż. określone w § 1 niniejszego zarządzenia, odbywa się wyłącznie za pośrednictwem lokalnych administratorów.

§ 9

  1. Lokalni administratorzy zobowiązani są do przestrzegania przepisów ustawy, w szczególności poprzez:
    1)  określanie indywidualnych obowiązków i odpowiedzialności osób zatrudnionych przy przetwarzaniu danych osobowych, wynikających z ustawy,
    2)  zapoznawanie osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami obowiązującymi w tym zakresie,
    3)   wykonywanie zaleceń ABI w zakresie ochrony danych osobowych i baz danych w systemach informatycznych funkcjonujących w podległych im jednostkach,
    4)  przekazywanie, w przypadku zaistnienia jakichkolwiek zmian, na bieżąco do ABI aktualnych danych w zakresie:
    a)  wykazu informatycznych baz danych, w których przetwarzane są dane osobowe Uczelni, zgodnie z załącznikiem nr 4,
    b)  ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych oraz w zbiorach papierowych i identyfikatorów tych osób, zgodnie z załącznikiem nr 5,
    c)  wykazu miejsc, w których te dane są przetwarzane, zgodnie z załącznikiem nr 6,
    5)  wdrożenia i nadzorowania przestrzegania instrukcji, będącej załącznikiem nr 2,
    6)  niezwłocznego informowania ABI o stwierdzonych nieprawidłowościach przy przetwarzaniu danych osobowych w Uczelni.
    7)  stwarzania warunków organizacyjnych i technicznych umożliwiających spełnienie wymogów wynikających z obowiązywania ustawy o ochronie danych osobowych w podległych im jednostkach.
  2.  Szczegółowe obowiązki lokalnych administratorów określa załącznik nr 2.

§ 10

  1.  Do przetwarzania danych osobowych dopuszczone są wyłącznie osoby posiadające stosowne upoważnienie ADO lub podmiotów przewidzianych w § 6 ust.2 (wzór wniosku i upoważnienia stanowi załącznik nr 7).
  2. Osoby nie przestrzegające przepisów w zakresie ochrony danych osobowych podlegają sankcjom przewidzianym w rozdziale 8 ustawy.

§ 11

Lokalnych administratorów zobowiązuje się – w terminie do czterech miesięcy od dnia wejścia w życie niniejszego zarządzenia, do przygotowania i przesłania do ABI:
1)  danych osobowych administratorów systemów informatycznych, zwanych dalej ASI pracujących w Uczelni,
2)  danych do ewidencji informatycznych zbiorów danych zawierających dane osobowe,
3)  listy osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych (i ich identyfikatorów), także w zbiorach papierowych,
4)    wykazu miejsc przetwarzania danych osobowych w systemach informatycznych w podległych im jednostkach organizacyjnych.

§ 12

Zobowiązuje się ABI w terminie do sześciu miesięcy od daty wejścia w życie niniejszego zarządzenia do:

1)  zgłoszenia przewidzianych ustawą zbiorów danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych,
2)  opracowania i przekazania Rektorowi raportu w sprawie realizacji zadań wynikających z niniejszego zarządzenia.

§ 13

Zarządzenie wchodzi w życie z dniem ogłoszenia.

Rektor

prof. dr hab. Michał Mazurkiewicz


UWAGA!

Akt prawny zmieniony zarządzeniem nr 53/2010 Rektora Uniwersytetu Przyrodniczego we Wrocławiu z dnia 27 kwietnia 2010 r. oraz   zarządzeniem nr 5/2012 Rektora Uniwersytetu Przyrodniczego we Wrocławiu z dnia 6 stycznia 2012 roku




UWAGA!

Akt prawny stracił moc – vide zarządzenie nr 11/2019 Rektora Uniwersytetu Przyrodniczego we Wrocławiu z dnia 21 stycznia 2019 roku


załącznik nr 1 - Polityka bezpieczeństwa w zakresie ochrony danych osobowych plik tekstowy, 163.89 KB
2010-12-30 22:13
załącznik nr 2 - instrukcja zarządzania systemami informatycznymi używanymi do przetwarzania danych osobowych plik tekstowy, 98.23 KB
2010-12-30 22:13
załącznik nr 3 - instrukcja postępowania w przypadkach naruszenia ochrony danych osobowych plik tekstowy, 41.40 KB
2010-12-30 22:13
załącznik nr 4 - wykaz informatycznych baz danych w ktorych przetwarzane są dane osobowe plik tekstowy, 29.41 KB
2010-12-30 22:13
załącznik nr 5 - ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych plik tekstowy, 36.16 KB
2010-12-30 22:13
załącznik nr 6 - wykaz miejsc przetwarzania danych osobowych plik tekstowy, 26.40 KB
2010-12-30 22:13
plik tekstowy załącznik nr 7 - wniosek o nadanie upoważnienia do przetwarzania danych osobowych plik tekstowy, 24.47 KB
2012-02-23 11:32
załącznik nr 8 - oświadczenie plik tekstowy, 32.81 KB
2010-12-30 22:13
Wytworzył:
Anna Dzięcioł-Solecka
Data ostatniej aktualizacji:
2019-01-31 10:46