Biuletyn Informacji Publicznej Uniwersytetu Przyrodniczego we Wrocławiu

Na podstawie art. 66 ust.2 ustawy z dnia 25 lipca 2005 roku Prawo o szkolnictwie wyższym (Dz. U. nr164 poz. 1365 ze zmianami), art. 3 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity z 2002 r.: Dz.U. Nr 101, poz. 926 ze zmianami) w związku z § 1 i § 9 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) zarządza się, co następuje:

§ 1

1. Przetwarzanie danych osobowych w Uniwersytecie Przyrodniczym we Wrocławiu służy realizacji statutowych zadań szkoły wyższej, z poszanowaniem praw i wolności osób powierzających Uczelni swoje dane.
2. W szczególności dane osobowe przetwarza się:
   1)  dla zabezpieczania prawidłowego toku realizacji zadań dydaktycznych, naukowych i organizacyjnych Uczelni, wynikających z przepisów ustawy Prawo o szkolnictwie wyższym,
   2)  w celu zapewnienia prawidłowej, zgodnej z prawem i celami Uczelni polityki personalnej oraz bieżącej obsługi stosunków pracy i umów cywilnoprawnych,
   3)  dla realizacji innych usprawiedliwionych celów i zdań Uczelni.
3. Dane osobowe przetwarzane są z poszanowaniem obowiązujących w tym zakresie przepisów prawa, a w szczególności:
   1)  przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity z 2002 r.: Dz.U. Nr 101, poz. 926 ze zmianami) oraz przepisów wykonawczych,
   2)  przepisów art. 221 § 1-5 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity z 1998 r.: Dz. U. Nr 21, poz. 94 ze zmianami) i przepisów wykonawczych,
   3)  przepisów innych ustaw i rozporządzeń normujących przetwarzanie danych osobowych osobowych.

§ 2

1. Zarządzenie przedstawia zasady postępowania przy przetwarzaniu danych osobowych, prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane, sposób zarządzania systemami informatycznymi oraz sposoby postępowania w przypadkach naruszania ochrony danych osobowych.
2. W celu realizacji wymagań formalnych i organizacyjnych dotyczących ochrony danych osobowych wprowadza się następujące dokumenty stanowiące integralną część zarządzenia:
   1)  Polityka bezpieczeństwa w Uniwersytecie Przyrodniczym we Wrocławiu (załącznik nr 1),
   2)  Instrukcja zarządzania systemami informatycznymi, używanymi do przetwarzania danych osobowych w Uniwersytecie Przyrodniczym we Wrocławiu (załącznik nr 2),
   3)  Instrukcja postępowania w przypadkach naruszenia ochrony danych osobowych w Uniwersytecie Przyrodniczym we Wrocławiu (załącznik nr 3),
   4)  Wykaz informatycznych baz danych, w których przetwarzane są dane osobowe w Uniwersytecie Przyrodniczym we Wrocławiu – wzór (załącznik nr 4),
   5)  Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych i ich identyfikatory – wzór (załącznik nr 5),
   6)  Wykaz miejsc przetwarzania danych osobowych w systemach informatycznych w Uniwersytecie Przyrodniczym we Wrocławiu – wzór (załącznik nr 6),
   7)  Wzór wniosku i upoważnienia do przetwarzania danych osobowych w Uniwersytecie Przyrodniczym we Wrocławiu (załącznik nr 7),
   8)  Wzór oświadczenia osoby upoważnionej do przetwarzania danych osobowych w Uniwersytecie Przyrodniczym we Wrocławiu (załącznik nr 8).

§ 3

Ilekroć w niniejszym zarządzeniu jest mowa o:
1)  Uczelni – rozumie się przez to Uniwersytet Przyrodniczy we Wrocławiu,
2)  ustawie – rozumie się przez to: ustawę z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. nr 101 z 2002 roku, poz. 926 ze zmianami),
3)  rozporządzeniu – rozumie się przez to Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024),
4)  danych osobowych – rozumie się przez to każdą informację dotyczącą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
5)  dysponencie danych – rozumie się przez to osobę fizyczną, która powierzyła swoje dane Uczelni w związku z podjęciem nauki, badań, zatrudnienia lub w wyniku zawarcia umowy cywilnoprawnej,
6)  przetwarzaniu danych – rozumie się przez to wszelkie operacje wykonywane na danych osobowych , takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie , zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
7)  zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
8)  systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń , programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
9)  zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i informacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
10)  usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

§ 4

1. Uczelnia prowadzi następujące zbiory danych osobowych:
   1)  studentów,
   2)  pracowników,
   3)  osób, z którymi zawierane są umowy cywilnoprawne,
   4)  kontrahentów,
   5)  osób korzystających z Biblioteki Głównej,
   6)  osób spoza Uczelni, które przeprowadzają postępowania o uzyskanie w Uczelni stopnia naukowego doktora lub doktora habilitowanego,
   7)  osób spoza Uczelni, które przeprowadzają w Uczelni postępowanie o nadanie tytułu naukowego profesora,
   8)  6) uczestników studiów podyplomowych, kursów i szkoleń,
   9)  byłych pracowników Uczelni,
   10)  osób, którym Uczelnia nadała tytuł doktora honoris causa lub inne odznaczenia oraz tytuły honorowe.
2. W sytuacji, gdy zachodzi konieczność tworzenia zbiorów danych osobowych innych osób niż wymienione w ust. 1, zbiory te poddawane są rejestracji zgodnie z rozdziałem 6 ustawy. Kierownik jednostki organizacyjnej, w której utworzono taki zbiór, zapewnia przetwarzanie danych z tych zbiorów zgodne z przepisami ustawy.

§ 5

Przepisy zarządzenia stosuje się do danych osobowych zawartych w zbiorach danych:

–    tradycyjnych, w szczególności w kartotekach, teczkach, księgach, skorowidzach, wykazach i innych zbiorach ewidencyjnych,

–    w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych osobowych.

§ 6

1. Administratorem danych osobowych, zwanym dalej „ADO” – w sensie formalno-prawnym jest Uczelnia, natomiast w sensie praktycznym za realizację podstawowych obowiązków ADO odpowiedzialny jest rektor.
2. Zadania przewidziane w ustawie dla ADO, rektor powierza lokalnym administratorom danych osobowych, zwanym dalej „lokalnymi administratorami”:
   1)   prorektorom – w zakresie podległych im jednostek organizacyjnych,
   2)   dziekanom – w zakresie pracowników i studentów poszczególnych wydziałów,
   3)   kanclerzowi – w zakresie podległych mu jednostek organizacyjnych,
   4)   kwestorowi – w zakresie podległych mu jednostek organizacyjnych,
   5)   dyrektorowi Biblioteki Głównej – w zakresie zbioru danych osobowych osób korzystających z Biblioteki Głównej Uczelni.

§ 7

1. Rektor wyznacza Administratora Bezpieczeństwa Informacji, zwanego dalej „ABI”, nadzorującego przestrzeganie zasad zabezpieczania danych osobowych w Uczelni.
2. Główne zadania ABI, to: nadzór nad przeciwdziałaniem dostępowi osób nieuprawnionych do zbiorów danych oraz wykrywanie naruszeń w systemie ochrony i prawidłowego wykorzystywania danych osobowych w Uczelni.
3. Wymienione w ust. 2 zadania ABI wykonuje z pomocą:
   a)  Centrum Sieci Komputerowych Uczelni,
   b)  administratorów sieci teleinformatycznych.
4. Szczegółowe zadania ABI określone są w załączniku nr 2.

§ 8

1. Zobowiązuje się ABI do prowadzenia dokumentacji odzwierciedlającej wykonywanie zadań z zakresu ochrony danych osobowych i baz danych.
2. Dokumentacja, o której mowa w ust. 1, obejmuje:
   a)  prowadzenie ewidencji zbiorów danych, w których przetwarzane są dane osobowe w Uczelni,
   b)  prowadzenie ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych  w systemach informatycznych i ich identyfikatorów,
   c)  prowadzenie ewidencji miejsc przetwarzania danych osobowych w Uczelni i sposobu ich zabezpieczania,
3. Dział Kadr i Spraw Socjalnych jest zobowiązany w ciągu czterech miesięcy od wejścia w życie niniejszego zarządzenia do uzupełniania akt osobowych pracowników Uczelni zatrudnionych przy przetwarzaniu danych osobowych o:
   a)  imienne upoważnienia do przetwarzania danych osobowych, wydane przez ABI lub osobę uprawnioną,
   b)  oświadczenia, z których wynika, że zapoznali się z aktualnymi przepisami dotyczącymi ochrony danych osobowych, że zobowiązują się do zachowania w tajemnicy danych osobowych, zasad bezpieczeństwa tych danych stosowanych w czasie ich przetwarzania, nawet po ustaniu stosunku pracy w Uczelni oraz, że są świadomi indywidualnej odpowiedzialności za nieprzestrzeganie przepisów o ochronie danych osobowych,
4. Udostępnianie danych osobowych pracowników i studentów Uczelni do celów innych niż. określone w § 1 niniejszego zarządzenia, odbywa się wyłącznie za pośrednictwem lokalnych administratorów.

§ 9

1. Lokalni administratorzy zobowiązani są do przestrzegania przepisów ustawy, w szczególności poprzez:
   1)  określanie indywidualnych obowiązków i odpowiedzialności osób zatrudnionych przy przetwarzaniu danych osobowych, wynikających z ustawy,
   2)  zapoznawanie osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami obowiązującymi w tym zakresie,
   3)   wykonywanie zaleceń ABI w zakresie ochrony danych osobowych i baz danych w systemach informatycznych funkcjonujących w podległych im jednostkach,
   4)  przekazywanie, w przypadku zaistnienia jakichkolwiek zmian, na bieżąco do ABI aktualnych danych w zakresie:
   a)  wykazu informatycznych baz danych, w których przetwarzane są dane osobowe Uczelni, zgodnie z załącznikiem nr 4,
   b)  ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych oraz w zbiorach papierowych i identyfikatorów tych osób, zgodnie z załącznikiem nr 5,
   c)  wykazu miejsc, w których te dane są przetwarzane, zgodnie z załącznikiem nr 6,
   5)  wdrożenia i nadzorowania przestrzegania instrukcji, będącej załącznikiem nr 2,
   6)  niezwłocznego informowania ABI o stwierdzonych nieprawidłowościach przy przetwarzaniu danych osobowych w Uczelni.
   7)  stwarzania warunków organizacyjnych i technicznych umożliwiających spełnienie wymogów wynikających z obowiązywania ustawy o ochronie danych osobowych w podległych im jednostkach.
2.  Szczegółowe obowiązki lokalnych administratorów określa załącznik nr 2.

§ 10

1.  Do przetwarzania danych osobowych dopuszczone są wyłącznie osoby posiadające stosowne upoważnienie ADO lub podmiotów przewidzianych w § 6 ust.2 (wzór wniosku i upoważnienia stanowi załącznik nr 7).
2. Osoby nie przestrzegające przepisów w zakresie ochrony danych osobowych podlegają sankcjom przewidzianym w rozdziale 8 ustawy.

§ 11

Lokalnych administratorów zobowiązuje się – w terminie do czterech miesięcy od dnia wejścia w życie niniejszego zarządzenia, do przygotowania i przesłania do ABI:
1)  danych osobowych administratorów systemów informatycznych, zwanych dalej ASI pracujących w Uczelni,
2)  danych do ewidencji informatycznych zbiorów danych zawierających dane osobowe,
3)  listy osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych (i ich identyfikatorów), także w zbiorach papierowych,
4)    wykazu miejsc przetwarzania danych osobowych w systemach informatycznych w podległych im jednostkach organizacyjnych.

§ 12

Zobowiązuje się ABI w terminie do sześciu miesięcy od daty wejścia w życie niniejszego zarządzenia do:

1)  zgłoszenia przewidzianych ustawą zbiorów danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych,
2)  opracowania i przekazania Rektorowi raportu w sprawie realizacji zadań wynikających z niniejszego zarządzenia.

§ 13

Zarządzenie wchodzi w życie z dniem ogłoszenia.

Rektor