traci moc na podstawie zarządzenia nr 67/2011
Zarządzenie nr 5/2011
Rektora Uniwersytetu Humanistyczno-Przyrodniczego Jana Kochanowskiego w Kielcach
z dnia 4 lutego 2011 roku
w sprawie ochrony danych osobowych i baz danych przetwarzanych tradycyjnie i w systemach informatycznych w Uniwersytecie Humanistyczno – Przyrodniczym Jana Kochanowskiego w Kielcach
Na podstawie art. 66 ust. 2 ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym. (Dz. U. nr 164, poz. 1365 ze zm.), art. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 roku, nr 101, poz. 926 ze zm.) zarządza się, co następuje:
§ 1
Ilekroć w niniejszym zarządzeniu lub załącznikach mowa jest o:
1) Administratorze Danych Osobowych (zwanym dalej ADO) – należy przez to rozumieć Rektora Uniwersytetu Humanistyczno – Przyrodniczego Jana Kochanowskiego w Kielcach,
2) Administratorze Bezpieczeństwa Informacji (zwanym dalej ABI) – należy przez to rozumieć osobę wyznaczoną przez ADO w celu sprawowania nadzoru nad bezpieczeństwem przetwarzania danych osobowych w Uniwersytecie, która nadto zobowiązania jest do opracowania i bieżącej aktualizacji dokumentacji regulującej zasady i zakres ochrony danych osobowych.
3) Lokalnych Administratorach Danych Osobowych (zwanych dalej LADO) – należy przez to rozumieć pracowników Uniwersytetu, którym ADO powierzył na podstawie pisemnego upoważnienia obowiązki Lokalnego Administratora Danych Osobowych,
4) Pełnomocnikach Lokalnych Administratorów Danych Osobowych (zwanych dalej PLADO) – należy przez to rozumieć pracowników Uniwersytetu, którym LADO powierzyli obowiązki związane z ochroną danych osobowych w jednostkach organizacyjnych im podległych,
5) Administratorach Systemów Informatycznych (zwanych dalej ASI) – należy przez to rozumieć pracowników Uniwersytetu powołanych przez LADO w celu administrowania konkretnym systemem informatycznym, w którym przetwarzane są dane osobowe, zobowiązanych do stosowania technicznych i organizacyjnych środków ochrony przewidzianych w systemach informatycznych,
6) użytkowniku – należy przez to rozumieć osobę posiadającą upoważnienie do przetwarzania danych osobowych w zakresie wskazanym w upoważnieniu, które zostało nadane przez ADO lub LADO,
7) danych osobowych – należy przez to rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania bezpośrednio lub pośrednio osoby fizycznej, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne, nie dotyczy to informacji umożliwiających określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań,
8) zbiorze danych – należy przez to rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, utrwalony zarówno w formie elektronicznej jak i tradycyjnej (papierowej), dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
9) ustawie – należy przez to rozumieć ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2000 roku, nr 101, poz. 926 ze zm.),
10) rozporządzeniu – należy przez to rozumieć rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024),
11) zarządzeniu – należy przez to rozumieć niniejsze zarządzenie,
12) Polityce Bezpieczeństwa – należy przez to rozumieć Politykę Bezpieczeństwa w zakresie ochrony danych osobowych w Uniwersytecie Humanistyczno – Przyrodniczym Jana Kochanowskiego w Kielcach,
13) Instrukcji – należy przez to rozumieć Instrukcję zarządzania systemami informatycznymi w Uniwersytecie Humanistyczno – Przyrodniczym Jana Kochanowskiego w Kielcach służącymi do przetwarzania danych osobowych,
14) GIODO – należy przez to rozumieć Generalnego Inspektora Ochrony Danych Osobowych,
15) Uniwersytecie/UJK – należy przez to rozumieć Uniwersytet Humanistyczno – Przyrodniczy Jana Kochanowskiego w Kielcach,
16) UCI – należy przez to rozumieć Uniwersyteckie Centrum Informatyczne.
§ 2
1. Przetwarzanie danych osobowych w Uniwersytecie Humanistyczno – Przyrodniczym Jana Kochanowskiego w Kielcach służy realizacji zadań wynikających z art. 13 ust. 1 ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym. (Dz. U. nr 164, poz. 1365 ze zm.)
2. Dane osobowe przetwarza się wyłącznie dla określonych celów związanych z działalnością Uniwersytetu.
3. Przetwarzanie danych osobowych może odbywać się w systemie informatycznym, a także w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.
4. Dane osobowe przetwarzane są z poszanowaniem obowiązujących w tym zakresie przepisów prawa, a w szczególności:
1) przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., nr 101, poz. 926 ze zm.),
2) przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024 ze zmianami),
3) przepisów art. 22[1] § 1 – 5 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity
z 1998 r.: Dz. U. nr 21, poz. 94 ze zmianami),
4) przepisów innych aktów normatywnych normujących sprawy przetwarzania danych osobowych.
§ 3
1. W Uniwersytecie przetwarzane są dane osobowe dotyczące:
1) studentów,
2) absolwentów,
3) pracowników,
4) byłych pracowników,
5) kandydatów do pracy,
6) osób, z którymi są zawierane umowy cywilnoprawne,
7) osób korzystających z Biblioteki Głównej,
8) osób spoza Uniwersytetu, które przeprowadzają postępowanie o uzyskanie w UJK stopnia
naukowego lub tytułu naukowego,
9) uczestników studiów podyplomowych, kursów i szkoleń,
10) osób, którym Uniwersytet nadał tytuł doktora honoris causa lub inne odznaczenia oraz tytuły honorowe,
11) osób zakwaterowanych w Domach Studenta i Hotelu Asystenta,
12) autorów publikacji wydawanych przez Wydawnictwo UJK.
13) członków rodzin pracowników i byłych pracowników oraz innych osób uprawnionych do korzystania z Funduszu Świadczeń Socjalnych.
2. W sytuacji, gdy zachodzi konieczność tworzenia zbiorów danych osobowych innych osób niż wymienione w ust. 1, zbiory te poddawane są rejestracji zgodnie z rozdziałem VI ustawy. Kierownik jednostki organizacyjnej, w której utworzono taki zbiór, zapewnia przetwarzanie danych z tego zbioru zgodnie z przepisami ustawy.
3. W przypadku potrzeby przekazywania danych osobowych do państwa trzeciego ADO lub LADO przestrzegają postanowień rozdziału VII ustawy.
§ 4
1. Administratorem Danych Osobowych, zgodnie z ustawą, decydującym o celach i środkach przetwarzania danych osobowych, jest rektor.
2. ADO wyznacza Administratora Bezpieczeństwa Informacji, który odpowiedzialny jest za nadzór nad przestrzeganiem zasad dotyczących bezpieczeństwa przetwarzania danych osobowych w Uniwersytecie.
3. ABI podlega bezpośrednio ADO.
4. ABI ma prawo wzglądu we wszystkie zbiory i obszary przetwarzania danych osobowych w Uniwersytecie.
5. Zadania i uprawnienia ABI szczegółowo określa Polityka Bezpieczeństwa.
§ 5
1. Obowiązki Lokalnych Administratorów Danych Osobowych wynikające z ustawy o ochronie danych osobowych ADO powierza w formie pisemnego upoważnienia:
1) prorektorom – w zakresie podległych im jednostek organizacyjnych,
2) dziekanom – w zakresie pracowników, doktorantów i studentów właściwych wydziałów,
3) kanclerzowi – w zakresie podległych mu jednostek organizacyjnych,
4) kwestorowi – w zakresie podległych mu jednostek organizacyjnych,
5) dyrektorowi Biblioteki Głównej – w zakresie osób korzystających z zasobów bibliotecznych.
2. LADO podlegają bezpośrednio ADO, a w zakresie dotyczącym przestrzegania zasad ochrony danych osobowych wykonują zalecenia ABI.
3. LADO są obowiązani zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych w podległych im jednostkach organizacyjnych oraz ich zabezpieczenie przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
4. Zadania i uprawnienia LADO szczegółowo określa Polityka Bezpieczeństwa.
§ 6
1. LADO mogą wyznaczyć w formie pisemnej Pełnomocników Lokalnych Administratorów Danych Osobowych w celu usprawnienia realizacji zadań związanych z ochroną danych osobowych w Uniwersytecie.
2. Na funkcję PLADO wyznaczają:
1) prorektorzy – kierowników podległych im jednostek organizacyjnych,
2) dziekani – kierowników dziekanatów,
3) kanclerz – kierowników podległych mu jednostek organizacyjnych,
4) kwestor – kierowników podległych mu jednostek organizacyjnych,
5) dyrektor Biblioteki Głównej – zastępcę dyrektora Biblioteki Głównej.
3. Zakres obowiązków i kompetencji PLADO określa LADO.
§ 7
1. LADO powołują w formie pisemnej Administratorów Systemów Informatycznych odpowiedzialnych za prawidłowe funkcjonowanie, zabezpieczenie systemów informatycznych, w których przetwarzane są dane osobowe.
2. Do każdego systemu informatycznego, w którym przetwarzane są dane osobowe, powinien być przyporządkowany co najmniej jeden ASI.
3. Funkcję ASI powierza się osobie, która legitymuje się wykształceniem informatycznym.
4. Szczegółowe obowiązki ASI określa Polityka Bezpieczeństwa.
§ 8
1. Każdej osobie, której dane osobowe są przetwarzane, należy zapewnić ochronę danych jej dotyczących.
2. Osobie, której dane osobowe przetwarzane są w Uniwersytecie, należy w razie potrzeby umożliwić realizację ustawowo zagwarantowanego prawa do kontroli dotyczących jej danych, poprzez:
1) uzyskanie wyczerpującej informacji, czy taki zbiór istnieje,
2) uzyskanie informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,
3) uzyskanie informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,
4) uzyskanie informacji o źródle, z którego pochodzą dane jej dotyczące,
5) uzyskanie informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
6) żądanie uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane,
7) wniesienie pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację,
8) wniesienie sprzeciwu wobec przetwarzania jej danych.
3. ADO może odstąpić od informowania osób o przetwarzaniu ich danych osobowych, w przypadkach, gdy pociągałoby to za sobą nakłady niewspółmierne z zamierzonym celem.
§ 9
1. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie, po złożeniu oświadczenia o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych w Uniwersytecie. Wzory upoważnienia i oświadczenia zamieszczone są w załącznikach nr 3 i 4.
2. Wniosek o nadanie upoważnienia do przetwarzania danych osobowych składa do ADO lub LADO bezpośredni przełożony osoby, która ma być dopuszczona do przetwarzania danych osobowych. Wzór wniosku zamieszczony jest w załączniku nr 5.
3. Osoby, które zostały upoważnione do przetwarzania danych osobowych są zobowiązane zachować w tajemnicy te dane oraz sposoby ich zabezpieczenia.
4. Osoby nie przestrzegające przepisów dotyczących ochrony danych osobowych podlegają odpowiedzialności przewidzianej w dziale VI ustawy.
§ 10
1. Udostępnienie danych osobowych instytucjom, osobom spoza Uniwersytetu, innym niż uprawnione do dostępu do danych osobowych na podstawie odrębnych przepisów prawa, może odbywać się wyłącznie po uzyskaniu zgody ADO lub LADO.
2. W celu uzyskania zgody na dostęp do określonej bazy danych osobowych należy złożyć wniosek do ADO lub LADO, który powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie.
3. Potrzeba uzyskania dostępu do określonych danych osobowych powinna zostać uzasadniona, a fakt udostępnienia danych osobowych nie może naruszać praw i wolności osób, których te dane dotyczą.
4. Wzór wniosku o udostępnienie danych osobowych zawarty jest w załączniku nr 6.
5. O udostępnieniu danych osobowych podmiotom, o których mowa w ust. 1, należy niezwłocznie poinformować ABI.
6. ABI prowadzi ewidencję osób lub podmiotów spoza Uniwersytetu, którym udostępniono dane osobowe.
§ 11
1. Zobowiązuje się LADO w terminie 45 dni od dnia wejścia w życie niniejszego zarządzenia do:
1) przygotowania i przekazania do ABI ewidencji baz danych, w których przetwarzane są dane osobowe metodą tradycyjną lub poprzez systemy informatyczne,
2) przygotowania i przekazania do ABI listy osób zatrudnionych przy przetwarzaniu danych osobowych w sposób tradycyjny, a także przetwarzających dane osobowe poprzez systemy informatyczne wraz z ich identyfikatorami systemowymi,
3) przygotowania i przekazania do ABI wykazu miejsc przetwarzania danych osobowych w sposób tradycyjny oraz w systemach informatycznych w podległych im jednostkach organizacyjnych.
2. Dokumenty, o których mowa w ust. 1, należy przesłać do ABI zarówno w formie pisemnej, jak i elektronicznej. Dokumenty te powinny zostać przygotowane w następującej formie:
1) wykaz baz danych powinien zawierać nazwę zbioru, a także informację o tym, czy w konkretnym zbiorze przetwarzane są dane osób spoza Uniwersytetu, a w przypadku zbiorów przetwarzanych w systemie informatycznym należy wskazać programy służące do przetwarzania tych danych osobowych,
2) lista osób zatrudnionych przy przetwarzaniu danych osobowych powinna zawierać stanowisko służbowe danego pracownika, rodzaj bazy danych, do której ma on dostęp, a także zakres operacji, które może wykonywać w konkretnej bazie danych osobowych.
3) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe powinien zawierać informację o sposobie zabezpieczenia konkretnego pomieszczenia przed dostępem osób nieuprawnionych.
3. LADO lub osoby przez nich upoważnione są zobowiązani do niezwłocznego przekazywania do ABI informacji o każdorazowej zmianie danych, o których mowa w § 1.
4. Dział Kadr zobowiązany jest do bieżącego uzupełniania akt osobowych pracowników Uniwersytetu zatrudnionych przy przetwarzaniu danych osobowych o:
1) imienne upoważnienia do przetwarzania danych osobowych wydane przez ADO lub LADO,
2) oświadczenia, z których wynika, że zapoznali się z aktualnymi przepisami dotyczącymi ochrony danych osobowych, że zobowiązują się do zachowania tajemnicy danych osobowych, zasad bezpieczeństwa tych danych stosowanych w czasie ich przetwarzania, nawet po ustaniu stosunku pracy w Uniwersytecie oraz, że są świadomi indywidualnej odpowiedzialności za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych.
§ 12
Zobowiązuje się LADO w terminie 30 dni od wejścia w życie niniejszego zarządzenia do:
1. wyznaczenia ASI i zlecenia im przygotowania, w terminie 45 dni od dnia zlecenia, szczegółowych instrukcji zarządzania systemami informatycznymi, którym administrują,
1) weryfikacji i ostatecznej redakcji projektu instrukcji, o której mowa w ust. 1, dokonuje ABI,
2) instrukcja powinna zawierać szczegółowy opis konkretnego systemu, którym administruje ASI, z uwzględnieniem specyficznych właściwości tego systemu, sposobu pracy w tym systemie i przetwarzania w nim danych osobowych, a także metod zabezpieczenia przed ewentualną utratą lub wyciekiem danych osobowych.
2. wyznaczenia, spośród personelu informatycznego pracującego w jednostkach organizacyjnych podległych konkretnemu LADO, osób odpowiedzialnych za:
1) zainstalowanie na każdym stanowisku komputerowym, na którym przetwarzane są dane osobowe, renomowanego, bieżąco aktualizowanego oprogramowania antywirusowego,
2) zabezpieczenie hasłem systemu BIOS przed ewentualnymi zmianami konfiguracji sprzętowej i prowadzenie ewidencji nadanych haseł,
3) udzielenie pomocy pracownikom w założeniu hasła przy starcie systemu operacyjnego, a także hasła zabezpieczającego wygaszacz ekranu,
4) odinstalowanie, z konkretnego stanowiska komputerowego, programów, np. komunikatorów internetowych, które zwiększają ryzyko utraty lub wycieku danych osobowych,
5) wykonanie innych czynności zleconych przez ABI w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
§ 13
Zobowiązuje się ABI w terminie do trzech miesięcy od dnia wejścia w życie niniejszego zarządzenia do:
1. zgłoszenia przewidzianych ustawą zbiorów danych do rejestracji GIODO,
2. opracowania i wdrożenia nowej Polityki Bezpieczeństwa zawierającej w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
4) informacje na temat sposobu przepływu danych pomiędzy poszczególnymi systemami,
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
3. opracowania i przekazania ADO raportu w sprawie realizacji zadań wynikających z niniejszego zarządzenia.
§ 14
Osoby nie przestrzegające przepisów w zakresie ochrony danych osobowych podlegają sankcjom przewidzianym w ustawie.
§ 15
Z dniem wydania upoważnień do przetwarzania danych osobowych w trybie i na zasadach przewidzianych niniejszym zarządzeniem tracą moc obowiązującą dotychczasowe upoważnienia.
§ 16
Zarządzenie wchodzi w życie z dniem podpisania.
§ 17
Z dniem wejścia w życie niniejszego zarządzenia traci moc zarządzenie Rektora UJK nr 51/2010
z dnia 1 września 2010 r, z zastrzeżeniem załącznika nr 1, który utraci moc z dniem wydania nowej Polityki Bezpieczeństwa.
Dokumenty do pobrania:
Załączniki do zarządzenia są dostępne w Biurze Organizacyjno-Prawnym (Rektorat, pok. 111, nr tel. 41 349 72 57 )
| Opublikował w BIP: | Baran Grzegorz |
| Data opublikowania: | 2012-11-27 13:14:08 |
| Zaktualizował w BIP: | Wójcik Marcin |
| Data aktualizacji: | 2019-02-13 09:37:43 |
Liczba wyświetleń strony: 4206
