REKTOR SZKOŁY GŁÓWNEJ HANDLOWEJ w Warszawie RB/56/08 ZARZĄDZENIE NR 22 z dnia 2 lipca 2008 r. w sprawie ochrony danych osobowych i baz danych przetwarzanych tradycyjnie i w systemach informatycznych Szkoły Głównej Handlowej w Warszawie Na podstawie art. 66 ust.2 ustawy z dnia 27 lipca 2005 r. prawo o szkolnictwie wyższym. (Dz. U. z 2005 r. Nr 164, poz. 1365, Nr 46, poz. 328, Nr 104, poz. 708 i 711, Nr 144, poz. 1043 i Nr 227 poz. 1658), art. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity z 2002 r.: Dz. U. Nr 101, poz. 926 z późn. zm.) w związku z 1 i 9 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) zarządza się, co następuje: 1 Przetwarzanie danych osobowych w Szkole Głównej Handlowej w Warszawie służy realizacji zadań wynikających z art.13 ust.1 ustawy z dnia 27 lipca 2005 roku prawo o szkolnictwie wyższym. 2 Ilekroć w zarządzeniu lub załącznikach mowa jest o: 1) Administratorze należy przez to rozumieć Administratora Danych Osobowych, którym jest Rektor Szkoły Głównej Handlowej w Warszawie; 2) Administratorze Bezpieczeństwa Informacji (zwany dalej ABI), należy przez to rozumieć osobę wyznaczoną przez Administratora w celu nadzorowania w jego imieniu zasad ochrony danych; 3) Lokalnych Administratorach Danych Osobowych (zwanych dalej LADO), należy przez to rozumieć pracowników SGH, którym Administrator powierzył na podstawie upoważnienia obowiązki administratora danych; 4) Administratorach Systemów Informatycznych (zwanych dalej ASI) należy przez to rozumieć osoby wyznaczone przez dyrektora Centrum Informatycznego, odpowiedzialne za wdrożenie i stosowanie zasad bezpieczeństwa danych w zakresie technicznych zabezpieczeń systemu informatycznego;
5) użytkowniku, należy przez to rozumieć osobę posiadającą upoważnienie nadane przez Administratora lub LADO do przetwarzania danych w zakresie wskazanym w upoważnieniu; 6) danych osobowych, należy przez to rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania bezpośrednio lub pośrednio osoby fizycznej, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne, nie dotyczy to informacji umożliwiających określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań; 7) danych sensytywnych, należy przez to rozumieć dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanu zdrowia, kodu genetycznego, nałogów, życia seksualnego oraz skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym; 8) zbiorze danych należy przez to rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, utrwalony zarówno w formie elektronicznej jak i tradycyjnej (papierowej), dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,; 9) ustawie należy przez to rozumieć ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. 2000 Nr 101, poz. 926 z późn. zm.); 10) GIODO należy przez to rozumieć Biuro Generalnego Inspektora Ochrony Danych Osobowych; 11) zarządzeniu należy przez to rozumieć niniejsze zarządzenie; 12) Polityce należy przez to rozumieć Politykę Bezpieczeństwa stanowiącą załącznik nr 1 do zarządzania, 13) Instrukcji należy przez to rozumieć Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych stanowiącą załącznik nr 2 do zarządzenia; 14) Regulaminie należy przez to rozumieć Regulamin organizacji i przetwarzania danych osobowych stanowiący załącznik nr 3 do zarządzenia. 3 1. Administratorem danych osobowych w Szkole Głównej Handlowej w Warszawie w rozumieniu ustawy o ochronie danych osobowych jest Rektor. 2. Rektor wyznacza osobę odpowiedzialną za bezpieczeństwo danych osobowych w Szkole Głównej Handlowej zwaną (ABI). 3. Obowiązki (LADO) wynikające z ustawy Rektor powierza w formie upoważnienia: 1) dziekanom studiów w zakresie pracowników i studentów właściwych dziekanatów; 2) dziekanom kolegiów w zakresie pracowników, studentów studiów podyplomowych i doktorantów właściwych kolegiów; 3) kanclerzowi i zastępcom kanclerza w zakresie podległych im jednostek; 4) dyrektorowi Biblioteki SGH w zakresie osób korzystających z zasobów bibliotecznych; 5) dyrektorowi Centrum Informatycznego w zakresie przetwarzania informatycznego w tej jednostce; 6) okresowo sekretarzowi komisji rekrutacyjnej w zakresie niezbędnym do przeprowadzenia rekrutacji; 7) kierownikowi jednostki organizacyjnej prowadzącej badania naukowe, na jego wniosek, w zakresie niezbędnym do przeprowadzenia badania naukowego;
8) dyrektorowi Działu Spraw Pracowniczych (zwanym dalej DSP) w zakresie danych osobowych wszystkich pracowników SGH; 9) kwestorowi w zakresie przetwarzania danych w systemach księgowych; 10) kierownikowi Działu Nauczania w zakresie prowadzonych ewidencji; 11) przewodniczącym związków zawodowych w zakresie ewidencji członków i danych osobowych pracowników korzystających z pomocy kierowanych przez nich organizacji; 12) kierownikowi Biura Samorządu Studentów w zakresie ewidencji i danych przetwarzanych przez to biuro; 13) dyrektorowi Centrum Rozwoju Edukacji Niestacjonarnej w zakresie baz danych przetwarzanych przez Centrum. 4 1. ABI wykonuje zadania ochrony danych osobowych, określone zakresem czynności, zgodnie z przepisami ustawy oraz wynikające z rozporządzenia Ministra Spraw Wewnętrznych i Administracji w ścisłej współpracy z: 1) lokalnymi administratorami danych osobowych; 2) dyrektorem Działu Spraw Pracowniczych; 3) koordynatorem Zespołu Radców Prawnych; 4) dyrektorem Centrum Informatycznego, 5) kierownikiem Działu Nauczania. 5 1. ABI zobowiązuje się do prowadzenia dokumentacji odzwierciedlającej wykonywanie zadań z zakresu ochrony danych osobowych i baz danych. 2. Dokumentacja, o której mowa w ust. 1, obejmuje w szczególności: 1) prowadzenie ewidencji baz danych, w których przetwarzane są dane osobowe w Uczelni; 2) prowadzenie ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych i ich identyfikatorów w systemach informatycznych; 3) prowadzenie ewidencji miejsc przetwarzania danych osobowych w SGH i sposobu ich zabezpieczania. 3. Dział Spraw Pracowniczych przechowuje w aktach osobowych pracowników Uczelni zatrudnionych przy przetwarzaniu danych osobowych: 1) imienne upoważnienie do dostępu do zbiorów danych tradycyjnych bądź systemu informatycznego, w którym przetwarzane są dane osobowe, wydane przez ABI; 2) oświadczenie, pracownika o zapoznaniu się z aktualnymi przepisami dotyczącymi ochrony danych osobowych w Uczelni oraz zachowaniu w tajemnicy zasad ochrony danych osobowych stosowanych w Uczelni. 4. Udostępnienie danych osobowych pracowników, doktorantów i studentów SGH do celów innych niż określone w 1 niniejszego zarządzenia, odbywa się wyłącznie za pośrednictwem Działu Spraw Pracowniczych w przypadku pracowników zatrudnionych ze stosunku pracy, Działu Nauczania w przypadku doktorantów i studentów oraz Kwestury w przypadku pracowników zatrudnionych na podstawie umów cywilno prawnych. O każdym udostępnieniu danych powinien być poinformowany LADO. 6 Osoba, której dane przetwarzane są w SGH ma prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, poprzez: 1) uzyskanie wyczerpującej informacji, czy taki zbiór istnieje;
2) uzyskanie informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze; 3) uzyskanie informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych; 4) uzyskanie informacji o źródle, z którego pochodzą dane jej dotyczące; 5) uzyskanie informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane; 6) żądanie uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane; 7) wniesienie pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację; 8) wniesienie sprzeciwu wobec przetwarzania jej danych. 7 1. Wprowadza się w Uczelni zasady ochrony danych osobowych i baz danych przetwarzanych w zbiorach danych SGH. 2. Zasady ochrony danych osobowych zawarte zostały w: 1) Polityce Bezpieczeństwa, stanowiącej załącznik nr 1 do niniejszego Zarządzenia; 2) Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych stanowiącej załącznik nr 2 do niniejszego zarządzenia; 3) Regulaminie organizacji i przetwarzania danych osobowych, stanowiącym załącznik nr 3 do niniejszego zarządzenia; 3. Aktualizacji dokumentów opisanych w ust. 1 dokonuje ABI w ścisłej współpracy z jednostkami organizacyjnymi wskazanymi w 4. 8 LADO, w ścisłej współpracy z ABI, są zobowiązani do: 1) określania indywidualnych obowiązków i odpowiedzialności osób zatrudnionych przy przetwarzaniu danych osobowych, wynikających z ustawy o ochronie danych osobowych, w postaci upoważnień o których mowa w 5 ust.3 pkt 1; 2) zapewnienia warunków osobom zatrudnionym przy przetwarzaniu danych osobowych do zapoznania się z obowiązującymi w tym zakresie przepisami; 3) przekazywania zaleceń ABI w zakresie ochrony danych osobowych i baz danych funkcjonujących w podległych ich jednostkom systemach tradycyjnych i informatycznych oraz nadzór nad wykonaniem tych zaleceń przez pracowników; 4) nadzoru nad przekazywaniem na bieżąco do ABI i DSP aktualnych danych o upoważnieniach i oświadczeniach dotyczących ochrony danych osobowych; 5) stwarzanie warunków organizacyjnych i technicznych umożliwiających spełnienie wymogów wynikających z obowiązywania ustawy o ochronie danych osobowych w podległych im jednostkach. 9 Osoby nie przestrzegające przepisów w zakresie ochrony danych osobowych podlegają sankcjom przewidzianym w ustawie i odpowiedzialności dyscyplinarnej.
10 1. Zobowiązuje się LADO w terminie trzech miesięcy od dnia otrzymania upoważnienia do: 1) przygotowania i przekazania do ABI ewidencji zasobów danych, w których przetwarzane są metodą tradycyjną lub poprzez systemy informatyczne dane osobowe; 2) przygotowania i przesłania do ABI listy osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych i ich identyfikatorów systemowych oraz listy osób przetwarzających dane osobowe w sposób tradycyjny; 3) przygotowanie i przesłanie do ABI wykazu miejsc przetwarzania danych osobowych w systemach informatycznych w podległych im jednostkach. 2. Zobowiązuje się ABI do koordynowania zadań określonych w ust. 1 oraz do zgromadzenia wszystkich wymaganych dokumentów w terminie 30 dni od ich otrzymania. 11 Zarządzenie wchodzi w życie z dniem podpisania. R E K T O R prof. dr hab. Adam Budnikowski