Zarządzenie Nr 53/ 2016 Rektora Uniwersytetu Rolniczego im. Hugona Kołłątaja w Krakowie z dnia 23 września 2016r. w sprawie ochrony danych osobowych Na podstawie art. 3, art. 7 pkt 4, art. 23, art. 25, art. 36 ust. 2, art. 36a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednokty Dz. U. z 2016 r., poz. 922 z późn. zm.) oraz 21 ust. 1, 2 i 4 Statutu Uczelni z dnia 29 czerwca 2015 r. zarządza się, co następuje: 1 1. Zgodnie z ustawy o ochronie danych osobowych, Uczelnia jest administratorem danych osobowych gromadzonych i przetwarzanych w związku z wykonywaniem zadań wynikających z art. 13 ustawy z dnia 27 kpca 2005 r. - Prawo o szkolnictwie wyższym. 2. Za realizację ustawowych obowiązków administratora danych odpowiada Rektor, natomiast zadania związane z ich realizacją wykonują: a) Prorektorzy, Dziekani, Dyrektor Uniwersyteckiego Centrum Medycyny Weterynaryjnej i Kanclerz w zakresie działalności podległych im jednostek; b) tzw. lokalni administratorzy danych osobowych" tj.: Kierownik Działu Informatyki - Główny Informatyk, Kwestor, Kierownik Działu Spraw Pracowniczych i Socjalnych, Kierownik Działu Nauczania, Kierownicy Dziekanatów, Dyrektor Biblioteki Głównej, Dyrektor Centrum Transferu Technologii, Kierownik Działu Zamówień Pubkcznych. upoważniony pracownik Studium Doktoranckiego UR, upoważniony pracownik Uniwersyteckiego Centrum Medycyny Weterynaryjnej, Pełnomocnik ds. Ochrony Informacji Niejawnych. 2 1. W Uczelni są zbierane, przechowywane, przetwarzane, opracowywane, udostępniane i usuwane dane osobowe pracowników, studentów, doktorantów, słuchaczy, absolwentów, kandydatów na studia i do pracy oraz osób składających Uczelni oferty gospodarcze w trybie ustawy Prawo zamówień publicznych i osób zawierających z Uczelnią umowy cywilnoprawne.
2. Dane osobowe osób, o których mowa w ust. 1, mogą być gromadzone w systemie teleinformatycznym, kartotekach, księgach, wykazach i innych zbiorach ewidencyjnych. 3. W Uczelni przetwarzanie danych osobowych odbywa się zgodnie z prawem tj. w sytuacji gdy: a) osoba, której dane dotyczą wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych; b) jest to niezbędne dla zreakzowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; c) jest to konieczne do realizacji umowy, gdy osoba której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; d) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; e) jest to niezbędne dla wypełnienia prawnie usprawiedkwionych celów reakzowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. 4. Zgoda, o której mowa w ust. 3 lit. a" może być wyrażona w formie pisemnej, ustnej lub w inny sposób ( np. kliknięcie ikony na ekranie komputera, itp. ), przy czym nie może być ona domniemana lub dorozumiana z oświadczenia wou o innej treści. 5. Zgoda, o której mowa w ust. 3 Ut. a" dotyczy również przetwarzania danych w przyszłości, jeżek nie zmienia się cel przetwarzania. 6. Dane osobowe przetwarza się wyłącznie dla celów związanych z działalnością Uczelni lub wskazanych bezwzględnie obowiązującymi przepisami prawa. 3 1. Lokalni administratorzy danych osobowych, o których mowa w 1 ust. 2 przetwarzający dane zobowiązani są dołożyć wszelkiej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zobowiązani są, aby dane były: a) przetwarzane zgodnie z prawem, b) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, c) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, d) przechowywane w postaci umożuwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 2. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane jest dopuszczalne, jeżek nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: a) w celach naukowych, dydaktycznych, historycznych lub statystycznych, b) z zachowaniem przepisów art. 23 i 25 ustawy o ochronie danych osobowych.
4 1. Zadania i obowiązki związane z organizacją zasad ochrony, zabezpieczania i kontrok przetwarzania danych osobowych zarówno w systemach informatycznych, jak i gromadzonych w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych Uczelni powierza się Pełnomocnikowi ds. Ochrony Informacji Niejawnych pełniącemu funkcję Administratora Bezpieczeństwa Informacji o którym mowa w art. 36a ustawy o ochronie danych osobowych. 2. Do zadań Administratora Bezpieczeństwa Informacji należy: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywanie w tym zakresie sprawozdań dla Rektora, b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy o ochronie danych osobowych oraz przestrzegania zasad w niej określonych, c) zapewnienie zapoznania osób upoważnionych do przetwarzania danych z przepisami 0 ochronie danych osobowych, d) prowadzenie rejestru zbiorów danych przetwarzanych przez Uczelnię, z wyjątkiem zbiorów zawierających informacje niejawne o których mowa w art. 43 ust. 1 ustawy, zawierającego nazwę zbioru oraz informacje o których mowa w art. 41 ust. 1 pkt 2-4a 1 7 ustawy o ochronie danych osobowych. 3. Administrator Bezpieczeństwa Informacji wykonuje zadania ochrony danych osobowych zgodnie z przepisami: a) ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych; b) rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu reauzacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r., poz. 745); c) rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 r., poz. 719). 4. Administrator Bezpieczeństwa Informacji podlega bezpośrednio Rektorowi. 5 1. Lokalni administratorzy danych osobowych spośród podległych sobie pracowników Uczelni wyznaczają tzw. lokalnych administratorów bezpieczeństwa informacji, którzy są odpowiedzialni za bieżące zabezpieczanie danych osobowych będących w dyspozycji poszczególnych jednostek. 2. Każdy z lokalnych administratorów bezpieczeństwa informacji opracowuje i prowadzi dokumentację opisującą sposób przetwarzania danych osobowych będących w jego dyspozycji tja) poktykę bezpieczeństwa danych osobowych, b) instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
i przekazuje Administratorowi Bezpieczeństwa Informacji w jednym egzemplarzu wyżej wymienione dokumenty. 3. Lokalni administratorzy bezpieczeństwa informacji w swoich działaniach współpracują z Administratorem Bezpieczeństwa Informacji. 4. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby, które: a) posiadają specjalne upoważnienie ( załącznik nr 1 część A), wydane przez lokalnego administratora danych osobowych. ; b) podpisały odpowiednie oświadczenie (załącznik nr 1 część B). Dokumenty, o których mowa w kt. a" i b" dołącza się do akt osobowych pracownika. 5. Ewidencję osób upoważnionych do przetwarzania danych osobowych sporządzoną według wzoru stanowiącego załącznik nr 2 do niniejszego zarządzenia, prowadzi lokalny administrator danych osobowych i w zależności od potrzeb, lecz nie rzadziej niż raz na pół roku przekazuje kopię Administratorowi Bezpieczeństwa Informacji. 6. Osoby upoważnione do przetwarzania danych osobowych są zobowiązane zachować w tajemnicy te dane oraz sposoby ich zabezpieczenia. 7. W zakresie przetwarzania danych osobowych w systemach innych niż informatyczne, obowiązują dotychczasowe przepisy o tajemnicy służbowej oraz obiegu i zabezpieczaniu dokumentów służbowych. 1. Udostępnianie danych osobowych instytucjom i osobom spoza Uczelni może odbywać się wyłącznie za pośrednictwem lokalnego administratora danych osobowych. 2. W przypadku udostępniania danych osobowych w celach innych, niż włączenie do zbioru, lokalny administrator danych udostępnia posiadane dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy obowiązujących przepisów prawa. 3. Dane osobowe udostępnia się na pisemny, umotywowany wniosek chyba, że przepis ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożhwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie. 4. Lokalny administrator danych osobowych prowadzi ewidencję udostępniania danych osobowych według wzoru określonego załącznikiem nr 3. 7 W Uczelni osoby, które nie przestrzegają przepisów w zakresie ochrony danych osobowych ponoszą odpowiedzialność służbową lub cywilną zgodnie z przepisami powszechnie obowiązującymi i przepisami wewnętrznymi Uczelni lub odpowiedzialność karną, o której mowa w rozdziale 8 ustawy o ochronie danych osobowych.
8 Uczelniany Administrator Bezpieczeństwa Informacji razem z Kierownikiem Działu Informatyki - Głównym Informatykiem co roku, w terminie do końca pierwszego kwartału, przedstawiają Rektorowi pisemną informację dotyczącą stanu ochrony danych osobowych przechowywanych w systemach informatycznych użytkowanych w Uczelni. 9 Za wykonanie zarządzenia odpowiedzialni są Prorektorzy, Dziekani, Dyrektor Uniwersyteckiego Centrum Medycyny Weterynaryjnej, Kanclerz, Kwestor i Kierownik Działu Informatyki - Główny Informatyk oraz lokalni administratorzy danych osobowych. 10 1. Traci moc obowiązującą Zarządzenie Nr 29/2009 z dnia 8 września 2009 r. w sprawie ochrony danych osobowych. 2. Zarządzenie wchodzi w życie z dniem podpisania. Kraków, dnia 23 września 2016 r. AS