Polityka bezpieczeństwa danych osobowych z dnia 25 lipca 2018 r.

Wstęp:

  1. Mając na uwadze zgodne z prawem przetwarzanie danych osobowych Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie wprowadza do stosowania niniejszą politykę.
  2. Wszyscy pracownicy i współpracownicy Małopolskiej Wyższej Szkoły Ekonomicznej w Tarnowie są zobowiązani do przestrzegania zasad zawartych w niniejszym dokumencie.
  3. Mając na uwadze zmianę przepisów w zakresie ochrony osób fizycznych przy opracowaniu niniejszej polityki brano pod uwagę zapewnienie zgodności z:
  4. Rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej Ogólne rozporządzenie o ochronie danych (RODO) (Dz. U. UE. L. 2016.119.1),
  5. Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000),
  6. Ustawą z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym (Dz.U. 2005 nr 164 poz. 1365), a także aktami wykonawczymi wydanymi na jej podstawie,
  7. Ustawą z dnia 26 czerwca 1974 r. Kodeks pracy (Dz.U. 1974 nr 24 poz. 141).

Niniejsza polityka ma na celu:

  • Określenie zasad przetwarzania danych osobowych w Małopolskiej Wyższej Szkole Ekonomicznej w Tarnowie, w tym zbierania danych, przechowywania, niszczenia, udostępniania, powierzania danych osobowych.
  • Przypisanie ról i odpowiedzialności w zakresie przetwarzania danych osobowych.
  • Opisanie środków technicznych i organizacyjnych, które służą ochronie danych osobowych przed ujawnieniem, udostępnieniem, zabraniem, zniszczeniem, utratą lub nieautoryzowaną modyfikacją.
  • Zabezpieczenie praw osób, których dane dotyczą, a także respektowania prawa osoby, której dane dotyczą, w szczególności prawa dostępu do danych, sprostowania danych, bycia zapomnianym, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu, zgodnie z aktualnie obowiązującymi przepisami prawa.
  • Uwzględnienie ochrony danych w fazie projektowania oraz stosuje domyślną politykę ochrony tam, gdzie ma to zastosowanie.

Tryb postępowania:

§ 1

Deklaracja Administratora Danych Osobowych

  1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie jest administratorem danych osobowych swoich studentów, kursantów, pracowników i współpracowników.
  2. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie mając na uwadze właściwe zabezpieczenie danych osobowych, które przetwarza, dokonała identyfikacji ryzyka, szacowania skutków i prawdopodobieństwa wystąpienia ryzyk w obszarze ochrony danych osobowych pod kątem poufności, integralności i rozliczalności przetwarzanych danych.
  3. W imieniu administratora danych osobowych występuje Rektor.
  4. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie podjęła się analizy podlegania obowiązkowemu wyznaczeniu Inspektora Ochrony Danych w przypadkach określonych w art. 37 RODO.
  5. W wyniku przeprowadzonej analizy stwierdza się, że w chwili opracowania niniejszej dokumentacji uczelnia nie podlega obowiązkowi powołania od 25 maja 2018 r. Inspektora Ochrony Danych, gdyż nie zachodzi żadna z okoliczności, w której główna działalność wiązałaby się z regularnym i systematycznym monitorowaniem osób na dużą skalę, ani z przetwarzaniem szczególnym kategorii danych, tak zwanych danych wrażliwych, na dużą skalę.
  6. Wdrożone środki organizacyjne i techniczne są adekwatne względem kategorii danych, których dotyczą. Stanowią zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów, zmianą, utratą, uszkodzeniem lub zniszczeniem.
  7. Poniższe zasady postępowania zostały opracowane w oparciu o plan postępowania z ryzykiem. Analiza ryzyka została przeprowadzona z udziałem zespołu roboczego, złożonego z przedstawicieli wszystkich obszarów, które biorą udział w przetwarzaniu danych osobowych.
  8. Analizę ryzyka przeprowadzać się będzie każdorazowo, gdy zmianie ulegnie sposób przetwarzania danych, sposób organizacji pracy, wpływający na zastosowane zabezpieczenia, system informatyczny, przepisy prawne lub stwierdzone zostanie występowanie nieznanego dotąd ryzyka.
  9. Integralną częścią polityki bezpieczeństwa danych osobowych są:
    a) Instrukcja Zarządzania Systemem Informatycznym, przyjęta przez administratora danych osobowych, w której znajduje się opis środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności w systemach informatycznych.
    b) Instrukcja postępowania w przypadku naruszenia ochrony danych, przyjęta przez administratora danych osobowych, w został znajduje się sposób postępowania w przypadku stwierdzenia lub uzasadnionego podejrzenia naruszenia ochrony danych.

§ 2

Definicje użyte w polityce

W niniejszej polityce stosuje następujące definicje i określenia:

  1. Administrator danych osobowych – oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych. W niniejszym dokumencie rozumie się przez to Małopolską Wyższą Szkołę Ekonomiczną w Tarnowie.
  2. Dane osobowe – za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Daną osobową jest każda informacja, na podstawie której można bezpośrednio lub pośrednio zidentyfikować tożsamość osoby fizycznej, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
  3. Dane osobowe wrażliwe – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia i wszelkie informacje dotyczące zdrowia psychicznego lub fizycznego, kod genetyczny, dane genetyczne i biometryczne, seksualność, dotyczące skazań lub naruszeń prawa.
  4. Dane osobowe zwykłe – to dane osobowe, które określają podstawowe dane identyfikujące osobę fizyczną. Mogą być to takie dane, jak imię i nazwisko, data urodzenia, numer PESEL, adres zamieszkania, adres e-mail, numer telefonu, etc.
  5. PUODO – Prezes Urzędu Ochrony Danych Osobowych jest organem nadzorczym na terenie RP do spraw ochrony danych osobowych.
  6. Obszar przetwarzania danych osobowych – obejmuje budynek, pomieszczenia i części pomieszczeń, w których przetwarzane są dane osobowe lub nośniki zawierające dane osobowe.
  7. Odbiorca danych – każda osoba lub podmiot, któremu udostępnia się dane.
  8. Osoba upoważniona – osoba upoważniona przez administratora danych osobowych do przetwarzania danych w celu i zakresie określonym w upoważnieniu. Osobą upoważnioną może być osoba zatrudniona na podstawie umowy o pracę, umowy cywilnoprawnej, stażysta lub wolontariusz.
  9. Udostępnienie danych – przekazanie danych osobowych innemu administratorowi danych na podstawie odpowiednich przepisów prawa.
  10. Usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwala na identyfikację osoby, której dane dotyczą;
  11. Państwo trzecie – państwo nienależące do Europejskiego Obszaru Gospodarczego.
  12. Powierzenie danych osobowych – przekazanie danych osobowych innemu podmiotowi w określonym celu i zakresie w ramach realizacji umowy.
  13. Przetwarzanie danych – wykonywanie jakichkolwiek operacji na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i ich usuwanie, niezależnie od formy, w jakiej wykonywane są te czynności. Zasady określone w niniejszej polityce należy stosować przy każdej operacji na danych.
  14. RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

§ 3

Zadania i obowiązki osób odpowiedzialnych za przetwarzanie danych

  1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie decyduje o celach i środkach przetwarzania danych. Do jej obowiązków jako administratora danych osobowych należy w szczególności:
    a) stosowanie środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
    b) nadzorowanie i kontrolowanie wdrożonych do stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii tych danych, w szczególności zabezpieczających dane przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, utratą, zmianą, uszkodzeniem lub zniszczeniem;
    c) zachowanie szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane dotyczą;
    d) kontrola nad dostępem do danych, w szczególności wydawanie upoważnień i prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;
    e) respektowanie praw osób, których dane dotyczą, w szczególności prawa dostępu do treści danych oraz ich poprawiania, a także prawa do przenoszenia danych, prawa do bycia zapomnianym, prawa do wstrzymania przetwarzania danych ze względu na szczególną sytuacją osoby – na podstawie obowiązujących przepisów prawa;
    f) spełnienie obowiązku informacyjnego wobec osoby, której dane dotyczą, zgodnie z aktualnie obowiązującymi przepisami;
    g) zapewnienia zapoznania pracowników i współpracowników, zgodnie z obowiązującymi przepisami prawa w zakresie ochrony danych osobowych, w szczególności poprzez udostępnienie dokumentacji przetwarzania danych osobowych każdej osobie upoważnionej do przetwarzania danych osobowych w taki sposób, aby mogła się zapoznać z jej zapisami.
  2. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie wyznaczyła Administratora Systemu Informatycznego, który odpowiada za bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności:
    a) nadzoruje przestrzeganie zasad funkcjonowania systemów informatycznych, przetwarzających dane osobowe;
    b) zapewnia bezawaryjne zasilanie komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych osobowych;
    c) pełni nadzór nad naprawami, konserwacją i likwidacją urządzeń komputerowych, na których przetwarzane są dane osobowe;
    d) podejmuje niezwłocznie działania zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń informatycznych;
    e) pełni nadzór nad przesyłaniem danych osobowych drogą teletransmisji;
    f) przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są dane osobowe.
  3. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie ograniczyła zasady dostępu do danych osobowych wyłącznie do osób upoważnionych. Osoba upoważniona do przetwarzania danych jest zobowiązana, w szczególności do:
    a) przetwarzania danych osobowych zgodnie z upoważnieniem wydanym przez administratora danych osobowych;
    b) stosowania się do instrukcji i procedur zawartych w dokumentacji przetwarzania danych, wydanych przez administratora danych osobowych;
    c) stosowania wprowadzonych środków organizacyjnych i technicznych, zapewniających ochronę przetwarzania danych, w szczególności przed ich udostępnieniem, kradzieżą, uszkodzeniem lub zniszczeniem przez osoby nieupoważnione;
    d) umożliwienia przeprowadzenia czynności w toku sprawdzenia planowanego lub doraźnego prowadzonego przez administratora danych osobowych lub na jego zlecenie;
    e) sprawowania nadzoru nad obiegiem oraz przechowywaniem i zabezpieczeniem dokumentów zawierających dane osobowe, do których ma dostęp w chwili wykonywania czynności służbowych;
    f) każdorazowego niezwłocznego informowania administratora danych osobowych w sytuacji naruszenia ochrony danych osobowych lub uzasadnionego podejrzenia takiego naruszenia na zasadach opisanych w Instrukcji postępowania w przypadku naruszenia ochrony danych.

§ 4

Zasady nadawania upoważnienia do przetwarzania

  1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie dopuszcza do przetwarzania wyłącznie osoby, które posiadają imienne upoważnienie nadane przez administratora danych osobowych.
  2. Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik nr 1 do niniejszej polityki.
  3. Osobą upoważnioną może być osoba zatrudniona na podstawie umowy o pracę, umowy cywilnoprawnej, stażysta lub wolontariusz, dla której dostęp do danych jest niezbędny w trakcie wykonywania obowiązków służbowych lub w związku z nadaną funkcją.
  4. Upoważnienie wydawane jest na czas trwania umowy o pracę lub innej umowy cywilnoprawnej, a także na czas wykonania określonego zadania, które nierozerwalnie związane jest z przetwarzaniem danych.
  5. Upoważnienie jest wydawane na podstawie wykazu stanowisk, który stanowi załącznik nr 2 do niniejszej polityki. W ten sposób wydawane są upoważnienia stałe – na czas zatrudnienia na danym stanowisku. Upoważnienia, zgodnie z powyższymi zasadami sporządza Główny specjalista ds. personalnych.
  6. Upoważnienie wydawane jest przed rozpoczęciem przetwarzania danych osobowych.
  7. Niezależnie od upoważnień stałych, jeśli osoba pełni zastępstwo lub wykonuje inne czasowe czynności związana z przetwarzaniem danych, np. bierze udział w komisji stypendialnej, to administrator danych wydaje jej odpowiednie upoważnienie.
  8. W przypadku upoważnień czasowych za poinformowanie Głównego specjalisty ds. personalnych o potrzebie wydania takiego upoważnienia odpowiada osoba, w której obszarze będą przetwarzane dane, np. dyrektor lub kierownik działu, przewodniczący komisji, etc.
  9. Upoważnienia czasowe nadaje się na czas wykonywania określonej czynności.
  10. Upoważnienia stałe wydaje się na czas nieokreślony, z tym zastrzeżeniem, że upoważnienie traci moc z chwilą rozwiązania umowy o pracę lub umowy cywilnoprawnej.
  11. Główny specjalista ds. personalnych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, w której znajduje się: imię i nazwisko osoby upoważnionej, stanowisko/pełniona funkcja, data nadania upoważnienia oraz data ustania upoważnienia. Wzór rejestru upoważnień znajduje się w załączniku nr 2 do niniejszej polityki.
  12. Upoważnienia przechowywane są w teczkach osobowych pracownika.

§ 5

Zasady odbierania oświadczenia o zachowaniu danych w poufności

  1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie wprowadza pisemne oświadczenia o zobowiązaniu do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, które składa osoba upoważniona do przetwarzania danych osobowych.
  2. Główny specjalista ds. personalnych wydając osobie upoważnienie do przetwarzania danych przygotowuje jednocześnie oświadczenie o zachowaniu poufności.
  3. Wzór oświadczenia osoby upoważnionej do przetwarzania danych osobowych stanowi załącznik nr 3 do niniejszej polityki.
  4. Obowiązek zachowania w tajemnicy danych osobowych i sposobów ich zabezpieczenia obowiązuje także po ustaniu zatrudnienia lub zakończeniu pełnienia funkcji, podczas której osoba zyskała dostęp do danych.
  5. Osoba składająca oświadczenie o zachowaniu poufności potwierdza także, że została zapoznana z obowiązującymi aktualnie instrukcjami bezpiecznego przetwarzania danych osobowych, które należy stosować. Za przekazanie osobie do wglądu zbioru wymienionych w oświadczeniu instrukcji postępowania odpowiada Główny specjalista ds. personalnych.
  6. Oświadczenia przechowywane są w teczkach osobowych pracownika.

§ 6

Ogólne zasady przetwarzania danych

  1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie przetwarza dane osobowe wyłącznie, gdy jest to dopuszczone aktualnie obowiązującymi przepisami prawa.
  2. Ogólnymi zasadami przetwarzania danych osobowych zobowiązani są kierować się wszyscy pracownicy i współpracownicy administratora danych osobowych uczestniczący w procesie przetwarzania danych.
  3. Dane osobowe mogą być przetwarzane wyłącznie, gdy administrator danych osobowych będzie dysponował przynajmniej jedną z przesłanek przetwarzania wskazanych w obowiązujących przepisach prawa.
  4. Dane osobowe mogą być zbierane wyłącznie w konkretnych, wyraźnych i dozwolonych prawem celach.
  5. Dane osobowe są przetwarzane przez Małopolską Wyższą Szkołę Ekonomiczną w Tarnowie, w szczególności gdy jest to niezbędne do:
    a) wypełnienia obowiązku prawnego ciążącego na administratorze danych osobowych, w szczególności:

    • w celu przeprowadzenia rekrutacji na studia oraz udokumentowania przebiegu kształcenia, w tym prowadzenia akt osobowych studenta (podstawą prawną przetwarzania danych jest w szczególności Ustawa z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym, a także Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów),
    • w celu prowadzenia rekrutacji pracowników i ich zatrudnienia (podstawą prawną przetwarzania danych jest w szczególności Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy, Ustawa z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych, a w przypadku pracowników naukowo-dydaktycznych także Ustawa z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym),
    • w celu prowadzenia monitoringu karier zawodowych swoich absolwentów (podstawą prawną przetwarzania danych jest w szczególności Ustawa Prawo o szkolnictwie wyższym z dnia 27 lipca 2005 r.).
    • innych celów określonych przepisami prawa, w szczególności wypełnienia obowiązków nałożonych na uczelnię w zakresie aktualnie obowiązującymi przepisami o szkolnictwie wyższym.

    b) wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy, w szczególności:

    • w celu realizacji zawartej umowy o kształcenie, kursów i szkoleń,
    • podpisania umowy i rozliczenia innych form współpracy niż umowa o pracę,
    • rozpatrzenia wniosku studenta o przyznanie stypendium, jeśli dotyczy,
    • korzystania z systemu biblioteczno-informacyjnego uczelni,
    • udziału w realizowanych praktykach, stażach, wymianach międzyuczelnianych,

    c) wypełnienia usprawiedliwionego cel administratora danych, którym jest zapewnienie bezpieczeństwa osób i mienia. Dotyczy to weryfikacji osób wchodzących na teren obiektu, jak i w związku z wideo monitoringiem, który został w tym celu zainstalowany;
    d) dochodzenia praw i roszczeń administratora danych, osoby, której dane dotyczą lub podmiotu, osoby trzeciej, w szczególności w celu rozliczenia studenta z powierzonych zasobów bibliotecznych, rozliczenia zaległej płatności, etc.

§ 7

Okres przechowywania danych

  1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie przetwarza dane osobowe wyłącznie przez okres niezbędny do osiągnięcia celu, dla którego zostały zebrane.
  2. Okres przechowywania danych osobowych został ustalony następująco:
    a) dane osobowe kandydata na studenta – w przypadku nieprzyjęcia kandydata na pierwszy rok studiów zwraca się kandydatowi złożone przez niego dokumenty, a także przechowuje kopie tych dokumentów przez 6 miesięcy (podstawą prawną jest 19 ust. 2 Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów);
    b) dane osobowe studenta – akta osobowe studenta przechowuje się przez okres studiów, a następnie w archiwum uczelni przez okres 50 lat (podstawą prawną jest 4 ust. 2 Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów);
    c) dane osobowe kandydata na pracownika – wyłącznie przez okres potrzebny do przeprowadzenia rekrutacji, tj. nie dłużej niż przez 6 miesięcy od dnia nadesłania aplikacji przez potencjalnego kandydata;
    d) dane osobowe pracownika – akta osobowe pracownika przechowuje się przez cały okres zatrudnienia, a następnie przez:
    50 lat licząc od dnia zakończenia pracy u danego pracodawcy, a dokumentację płacową 50 lat licząc od dnia jej wytworzenia (podstawą prawną jest art. 16 b ust. 2 pkt 6) Ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach, art. 125 a ust. 4 Ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych);
    10 lat w przypadku ubezpieczonych zgłoszonych do ubezpieczeń po dniu 31 grudnia 2018 r., a także gdy za ubezpieczonego, który został zgłoszony do ubezpieczeń społecznych po raz pierwszy po dniu 31 grudnia 1998 r., a przed dniem 1 stycznia 2019 r., został złożony raport informacyjny do ZUS – stosuje się od dnia 1 stycznia 2019 r. na podstawie  3 ustawy z 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją (Dz.U. z 2018 r. poz. 357).
    e) dane osobowe na nagraniach z monitoringu – przez okres nie dłuższy niż 3 miesiące, przy czym okres ten może zostać wydłużony w przypadku obrony praw i roszczeń administratora danych, osoby, której dane dotyczą, jak i osób trzecich.
  3. Jeśli dane osobowe są niezbędne do ustalenia praw, wysokości i zasadności roszczeń wyżej wymienione okresy mogą ulec wydłużeniu na podstawie obowiązujących przepisów, w szczególności Ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny.
  4. Wyjątki od powyższych okresów przechowywania mogą dotyczyć także przetwarzania danych na cele archiwalne w interesie publicznym, badań naukowych, celów statystycznych, jeśli dane zostaną zanonimizowane, o ile przepisy nie zezwalają na przechowywanie pełnych danych, a także odpowiednio zabezpieczone.
  5. W przypadku zmiany obowiązujących przepisów w zakresie przechowywania danych osobowych przetwarzanie zostanie niezwłocznie dostosowane do nowych przepisów.
  6. Powyższymi zasadami przetwarzania danych osobowych zobowiązani są kierować się wszyscy pracownicy i współpracownicy administratora danych osobowych uczestniczący w procesie przetwarzania danych.

§ 8

Adekwatność danych

  1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie przetwarza wyłącznie te dane osobowe, które są niezbędne do osiągnięcia celu, dla którego zostały zebrane.
  2. Zakres danych osobowych podlega weryfikacji jeszcze przed przystąpieniem do gromadzenia danych.
  3. Zakres wymaganych danych może zostać określony przepisami prawa, w szczególności:
    a) dane osobowe kandydata na studia – na podstawie Ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym, a także Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów;
    b) dane osobowe studenta – na podstawie Ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym, a także Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów;
    c) dane osobowe kandydata do pracy – na podstawie Ustawy z dnia 26 czerwca 1974 r. Kodeks pracy, a także zgody kandydata na dobrowolnie przekazany szerszy zakres danych niż wynika do z aktualnie obowiązujących przepisów prawa;
    d) dane osobowe pracownika – na podstawie Ustawy z dnia 26 czerwca 1974 r. Kodeks pracy, Ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych, a w przypadku pracowników naukowo-dydaktycznych także Ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym.
  4. W przypadku, gdy przepis prawa nie precyzuje kategorii danych należy ustalić minimalny zakres danych, które są potrzebne do osiągnięcia celu przetwarzania i zabezpieczenia interesu prawnego administratora danych osobowych, jak imię i nazwisko, adres, PESEL i/lub seria i numer dokumentu tożsamości osoby, z którą zawierana jest umowa.
  5. Osoby odpowiedzialne za przetwarzanie danych osobowych w poszczególnych obszarach zobowiązane są do zweryfikowanie zakresu danych na kwestionariuszach osobowych, umowach i innych formularzach za pomocą których pozyskiwane są dane osobowe.

§ 9

Powierzenie danych osobowych

  1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie w celu realizacji zawartych umów i usług, w których przetwarzanie danych jest niezbędne do osiągnięcia celu, dla którego zostały zawarte, może powierzyć przetwarzanie danych innym podmiotom.
  2. Powierzenie przetwarzania danych osobowych odbywa się wyłącznie na podstawie umowy zawartej na piśmie pomiędzy uczelnią, a podmiotem trzecim, któremu dane się powierza w celu i zakresie wykonania konkretnej czynności w imieniu administratora danych osobowych.
  3. Umowa powierzenia określa w szczególności cel i zakres powierzenia przetwarzania danych osobowych, a także prawa i obowiązki Administratora Danych Osobowych i podmiotu przetwarzającego dane w jego imieniu.
  4. Administrator Danych Osobowych powierza dane osobowe wyłącznie tym podmiotom, które gwarantują zastosowanie środków organizacyjnych i technicznych, zabezpieczających dane przed dostępem osób nieupoważnionych na zasadach określonych w przepisach prawa, a także wypełniania innych obowiązków nałożonych przez aktualnie obowiązujące przepisy prawa.
  5. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie powierza przetwarzane dane osobowe osób fizycznych, w szczególności w celu:
  6. obsługi i utrzymania infrastruktury informatycznej, w której są przetwarzane dane osobowe pracowników, współpracowników, studentów, kursantów.
  7. obsługi poczty elektronicznej,
  8. hosting strony www.
  9. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie sprawuje kontrolę nad tym w jakim zakresie i w jakim celu powierza dane osobowe. Prowadzi w tym celu ewidencję podmiotów, którym dane zostały powierzone do przetwarzania. Wzór ewidencji podmiotów przetwarzających stanowi załącznik nr 4.

§ 10

Udostępnienie danych osobowych

  1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie udostępnia przetwarzane dane osobowe wyłącznie osobom lub podmiotom uprawnionym do ich otrzymania na podstawie aktualnych przepisów prawa, w szczególności:
    a) dane studenta są udostępniane wyłącznie upoważnionym do tego odbiorcom danych na podstawie przepisów prawa, w tym dane studenta udostępnia się w ogólnopolskim wykazie studentów, prowadzonym przez Ministra właściwego do spraw szkolnictwa wyższego. Przekazywanie tych danych odbywa się na podstawie ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym;
    b) dane pracowników naukowych udostępnia się w ogólnopolskim wykazie nauczycieli akademickich i pracowników naukowych w systemie PON-on, prowadzonym przez Ministra właściwego do spraw szkolnictwa wyższego. Przekazywanie tych danych odbywa się na podstawie ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym;
    c) dane pracowników udostępnia się do Zakładu Ubezpieczeń Społecznych w celu gromadzenia i aktualizacji danych na kontach ubezpieczonych pracowników oraz świadczeniobiorców, którym są przyznawane lub wypłacane świadczenia. Przekazanie danych odbywa się na podstawie Ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz.U. z 2017 r. poz. 1778).
  2. Dane osobowe mogą być udostępniane ponadto na podstawie:;
    a) wniosku osoby, której dane dotyczą;
    b) wniosku od podmiotu uprawnionego do otrzymywania danych osobowych na podstawie przepisów prawa, w szczególności sąd, prokuratura, policja, komornik sądowy, inne organy państwowe w zakresie prowadzonego przez nie postępowania;
    c) wniosku innej osoby lub podmiotu, na zasadach określonych w przepisach prawa.
  3. Wszystkie osoby upoważnione, które otrzymają wniosek o udostępnienie danych, zobowiązane są do przekazywania go bezpośrednio do administratora danych osobowych, który podejmuje decyzję o udostępnieniu lub odmowie udostępnienia.
  4. Wniosek o udostępnienie danych powinien pomóc ocenić, czy podmiot, który o to wnioskuje jest uprawniony na podstawie przepisu prawa. Powinien zawierać co najmniej dokładną nazwę podmiotu, do którego wniosek wpływa, nazwę i adres wnioskodawcy oraz określać podstawę prawną upoważniającą wnioskodawcę do przetwarzania danych osobowych, o które wnioskuje, a także cel przetwarzania danych.
  5. Wzór wniosku o udostępnienie danych, który można stosować pomocniczo stanowi załącznik nr 5 do niniejszej polityki.
  6. Odmowa udostępnienia danych osobowych następuje wówczas, gdy spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą, lub innych osób oraz jeżeli dane osobowe nie mają istotnego związku ze wskazanymi we wniosku motywami działania wnioskodawcy.
  7. W przypadku udostępnienia dokumentów, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, należy dokonać anonimizacji tych danych.

§ 11

Szczególne kategorie danych osobowych

  1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie przetwarza szczególne kategorie danych, tzw. danych wrażliwych, gdy jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w szczególności w przypadku zatrudnienia w zakresie prawa pracy, zabezpieczenia społecznego, ochrony socjalnej, etc. w zakresie i celu określonym przepisami prawa.

§ 12

Zasady zabezpieczenia obszaru przetwarzania

  1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie ustala bezpieczny obszar przetwarzania danych osobowych, który obejmuje wszystkie pomieszczenia, w których wykonuje się jakiekolwiek operacje na danych osobowych, w szczególności wprowadza się, modyfikuje, archiwizuje, usuwa dane, a także wszystkie miejsca, gdzie przechowuje się systemy informatyczne lub nośniki informacji zawierające dane osobowe, jak szafy z dokumentacją papierową lub zawierające elektroniczne nośniki informacji.
  2. Wykaz obszaru przetwarzania prowadzony jest i aktualizowany przez Samodzielnego referenta ds. administracyjno-personalnych w imieniu administratora danych osobowych. Wzór wykazu stanowi załącznik nr 6 do niniejszej polityki.
  3. W celu zapewnienia bezpieczeństwa pracowników i studentów, ochrony mienia, dochodzenia roszczeń, zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę stosuje się wideomonitoring.
  4. Wideomonitoring stosowany jest wyłącznie w pomieszczeniach, które służą wykonywaniu pracy, ciągach komunikacyjnych, oraz w obrębie budynku monitorując wejścia, wyjścia z zakładu pracy.
  5. Dostęp do nagrań z wideomonitoringu jest ściśle ograniczony do osób upoważnionych i wykorzystywany wyłącznie w celach bezpieczeństwa i dochodzenia roszczeń.
  6. W celu ochrony obszaru przetwarzania przed dostępem osób nieupoważnionych stosuje instalację alarmową oraz politykę klucza, zabezpieczając w ten sposób budynki lub pomieszczenia, w których przetwarza się dane osobowe.
  7. Samodzielny referent ds. administracyjno-personalnych prowadzi ewidencję osób, które zostały upoważnione do posiadania dostępu do klucza do budynku lub pomieszczenia, w którym przetwarzane są dane osobowe. Wzór ewidencji stanowi załącznik nr 7 do niniejszej polityki.
  8. Dostęp do pomieszczenia, w którym dane osobowe są przetwarzane mogą mieć wyłącznie osoby upoważnione. Obecność innych osób może mieć miejsce wyłącznie pod nadzorem osoby upoważnionej, w szczególności dotyczy to osób sprzątających, pracowników firm serwisujących, dostawców oraz innych osób nieupoważnionych.
  9. W trakcie wykonywania czynności służbowych nie jest dozwolone opuszczanie pomieszczenia, w którym przetwarzane są dane osobowe bez jego właściwego zabezpieczenia. Nie należy pozostawiać otwartych pomieszczeń, ani kluczy w drzwiach.
  10. Osoby upoważnione do posiadania dostępu do klucza, które jako ostatnie opuszczają pomieszczenie lub budynek, są zobowiązane do sprawdzenia, czy okna i wszystkie drzwi dostępu są właściwie zabezpieczone.

§ 13

Przechowywanie dokumentów zawierających dane osobowe

  1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie ustala zasady bezpiecznego obiegu i przechowywania dokumentów, zawierających dane osobowe.
  2. Wszelkie dokumenty, zawierające dane pracowników, współpracowników, studentów, są dokumentami poufnymi, które należy chronić przed ujawnieniem, udostępnieniem osobom nieupoważnionym, zabraniem, utratą, zniszczeniem, nieautoryzowaną modyfikacją.
  3. Dokumenty zawierające dane osobowe to w szczególności:
    a) akta osobowe studenta, w tym kwestionariusze i formularze z danymi osobowymi;
    b) umowy z osobami fizycznymi, w tym umowy zawierane ze studentami i uczestnikami kursów;
    c) akta osobowe pracowników i współpracowników, w tym umowy o pracę lub umowy cywilnoprawne, a także porozumienia zmieniające lub wypowiedzenia do nich;
    d) podania o przyznanie stypendium naukowego, socjalnego, zapomogi, wnioski i decyzje związane z ich przyznaniem lub odmową;
    e) karty biblioteczne;
    f) listy obecności, wnioski urlopowe, zwolnienia chorobowe;
    g) korespondencja przychodząca i wychodząca zawierająca dane osobowe;
    h) inne dokumenty zawierające dane osobowe.
  4. Przechowywanie dokumentów, zawierających dane osobowe odbywa się z wykorzystaniem co najmniej szaf lub szuflad zamykanych na klucz.
  5. Wszystkie osoby są zobowiązane do stosowania polityki czystego biurka, mającej na celu uniemożliwienie dostępu osobom nieupoważnionym do dokumentów, które mogą znajdować się w obszarze przetwarzania lub jego pobliżu.
  6. Na biurku oraz w jego pobliżu mogą znajdować się wyłącznie te dokumenty, nad którymi osoba aktualnie pracuje. Odchodząc od stanowiska w trakcie dnia pracy oraz po jej zakończeniu nie należy pozostawiać dokumentów w miejscach łatwo dostępnych, bez zabezpieczenia dostępu do nich.
  7. Podczas obsługi administracyjnej pracownika lub studenta zabronione jest umożliwienie dostępu do danych, które dotyczą innych osób, a mogą znajdować się w obszarze przetwarzania, w szczególności mogą zostać usłyszane przez nieupoważnione osoby, podejrzane lub zabrane przez inne osoby.
  8. Przetwarzanie danych osobowych poza obszarem przetwarzania należy ograniczyć wyłącznie do sytuacji niezbędnych. Za przetwarzanie danych osobowych poza obszarem przetwarzania odpowiada osoba, która te dane przetwarza.
  9. W przypadku potrzeby przeniesienia dokumentów poza obszar przetwarzania należy podczas transportu zabezpieczyć je przed dostępem osób nieupoważnionych.

§ 14

Obowiązek informacyjny

  1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie ustala sposoby spełnienia obowiązku informacyjnego w stosunku do osób, których dane osobowe przetwarza.
  2. W przypadku pozyskiwania danych bezpośrednio od osoby, której dane dotyczą obowiązek informacyjny wykonuje się przed rozpoczęciem ich zbierania poprzez umieszczenie stosownych informacji na:
    a) kwestionariuszach za pośrednictwem których następuje zbieranie danych osobowych, w szczególności kwestionariuszach dla kandydata na studenta, studenta, uczestnika kursów i szkoleń, a także osób ubiegających się o prace i pracowników;
    b) umowach zawieranych z osobami fizycznymi, w tym umowach o kształcenie, czy umowach cywilnoprawnych ze zleceniobiorcami;
    c) na stronie internetowej uczelni.
  3. Osobę, której dane dotyczą informuje się o:
    a) dokładnej nazwie i adresie siedziby administratora danych osobowych;
    b) celu zbierania danych;
    c) dobrowolności lub obowiązku podania danych, a jeżeli taki obowiązek istnieje o jego podstawie prawnej;
    d) obecnych lub przewidywanych odbiorcach danych;
    e) okresie przez który dane będą przetwarzane, a gdy nie jest to możliwe to podaje kryteria ustalenia tego okresu;
    f) prawie wglądu do treści swoich danych oraz możliwości ich poprawiania;
    g) zamiarze przekazania danych do państwa trzeciego;
    h) prawie do żądania sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych (jeśli przetwarzanie odbywa się na podstawie umowy lub zgody osoby);
    i) prawie do cofnięcia zgody na przetwarzanie danych osobowych, w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeśli przetwarzanie odbywa się na podstawie zgody osoby;
    j) prawie wniesienia skargi do organu nadzorczego;
    k) profilowaniu i jego konsekwencjach, jeśli jest to zasadne;
    l) jeśli przetwarzanie odbywa się na podstawie interesu prawnego administratora danych o celu tego przetwarzania.
  4. Powyższych informacji nie udziela się, jeśli osoba dysponuje już tymi informacjami, a administrator danych osobowych będzie w stanie to wykazać.
  5. W przypadku pozyskania danych od osoby trzeciej obowiązek informacyjny wykonuje się w najszybszym możliwym czasie oraz formie dostosowanej do kategorii danych.
  6. Osobę tę należy w rozsądnym terminie po pozyskaniu jej danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych – poinformować dodatkowo o:
    a) źródle danych;
    b) innych uprawnieniach wynikających z aktualnie obowiązujących przepisów.

§ 15

Prawa osób, których dane dotyczą

  1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie ustala sposoby wypełnienia praw osób, których dane dotyczą, w szczególności respektuje się prawo dostępu do treści danych i ich poprawiania przez osobę, której dane dotyczą, prawo do bycia zapomnianym, prawo do przenoszenia danych, ograniczenia przetwarzania, wniesienia sprzeciwu, prawo do niepodlegania profilowaniu.
  2. W celu zachowania zasady merytorycznej poprawności zapewnia się, aby dane były zgodne z prawdą, kompletne i aktualne. W przypadku, gdy osoba zmieni dane osobowe, w szczególności nazwisko, adres zamieszkania to umożliwia się jej poprawienie swoich danych w prowadzonej dokumentacji pracowniczej lub studenckiej.
  3. Każdej osobie przysługuje prawo dostępu do danych osobowych, które go dotyczą.
  4. Dostęp do danych przez studenta jest możliwy po potwierdzeniu tożsamości, osobiście w dziekanacie, a także w formie elektronicznej w zakresie informacji przetwarzanych przez wirtualny dziekanat po zalogowaniu.
  5. Dostęp do danych osobowych kandydata do pracy i pracownika jest możliwy osobiście po zweryfikowaniu tożsamości w dziale personalnym, kwesturze, dziale administracji lub sekretariacie (w zależności od celu przetwarzania).
  6. W przypadku, gdy przetwarzanie danych opiera się na zgodzie osoby, której dane dotyczą osobie tej przysługuje prawo do wycofania zgody, co nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano przed wycofaniem zgody.
  7. Administrator danych osobowych ma również na uwadze, że każda osoba, której dane dotyczą, może wystąpić z wnioskiem o otrzymanie informacji o jej danych, które są przetwarzane u administratora danych osobowych, zgodnie z obowiązującymi przepisami.
  8. Odpowiedź na zapytanie osoby, której dane dotyczą, jest udzielana w terminie nieprzekraczającym miesiąca od daty wpłynięcia wniosku.
  9. W odpowiedzi osobę, której dane dotyczą należy poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych w zrozumiałej formie następujących informacji:
    a) jaki zakres danych jej dotyczących jest przetwarzany;
    b) jakie jest źródło danych;
    c) w jakim celu dane są przetwarzane;
    d) w jakim zakresie oraz komu dane zostały udostępnione;
    e) jej prawach, wynikających z aktualnych przepisów, w tym prawie dostępu do treści danych i ich poprawiania.
  10. Realizacja pozostałych praw osoby, której dane dotyczą jest uzależniona od podstawy prawnej przetwarzania, a także innych przepisów, które mogą nakładać obowiązek gromadzenia danych i ich przechowywania przez określony czas.

§ 16

Rejestr czynności i kategorii przetwarzania

      1. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie każdorazowo weryfikuje podstawę prawną, cel oraz zakres przetwarzanych danych.
      2. Administrator danych osobowych prowadzi rejestr czynności przetwarzania, w którym zgodnie z załącznikiem nr 8 do niniejszej polityki, odnotuje w następujące informacje:
        a)  nazwę oraz dane kontaktowe administratora danych, a także jeśli będzie miało to
        zastosowanie – inspektora ochrony danych;
        b)  cele przetwarzania;
        c)  opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
        d) kategorie odbiorców, którym dane zostały lub zostaną ujawnione, w tym w państwach trzecich i organizacji międzynarodowych (jeśli tak, to poda także nazwę państwa lub organizacji);
        e)  jeśli to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
        f) jeśli to możliwe, ogólny opis środków technicznych i organizacyjnych.
      3. Małopolska Wyższa Szkoła Ekonomiczna w Tarnowie w przypadku występowania jako podmiot przetwarzający prowadzić będzie rejestr kategorii przetwarzania, w którym zgodnie z załącznikiem nr 9 do niniejszej polityki, odnotuje następujące informacje:
        a)  nazwę oraz dane kontaktowe podmiotu przetwarzającego, a także jeśli będzie miało to zastosowanie – inspektora ochrony danych;
        b)  kategorie przetwarzania;
        c) kategorie odbiorców, którym dane zostały lub zostaną ujawnione, w tym w państwach trzecich i organizacji międzynarodowych (jeśli tak, to poda także nazwę państwa lub organizacji);
        e) jeśli to możliwe, ogólny opis środków technicznych i organizacyjnych.

§ 17

Odpowiedzialność za przetwarzanie danych osobowych

    1. Wszyscy pracownicy i współpracownicy są zobowiązani do przestrzegania zasad, instrukcji i procedur wprowadzonej dokumentacji przetwarzania danych osobowych.
    2. Nieprzestrzeganie zasad ochrony danych osobowych może skutkować również odpowiedzialnością każdej osoby, która dopuściła się naruszenia, na zasadach określonych w aktualnie obowiązujących przepisach prawnych, a w szczególności, gdy:
      a) przetwarza dane osobowe do których przetwarzania nie została upoważniona, których przetwarzanie jest zabronione lub niezgodne z celem zebrania danych;
      b) ujawnia, udostępnia lub umożliwia dostęp do danych osobowych osobom nieupoważnionym;
      modyfikuje dane osobowe w sposób niezgodny z prawdą.
Zamiana rozmiaru
Kontrast