Poniżej przedstawiamy zestawienie ogólnych informacji dotyczących przetwarzania danych osobowych w ramach Systemu POL-on oraz sposobów zapewniania im ochrony zarówno w odniesieniu do osób, których dane są zawarte w systemie, jak i użytkowników instytucjonalnych
-
1. INFORMACJE OGÓLNE
Zintegrowany System Informacji o Szkolnictwie Wyższym i Nauce POL-on (System POL-on) prowadzony jest przez ministra właściwego ds. szkolnictwa wyższego i nauki na podstawie art. 342 ust 1 ustawy z dnia 20 lipca 2018 prawo o szkolnictwie wyższym i nauce (Dz. U. z 2020 poz. 85) (dalej: p.s.w.n.).
System POL-on jest systemem teleinformatycznym w rozumieniu 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2019 r. poz. 700, 730, 848, 1590 i 2294).
System POL-on obejmuje bazy danych, w tym zawierające dane osobowe, których zakres przedmiotowy został wskazany w art. 342 ust. 3 p.s.w.n.
Poszczególne podmioty wchodzące w skład systemu szkolnictwa wyższego i nauki zobowiązane do wprowadzania, aktualizowania, archiwizowania oraz usuwania danych w ramach systemu POL-on mają obowiązek stosować w tym procesie przyjęte przez siebie wewnętrzne polityki bezpieczeństwa informacji/danych osobowych, z uwzględnieniem obowiązujących przepisów p.s.w.n. oraz przepisów dotyczących ochrony danych osobowych, w szczególności Rozporządzenia UE 679/2016 z dnia 27 kwietnia 2016 r. (dalej: RODO).
-
2. PRZEPISY PRAWA DOTYCZĄCE SYSTEMU POL-ON W KONTEKŚCIE PRZETWARZANYCH DANYCH OSOBOWYCH
W procesie przetwarzania danych osobowych w Systemie POL-on, w tym przy tworzeniu polityk bezpieczeństwa przez poszczególne podmioty wchodzące w skład systemu szkolnictwa wyższego
i nauki, należy uwzględnić obowiązki wynikające z przepisów prawa, w szczególności wynikających z następujących aktów prawnych:- ustawy z dnia 20 lipca 2018 r. prawo o szkolnictwie wyższym i nauce (Dz.U. z 2018, poz. 1668 z póź. zm.) – dalej: p.s.w.n.;
- rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 6 marca 2019 r. w sprawie danych przetwarzanych w Zintegrowanym Systemie Informacji o Szkolnictwie Wyższym
i Nauce POL-on – dalej: rozporządzenia ws. POL-on; - rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L Nr 119, str. 1) – dalej: RODO; - ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000);
- ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2019 r. poz. 700, 730, 848, 1590 i 2294);
- rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji
w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych
(Dz.U. 2017 poz. 2247) – dalej: rozporządzenia KRI.
-
3. ZBIORY DANYCH PRZETWARZANYCH W RAMACH SYSTEMU POL-ON
Zgodnie z art. 342 ust. 3 p.s.w.n., System POL-on obejmuje następujące bazy danych:
- wykaz nauczycieli akademickich, innych osób prowadzących zajęcia, osób prowadzących działalność naukową oraz osób biorących udział w jej prowadzeniu,
- wykaz studentów,
- wykaz osób ubiegających się o stopień doktora,
- wykaz instytucji systemu szkolnictwa wyższego i nauki,
- repozytorium pisemnych prac dyplomowych,
- bazę dokumentów w postępowaniach awansowych,
- bazę osób upoważnionych do podpisywania dokumentów,
- bazę dokumentów planistyczno-sprawozdawczych.
Z punktu widzenia struktury Systemu POL-on, powyższe bazy danych posiadają postać modułów. Wykazowi/bazie danych wskazanym w ustawie może odpowiadać jeden moduł (np. repozytorium pisemnych prac dyplomowych). W innych sytuacjach, z uwagi na obszerność wykazu/bazy, zbierane dane są rozdzielone na kilka modułów (np. w ramach wykazu instytucji dane są zbierane m.in. w modułach: Instytucje, Kierunki studiów, Szkoły doktorskie).
Zgodnie z art. 4 pkt 6 RODO, zbiór danych oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. W kontekście powyższej definicji, dane osobowe przetwarzane w ramach poszczególnych baz Systemu POL-on stanowią odpowiednio zbiory danych osobowych, oczywiście w przypadku, gdy w ramach tych baz przetwarzane są dane osobowe.
Szczegółowy zakres informacji o osobach, których dane są przetwarzane w systemie POL-on
w ramach poszczególnych baz określają odpowiednie przepisy p.s.w.n. (art. 343-350). Uszczegółowieniem tego zakresu jest rozporządzenie ws. POL-on, które określa:- szczegółowy zakres danych przetwarzanych w ramach poszczególnych baz danych,
- tryb i terminy wprowadzania danych do Systemu POL-on oraz aktualizowania, archiwizowania i usuwania tych danych,
- sposób wprowadzania prac dyplomowych do repozytorium pisemnych prac dyplomowych oraz specyfikację formatu tych prac,
- tryb i sposób udostępniania danych zamieszczonych w Systemie POL-on.
-
4. ADMINISTRATORZY DANYCH OSOBOWYCH W SYSTEMIE POL-ON
Administratorem (w rozumieniu art. 4 pkt 7 RODO) danych osobowych wprowadzonych do Systemu POL-on przez poszczególne podmioty systemu szkolnictwa wyższego i nauki jest Minister Edukacji i Nauki, ul. Wspólna 1/3, 00-529 Warszawa (dalej: MEiN).
Kontakt do administratora: email sekretariat.bm@nauka.gov.pl lub tel. (22) 529 27 18.
Informacji na temat danych osobowych przetwarzanych przez MEiN udziela Inspektor Ochrony Danych MEiN, z którym można skontaktować się mailowo: inspektor@mein.gov.pl.
MEiN, jako administrator, decyduje o celach i sposobie przetwarzania danych osobowych gromadzonych w Systemie POL-on.
Podmioty wchodzące w skład systemu szkolnictwa wyższego i nauki również są administratorami danych (w rozumieniu art. 4 pkt 7 RODO) w zakresie, w jakim zbierają dane osobowe od osób we własnym zakresie i własnych celach oraz które to dane następnie wprowadzają do Systemu POL-on. Przez własne cele rozumiemy tu również realizację obowiązku, nałożonego przepisami prawa, wykonania określonych czynności, czyli wprowadzania, aktualizowania, archiwizowania i usuwania danych w POL-onie.
W związku z tym, to podmiot systemu szkolnictwa wyższego i nauki jest zobowiązany do realizacji prawa osoby, które dane dotyczą, do sprostowania danych i ich aktualizacji (więcej na ten temat zobacz w punkcie 10.)
MEiN jest administratorem danych od momentu wprowadzenia danych osobowych do Systemu POL-on. Do tego czasu administratorami danych są poszczególne podmioty. Podmioty te są również administratorami danych przez cały czas i we wszystkich sytuacjach, gdy pozyskują dane z Systemu POL-on, od momentu ich pozyskania, oraz przetwarzają te dane we własnych celach (również gdy realizują nałożone na nie obowiązki).
-
5. PODMIOT PRZETWARZAJĄCY DANE
Podmiotem przetwarzającym dane w Systemie POL-on w imieniu administratora jest Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy z siedzibą w Warszawie przy
al. Niepodległości 188b, wpisany do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy – Sąd Gospodarczy XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem: 0000127372, NIP: 525-000-91-40, REGON: 006746090 (dalej: OPI PIB).Informacji na temat danych osobowych przetwarzanych przez OPI PIB, w tym danych przetwarzanych w imieniu MEiN, udziela Inspektor Ochrony Danych OPI PIB, z którym można się skontaktować telefonicznie pod numerem (22) 570 14 00 lub mailowo: iod@opi.org.pl.
OPI PIB jako instytut badawczy, którego przedmiot działania jest związany ze świadczeniem usług w zakresie systemów informacyjnych, nadzorowany przez MEiN administruje Systemem POL-on, w tym bazami danych tego systemu. Zadanie to jest realizowane na podstawie art. 353 p.s.w.n. oraz w oparciu o umowę powierzenia przetwarzania danych osobowych zawartą na podstawie art. 28 RODO.
Odbiorcami danych osobowych przetwarzanych w systemie POL-on są również podmioty wskazane w art. 343 ust. 5, art. 344 ust. 3, art. 345 ust. 3, 347 ust 3, 349 ust. 3 p.s.w.n.
-
6. CEL PRZETWARZANIA DANYCH W SYSTEMIE POL-ON
Zgodnie z art. 342 ust. 4 p.s.w.n. dane w Systemie POL-on są przetwarzane w następujących celach:
- wykonywania zadań związanych z ustalaniem i realizacją polityki naukowej państwa,
- przeprowadzania ewaluacji jakości kształcenia, ewaluacji szkół doktorskich i ewaluacji jakości działalności naukowej,
- prowadzenia postępowań w sprawie nadania stopnia doktora, stopnia doktora habilitowanego i tytułu profesora,
- ustalania wysokości subwencji i dotacji,
- nadzoru nad systemem szkolnictwa wyższego i nauki,
- realizacji zadań przez NAWA, NCBiR oraz NCN,
- monitorowania losów absolwentów szkół wyższych i absolwentów publicznych i niepublicznych szkół ponadpodstawowych.
-
7. PODSTAWA PRAWNA PRZETWARZANIA DANYCH W SYSTEMIE POL-ON
Aby przetwarzanie danych osobowych było zgodne z prawem, musi być spełniona przynajmniej jedna z przesłanek legalizujących to przetwarzanie, wskazanych w art. 6 ust. 1 lub art. 9 ust. 2 RODO. Spełnienie jednej z nich przesądza o legalności przetwarzania danych w świetle art. 5 lit. a) RODO, który statuuje zasadę zgodności przetwarzania z prawem. W przypadku danych osobowych przetwarzanych w Systemie POL-on, w zależności od celu przetwarzania tych danych, będzie to odpowiednio:
- art. 6 ust. 1 lit. c RODO, który mówi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze lub
- art. 9 ust. 2 lit. b RODO, który mówi, że przetwarzanie szczególnych kategorii danych osobowych (określanych dawniej jako „dane wrażliwe”) jest dopuszczalne, jeżeli jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.
W przypadku podmiotów publicznych obowiązek prawny musi wynikać z przepisów o randze ustawy. W przypadku danych przetwarzanych w Systemie POL-on, których administratorem jest MEiN, taki obowiązek prawa wynika z p.s.w.n.
-
8. ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
MEiN jako administrator danych oraz OPI PIB jako podmiot przetwarzający dane w imieniu MEiN przykładają wagę do tego, aby dane zawarte w Systemie POL-on, a także dane osób uprawnionych do korzystania z tego systemu były przetwarzane w sposób bezpieczny, rzetelny, zgodny z prawem oraz przejrzysty dla osoby, której dane dotyczą.
Najważniejsze zasady, jakimi kierują się MEiN i OPI PIB przy przetwarzaniu danych w ramach Systemu POL-on to:
- zgodność z prawem, rzetelność, i przejrzystość,
- ograniczenie celu przetwarzania,
- minimalizacja danych,
- prawidłowość przetwarzania,
- ograniczenie przechowywania,
- integralność i poufność,
- zapewnienie kontroli nad poszczególnymi czynnościami przetwarzania danych poprzez zapewnienie każdej osobie realizacji poszczególnych praw gwarantowanych przez RODO w odniesieniu do jej danych.
-
9. KATEGORIE OSÓB I ZAKRES ZBIERANYCH DANYCH
Kategorie osób i zakres danych zbieranych w Systemie POL-on określają szczegółowo przepisy p.s.w.n. W kontekście danych osobowych na gruncie p.s.w.n. w Systemie POL-on można wyróżnić wiele kategorii osób, których dane są przetwarzane, w zależności od ich roli, funkcji, zadań, celów przetwarzania danych. W tym miejscu należy ograniczyć się do tych kategorii osób, które są bezpośrednio określone przez p.s.w.n. Należą do nich:
- nauczyciele akademicy, inne osoby prowadzące zajęcia, osoby prowadzące działalność naukową lub biorące udział w jej prowadzeniu – kategorię tych osób wyznacza art. 343 p.s.w.n.;
- studenci – kategorię tę wyznacza art. 344 p.s.w.n.;
- osoby ubiegające się o stopień doktora oraz promotorzy rozprawy doktorskiej – kategorię tę wyznacza art. 345 p.s.w.n.;
- osoby, których dane są zawarte w repozytorium pisemnych prac dyplomowych (autorzy prac dyplomowych, promotorzy i recenzenci) – kategorię tę wyznacza art. 347 p.s.w.n.;
- osoby, wobec których toczą się postepowania awansowe (osoby ubiegające się o uzyskanie stopnia doktora, doktora habilitowanego lub tytułu naukowego), recenzenci i członkowie komisji – kategorię tę wyznacza art. 348 p.s.w.n.,
- osoby upoważnione do podpisywania dokumentów – kategorię tę wyznacza art. 349 p.s.w.n.
Zakres danych przypisany poszczególnym kategoriom osób precyzują przepisy p.s.w.n. oraz rozporządzenia ws. POL-on.
Określają one zamknięty katalog informacji, jaki może przetwarzać administrator danych o osobach, których dane znajdują się w Systemie POL-on.
Zakres przetwarzanych danych w poszczególnych bazach danych Systemu POL-on zawsze musi wynikać z przepisów prawa.
-
10. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
Prawa osób, których dane dotyczą oraz ich realizacja w związku z przetwarzaniem danych osobowych w Systemie POL-on określona jest w przepisach RODO (art. 12-22), ustawie o ochronie danych osobowych z dnia 10 maja 2018 r. oraz art. 469a p.s.w.n.
Osoba, której dane osobowe są przetwarzane w Systemie POL-on, z zastrzeżeniem wyjątków przewidzianych przepisami prawa, ma prawo do:
- dostępu do danych, tj. otrzymania potwierdzenia, czy jej dane osobowe są przetwarzane w Systemie POL-on, w jakim celu, w jaki sposób i jak długo;
- sprostowania nieaktualnych lub niedokładnych danych osobowych, a także prawo do ich uzupełnienia, w przypadku gdy są niekompletne;
- ograniczenia przetwarzania danych osobowych, co w wymiarze praktycznym może polegać na czasowym zablokowaniu dostępu do danych czy przeniesieniu danych do innego systemu;
- złożenia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych, z siedzibą w Warszawie przy ul. Stawki 2.
Obowiązek wynikający z żądania zgłoszonego na podstawie art. 16 RODO (sprostowanie i aktualizacja danych) wykonuje podmiot, który pozyskał dane od osoby, której dane dotyczą.
Czyli w praktyce, jeżeli np. student zgłosi potrzebę aktualizacji swoich danych osobowych, prawo to wykonuje uczelnia, w której student się uczy i która wprowadziła dane osobowe studenta do Systemu POL-on.
-
11. BEZPIECZEŃSTWO DANYCH OSOBOWYCH W SYSTEMIE POL-ON
Dane osobowe przetwarzane w Systemie POL-on są zabezpieczane przez stosowanie odpowiednich środków technicznych i organizacyjnych, minimalizujących ryzyko naruszenia ochrony danych osobowych oraz informacji przetwarzanych w systemie. Dobór środków wynika z prowadzonych w tym celu systematycznych analiz ryzyka oraz audytów bezpieczeństwa i testów penetracyjnych. Czynności te są realizowane z poziomu podmiotu administrującego systemem.
Główne ryzyka, przed którymi zabezpiecza się system to:
- bezprawny lub nieautoryzowany dostęp lub wykorzystanie danych,
- przypadkowe zniszczenie, utrata lub naruszenie integralności danych.
W celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji w Systemie POL-on zarówno MEiN, jak i OPI PIB posiadają wdrożony system zarządzania bezpieczeństwem informacji utworzony zgodnie z art. 20 rozporządzenia KRI.
Określa on procedury, które obejmują w szczególności: kontrolę dostępu do systemu, tworzenie kopii zapasowych, zachowanie ciągłości działania systemu w sytuacjach zagrożeń, monitorowanie systemu, zarządzanie incydentami bezpieczeństwa. Szczegółowy zakres obszarów, które uwzględniono w ramach zarządzania bezpieczeństwem informacji określa art. 20 ust. 2 rozporządzenia KRI.
Dane osobowe w Systemie POL-on przetwarzają wyłącznie osoby do tego upoważnione oraz zobowiązane do zachowania danych w tajemnicy.
Analogiczne zasady bezpieczeństwa przetwarzania muszą zostać zastosowane w podmiotach, które zgodnie z przepisami p.s.w.n. są zobligowane do wprowadzania danych do Systemu POL-on.
W kontekście stosowania zabezpieczeń należy posługiwać się przepisami:
- ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2019 r. poz. 700, 730, 848, 1590 i 2294),
- rozporządzenia KRI.
W przypadku bezpieczeństwa danych osobowych przepisy RODO nie wskazują żadnych konkretnych zabezpieczeń. Wynika to z podejścia przepisów RODO do przetwarzania danych osobowych, które oparte jest na zasadzie risk based approach (tj. podejście oparte na ryzyku). W myśl tej zasady każdy z administratorów określa, w jaki sposób będzie podchodził do przetwarzania danych, jakie identyfikuje ryzyka związane z przetwarzaniem i jakie w tym celu wdraża odpowiednie środki techniczne i organizacyjne, aby w sposób dostateczny gwarantowały nienaruszalność ochrony danych osobowych.
-
12. SPOSÓB ZBIERANIA DANYCH W SYSTEMIE POL-ON
Dane są wprowadzane do Systemu POL-on przez upoważnionych pracowników odpowiednich instytucji: uczelni, instytutów PAN, instytutów badawczych, instytutów międzynarodowych, innych podmiotów prowadzących głównie działalność naukową w sposób samodzielny i ciągły mających siedzibę na terytorium RP, Centrum Łukasiewicz i instytutów Sieci Łukasiewicz, PKA oraz RDN.
Tryb i terminy wprowadzania danych do baz danych Systemu POL-on oraz aktualizowania, archiwizowania i usuwania tych danych określa rozporządzenie ws. POL-on.
-
13. PRZECHOWYWANIE DANYCH
Dane osobowe w Systemie POL-on są przetwarzane przez okres wskazany w rozporządzeniu ws. POL-on.
-
14. ODBIORCY DANYCH I UDOSTĘPNIANIE DANYCH INNYM PODMIOTOM
Dostęp do danych osobowych przetwarzanych w Systemie POL-on przysługuje odbiorcom określonym w p.s.w.n. Dostęp ten dla danego odbiorcy jest ograniczony tylko do tych danych, na które wskazują przepisy w przypadku konkretnego odbiorcy.
Dostęp jest realizowany za pośrednictwem ról w systemie. Aby osoba miała dostęp do danych określonych kategorii osób, musi mieć nadaną odpowiednią rolę w systemie (np. dostęp do danych pracowników zapewnia posiadanie roli INST_PR lub INST_NAUK_PR, INST_PR_PODGLAD lub INST_NAUK_PR_PODGLAD, INST_DANE_RESTRYKCYJNE). Wskazanie uprawnionych pracowników podmiotu i procedura, w jakiej są im nadawane role w systemie wynika z przepisów wewnętrznych danego podmiotu. Podmiot musi zapewnić, aby dane nie były udostępniane osobom nieuprawnionym.
Zobacz też:
Role w systemie Zakładanie konta użytkownikowi Zarządzanie kontem użytkownika