Poniżej znajdziesz informacje o przetwarzaniu i zapewnieniu ochrony danych osób rejestrowanych w systemie POL-on oraz użytkowników instytucjonalnych.
Informacje ogólne
- Zintegrowany System Informacji o Szkolnictwie Wyższym i Nauce POL-on (system POL-on) jest: jest prowadzony przez ministra właściwego ds. szkolnictwa wyższego i nauki na podstawie art. 342 ust 1 ustawy z dnia 20 lipca 2018 prawo o szkolnictwie wyższym i nauce (Dz. U. z 2023 r. poz. 742) dalej: p.s.w.n.
- POL-on jest systemem teleinformatycznym w rozumieniu art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2024 r. poz. 307).
- POL-on obejmuje bazy danych, w tym zawierające dane osobowe, których zakres przedmiotowy został wskazany w art. 342 ust. 3 p.s.w.n.
- Podmioty systemu szkolnictwa wyższego i nauki zobowiązane do wprowadzania, aktualizowania, archiwizowania oraz usuwania danych w systemie POL-on mają obowiązek stosować przyjęte przez siebie wewnętrzne polityki bezpieczeństwa informacji/danych osobowych, z uwzględnieniem obowiązujących przepisów p.s.w.n. oraz przepisów dotyczących ochrony danych osobowych, w szczególności Rozporządzenia UE.
Przepisy prawa a przetwarzanie danych osobowych w POL-on
Podmioty wchodzące w skład systemu szkolnictwa wyższego i nauki przetwarzają dane osobowe w POL-on i powinny tworzyć polityki bezpieczeństwa zgodnie z przepisami prawa. Są to:
- Ustawa z dnia 20 lipca 2018 r. prawo o szkolnictwie wyższym i nauce (Dz.U. z Dz. U. z 2023 r. poz. 742);
- Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 6 marca 2019 r. w sprawie danych przetwarzanych w Zintegrowanym Systemie Informacji o Szkolnictwie Wyższymi Nauce POL-on (dalej: rozporządzenie ws. POL-on);
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L Nr 119, str. 1) dalej: RODO;
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781);
- Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2024 r. poz. 307);
- Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2024 poz. 773) dalej: rozporządzenie KRI.
Zbiory danych przetwarzanych w ramach systemu POL-on
Zgodnie z art. 342 ust. 3 p.s.w.n., system POL-on obejmuje następujące bazy danych:
- wykaz nauczycieli akademickich, innych osób prowadzących zajęcia, osób prowadzących działalność naukową oraz osób biorących udział w jej prowadzeniu,
- wykaz studentów,
- wykaz osób ubiegających się o stopień doktora,
- wykaz instytucji systemu szkolnictwa wyższego i nauki,
- repozytorium pisemnych prac dyplomowych,
- bazę dokumentów w postępowaniach awansowych,
- bazę osób upoważnionych do podpisywania dokumentów,
- bazę dokumentów planistyczno-sprawozdawczych.
Jeden moduł systemu może odpowiadać jednej bazie danych wskazanej w regulacjach prawnych, ale też kilka modułów może obejmować tę samą bazę danych (np. Repozytorium pisemnych prac dyplomowych w systemie odpowiada moduł o takiej samej nazwie. W ramach Wykazu instytucji dane są zbierane m.in. w modułach: Instytucje, Kierunki studiów, Szkoły doktorskie).
Zgodnie z art. 4 pkt 6 RODO, zbiór danych oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. W kontekście powyższej definicji, dane osobowe przetwarzane w ramach poszczególnych baz POL-on stanowią odpowiednio zbiory danych osobowych, oczywiście w przypadku, gdy w ramach tych baz przetwarzane są dane osobowe.
Szczegółowy zakres informacji o osobach, których dane są przetwarzane w systemie POL-on w ramach poszczególnych baz określają odpowiednie przepisy p.s.w.n. (art. 343-350). Uszczegółowieniem tego zakresu jest rozporządzenie ws. POL-on, które określa:
- szczegółowy zakres danych przetwarzanych w ramach poszczególnych baz danych,
- tryb i terminy wprowadzania danych do systemu oraz aktualizowania, archiwizowania i usuwania tych danych,
- sposób wprowadzania prac dyplomowych do repozytorium pisemnych prac dyplomowych oraz specyfikację formatu tych prac,
- tryb i sposób udostępniania danych zamieszczonych w POL-on.
Administratorzy danych osobowych
Administratorem (w rozumieniu art. 4 pkt 7 RODO) danych osobowych wprowadzonych do POL-on przez poszczególne podmioty systemu szkolnictwa wyższego i nauki jest Minister Nauki i Szkolnictwa Wyższego, ul. Wspólna 1/3, 00-529 Warszawa (dalej: MNiSW).
Kontakt do administratora: email: kancelaria@mnisw.gov.pl lub pisemnie na adres siedziby administratora
Informacji na temat danych osobowych przetwarzanych przez MNiSW udziela Inspektor Ochrony Danych MNiSW, z którym można skontaktować się mailowo: iod@mnisw.gov.pl.
MNiSW, jako administrator, decyduje o celach i sposobie przetwarzania danych osobowych gromadzonych w systemie POL-on.
Podmioty wchodzące w skład systemu szkolnictwa wyższego i nauki również są administratorami danych (w rozumieniu art. 4 pkt 7 RODO) w zakresie, w jakim zbierają dane osobowe od osób we własnym zakresie i własnych celach oraz które to dane następnie wprowadzają do systemu POL-on. Przez własne cele rozumiemy tu również realizację obowiązku, nałożonego przepisami prawa, wykonania określonych czynności, czyli wprowadzania, aktualizowania, archiwizowania i usuwania danych w POL-onie.
To podmiot systemu szkolnictwa wyższego i nauki jest zobowiązany do realizacji prawa osoby, które dane dotyczą, do sprostowania danych i ich aktualizacji (więcej na ten temat niżej).
MNiSW jest administratorem danych od momentu wprowadzenia danych osobowych do POL-on. Do tego czasu administratorami danych są poszczególne podmioty. Podmioty te są również administratorami danych przez cały czas i we wszystkich sytuacjach, gdy pozyskują dane z systemu, od momentu ich pozyskania, oraz przetwarzają te dane we własnych celach (również gdy realizują nałożone na nie obowiązki).
Podmiot przetwarzający dane
Podmiotem przetwarzającym dane w POL-on w imieniu administratora jest Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy z siedzibą w Warszawie przy al. Niepodległości 188b, wpisany do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy – Sąd Gospodarczy XVI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem: 0000127372, NIP: 525-000-91-40, REGON: 006746090 (dalej: OPI PIB).
Informacji na temat danych osobowych przetwarzanych przez OPI PIB, w tym danych przetwarzanych w imieniu MNiSW, udziela Inspektor Ochrony Danych OPI PIB, z którym można się skontaktować telefonicznie pod numerem (22) 570 14 00 lub mailowo: iod@opi.org.pl.
OPI PIB jako instytut badawczy, którego przedmiot działania jest związany ze świadczeniem usług w zakresie systemów informacyjnych, nadzorowany przez MNiSW administruje systemem POL-on, w tym jego bazami. Zadanie to jest realizowane na podstawie art. 353 p.s.w.n. oraz w oparciu o umowę powierzenia przetwarzania danych osobowych zawartą na podstawie art. 28 RODO.
Odbiorcami danych osobowych przetwarzanych w systemie POL-on są również podmioty wskazane w art. 343 ust. 5, art. 344 ust. 3, art. 345 ust. 3, 347 ust. 3, 349 ust. 3 p.s.w.n.
Cel przetwarzania danych w POL-on
Zgodnie z art. 342 ust. 4 p.s.w.n. dane w Systemie POL-on są przetwarzane w następujących celach:
- wykonywanie zadań związanych z ustalaniem i realizacją polityki naukowej państwa,
- przeprowadzanie ewaluacji jakości kształcenia, ewaluacji szkół doktorskich i ewaluacji jakości działalności naukowej,
- prowadzenie postępowań w sprawie nadania stopnia doktora, stopnia doktora habilitowanego i tytułu profesora,
- ustalanie wysokości subwencji i dotacji,
- nadzór nad systemem szkolnictwa wyższego i nauki,
- realizacja zadań przez NAWA, NCBiR oraz NCN,
- monitorowanie losów absolwentów szkół wyższych i absolwentów publicznych i niepublicznych szkół ponadpodstawowych.
Podstawa prawna przetwarzania danych w POL-on
Aby przetwarzanie danych osobowych było zgodne z prawem, musi zostać spełniona przynajmniej jedna z przesłanek wskazanych w art. 6 ust. 1 lub art. 9 ust. 2 RODO. Spełnienie przynajmniej jednej z przesłanek przesądza o legalności przetwarzania danych zgodnie z art. 5 lit. a) RODO. W przypadku danych osobowych przetwarzanych w POL-on, w zależności od celu przetwarzania danych, będą to:
- art. 6 ust. 1 lit. c RODO, który mówi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
- art. 9 ust. 2 lit. b RODO, który mówi, że przetwarzanie szczególnych kategorii danych osobowych jest dopuszczalne, jeżeli jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.
W przypadku podmiotów publicznych obowiązek prawny musi wynikać z przepisów o randze ustawy. W przypadku danych przetwarzanych w systemie POL-on, których administratorem jest MNiSW, taki obowiązek prawa wynika z p.s.w.n.
Zasady przetwarzania danych osobowych
MNiSW jako administrator danych oraz OPI PIB jako podmiot przetwarzający dane w imieniu MNiSW przykładają wagę do tego, aby dane zawarte w Systemie POL-on, a także dane osób uprawnionych do korzystania z tego systemu były przetwarzane w sposób bezpieczny, rzetelny, zgodny z prawem oraz przejrzysty dla osoby, której dane dotyczą.
Najważniejsze zasady, jakimi kierują się MNiSW i OPI PIB przy przetwarzaniu danych w ramach systemu POL-on to:
- zgodność z prawem, rzetelność, i przejrzystość,
- ograniczenie celu przetwarzania,
- minimalizacja danych,
- prawidłowość przetwarzania,
- ograniczenie przechowywania,
- integralność i poufność,
- zapewnienie kontroli nad poszczególnymi czynnościami przetwarzania danych poprzez zapewnienie każdej osobie realizacji poszczególnych praw gwarantowanych przez RODO w odniesieniu do jej danych.
Kategorie osób i zakres zbieranych danych
Kategorie osób i zakres danych zbieranych w POL-on określają szczegółowo przepisy p.s.w.n. W systemie można wyróżnić wiele kategorii osób, których dane są przetwarzane, w zależności od ich roli, funkcji, zadań, celów przetwarzania danych. Do kategorii osób, określonych w p.s.w.n., których dane są przetwarzane w systemie należą:
- nauczyciele akademicy, inne osoby prowadzące zajęcia, osoby prowadzące działalność naukową lub biorące udział w jej prowadzeniu (art. 343 p.s.w.n.);
- studenci (art. 344 p.s.w.n.);
- osoby ubiegające się o stopień doktora oraz promotorzy rozprawy doktorskiej (art. 345 p.s.w.n.);
- autorzy prac dyplomowych, promotorzy i recenzenci, których dane są zawarte w repozytorium pisemnych prac dyplomowych (art. 347 p.s.w.n.);
- osoby, wobec których toczą się postepowania awansowe (osoby ubiegające się o uzyskanie stopnia doktora, doktora habilitowanego lub tytułu naukowego), recenzenci i członkowie komisji (art. 348 p.s.w.n.),
- osoby upoważnione do podpisywania dokumentów (art. 349 p.s.w.n).
Zakres danych przypisany poszczególnym kategoriom osób uszczegóławia rozporządzenie ws. POL-on.
Katalog informacji, jaki może przetwarzać administrator danych o osobach, wprowadzanych do POL-on jest zbiorem zamkniętym.
Zakres przetwarzanych danych w poszczególnych bazach systemu zawsze musi wynikać z przepisów prawa.
Prawa osób, których dane dotyczą
Prawa osób, których dane dotyczą oraz ich realizacja w związku z przetwarzaniem danych osobowych w POL-on określone są w przepisach RODO (art. 12-22), ustawie o ochronie danych osobowych z dnia 10 maja 2018 r. oraz art. 469a p.s.w.n.
Osoba, której dane osobowe są przetwarzane w systemie POL-on, z zastrzeżeniem wyjątków przewidzianych przepisami prawa, ma prawo do:
- dostępu do danych, tj. otrzymania potwierdzenia, czy jej dane osobowe są przetwarzane w Systemie POL-on, w jakim celu, w jaki sposób i jak długo;
- sprostowania nieaktualnych lub niedokładnych danych osobowych, a także prawo do ich uzupełnienia, w przypadku gdy są niekompletne;
- ograniczenia przetwarzania danych osobowych, co w wymiarze praktycznym może polegać na czasowym zablokowaniu dostępu do danych czy przeniesieniu danych do innego systemu;
- złożenia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych, z siedzibą w Warszawie przy ul. Stawki 2.
Obowiązek wynikający z żądania zgłoszonego na podstawie art. 16 RODO (sprostowanie i aktualizacja danych) wykonuje podmiot, który pozyskał dane od osoby, której dane dotyczą.
Czyli w praktyce, jeżeli np. student zgłosi potrzebę aktualizacji swoich danych osobowych, prawo to wykonuje uczelnia, w której student się uczy i która wprowadziła dane osobowe studenta do systemu POL-on.
Bezpieczeństwo danych osobowych w POL-on
Dane osobowe przetwarzane w systemie POL-on są zabezpieczane przez stosowanie odpowiednich środków technicznych i organizacyjnych, minimalizujących ryzyko naruszenia ochrony danych osobowych oraz informacji przetwarzanych w systemie. Dobór środków wynika z prowadzonych w tym celu systematycznych analiz ryzyka oraz audytów bezpieczeństwa i testów penetracyjnych. Czynności te są realizowane z poziomu podmiotu administrującego systemem.
Główne ryzyka, przed którymi zabezpiecza się system to:
- bezprawny lub nieautoryzowany dostęp lub wykorzystanie danych,
- przypadkowe zniszczenie, utrata lub naruszenie integralności danych.
Aby zapewnić odpowiedni poziom bezpieczeństwa informacji w systemie POL-on, zarówno MNiSW, jak i OPI PIB posiadają wdrożony system zarządzania bezpieczeństwem informacji utworzony zgodnie z art. 19 rozporządzenia KRI.
Określa on procedury, które obejmują w szczególności: kontrolę dostępu do systemu, tworzenie kopii zapasowych, zachowanie ciągłości działania systemu w sytuacjach zagrożeń, monitorowanie systemu, zarządzanie incydentami bezpieczeństwa. Szczegółowy zakres obszarów, które uwzględniono w ramach zarządzania bezpieczeństwem informacji określa art. 19 ust. 2 rozporządzenia KRI.
Dane osobowe w POL-on przetwarzają wyłącznie osoby do tego upoważnione oraz zobowiązane do zachowania danych w tajemnicy.
Analogiczne zasady bezpieczeństwa przetwarzania muszą zostać zastosowane w podmiotach, które zgodnie z przepisami p.s.w.n. są zobligowane do wprowadzania danych do systemu POL-on.
W kontekście stosowania zabezpieczeń należy posługiwać się przepisami:
- ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2024 r. poz. 307),
- rozporządzenia KRI.
W przypadku bezpieczeństwa danych osobowych przepisy RODO nie wskazują żadnych konkretnych zabezpieczeń. Wynika to z podejścia przepisów RODO do przetwarzania danych osobowych, które oparte jest na zasadzie podejścia opartego na ryzyku (risk based approach). W myśl tej zasady każdy z administratorów określa, w jaki sposób będzie podchodził do przetwarzania danych, jakie identyfikuje ryzyka związane z przetwarzaniem i jakie w tym celu wdraża odpowiednie środki techniczne i organizacyjne, aby w sposób dostateczny gwarantowały nienaruszalność ochrony danych osobowych.
Sposób zbierania danych w systemie
Dane są wprowadzane do systemu POL-on przez upoważnionych pracowników odpowiednich instytucji: uczelni, instytutów PAN, instytutów badawczych, instytutów międzynarodowych, innych podmiotów prowadzących głównie działalność naukową w sposób samodzielny i ciągły mających siedzibę na terytorium RP, Centrum Łukasiewicz i instytutów Sieci Łukasiewicz, PKA oraz RDN.
Tryb i terminy wprowadzania danych do baz danych Systemu POL-on oraz aktualizowania, archiwizowania i usuwania tych danych określa rozporządzenie ws. POL-on.
Przechowywanie danych
Dane osobowe w Systemie POL-on są przetwarzane przez okres wskazany w rozporządzeniu ws. POL-on.
Odbiorcy danych i udostępnianie danych innym podmiotom
Dostęp do danych osobowych przetwarzanych w Systemie POL-on przysługuje odbiorcom określonym w p.s.w.n. Dostęp ten dla danego odbiorcy jest ograniczony tylko do tych danych, na które wskazują przepisy w przypadku konkretnego odbiorcy.
Dostęp jest realizowany za pośrednictwem ról w systemie. Aby osoba miała dostęp do danych określonych kategorii osób, musi mieć nadaną odpowiednią rolę w systemie (np. dostęp do danych pracowników zapewnia posiadanie roli INST_PR lub INST_NAUK_PR, INST_PR_PODGLAD lub INST_NAUK_PR_PODGLAD, INST_DANE_RESTRYKCYJNE).
Wskazanie uprawnionych pracowników podmiotu i procedura, w jakiej są im nadawane role w systemie wynika z przepisów wewnętrznych danego podmiotu. Podmiot musi zapewnić, aby dane nie były udostępniane osobom nieuprawnionym.