Poniżej znajdziesz informacje o przetwarzaniu i zapewnieniu ochrony danych osób rejestrowanych w systemie POL-on oraz użytkowników instytucjonalnych.

Informacje ogólne

  • Zintegrowany System Informacji o Szkolnictwie Wyższym i Nauce POL-on (system POL-on) jest: jest prowadzony przez ministra właściwego ds. szkolnictwa wyższego i nauki na podstawie art. 342 ust 1 ustawy z dnia 20 lipca 2018 prawo o szkolnictwie wyższym i nauce (Dz. U. z 2023 r. poz. 742) dalej: p.s.w.n.
  • POL-on jest systemem teleinformatycznym w rozumieniu art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2024 r. poz. 307).
  • POL-on obejmuje bazy danych, w tym zawierające dane osobowe, których zakres przedmiotowy został wskazany w art. 342 ust. 3 p.s.w.n.
  • Podmioty systemu szkolnictwa wyższego i nauki zobowiązane do wprowadzania, aktualizowania, archiwizowania oraz usuwania danych w systemie POL-on mają obowiązek stosować przyjęte przez siebie wewnętrzne polityki bezpieczeństwa informacji/danych osobowych, z uwzględnieniem obowiązujących przepisów p.s.w.n. oraz przepisów dotyczących ochrony danych osobowych, w szczególności Rozporządzenia UE.

Przepisy prawa a przetwarzanie danych osobowych w POL-on

Podmioty wchodzące w skład systemu szkolnictwa wyższego i nauki przetwarzają dane osobowe w POL-on i powinny tworzyć polityki bezpieczeństwa zgodnie z przepisami prawa. Są to:

  • Ustawa z dnia 20 lipca 2018 r. prawo o szkolnictwie wyższym i nauce (Dz.U. z Dz. U. z 2023 r. poz. 742);
  • Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 6 marca 2019 r. w sprawie danych przetwarzanych w Zintegrowanym Systemie Informacji o Szkolnictwie Wyższymi Nauce POL-on (dalej: rozporządzenie ws. POL-on);
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L Nr 119, str. 1) dalej: RODO;
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781);
  • Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2024 r. poz. 307);
  • Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2024 poz. 773) dalej: rozporządzenie KRI.

Zbiory danych przetwarzanych w ramach systemu POL-on

Zgodnie z art. 342 ust. 3 p.s.w.n., system POL-on obejmuje następujące bazy danych:

  • wykaz nauczycieli akademickich, innych osób prowadzących zajęcia, osób prowadzących działalność naukową oraz osób biorących udział w jej prowadzeniu,
  • wykaz studentów,
  • wykaz osób ubiegających się o stopień doktora,
  • wykaz instytucji systemu szkolnictwa wyższego i nauki,
  • repozytorium pisemnych prac dyplomowych,
  • bazę dokumentów w postępowaniach awansowych,
  • bazę osób upoważnionych do podpisywania dokumentów,
  • bazę dokumentów planistyczno-sprawozdawczych.

Jeden moduł systemu może odpowiadać jednej bazie danych wskazanej w regulacjach prawnych, ale też kilka modułów może obejmować tę samą bazę danych (np. Repozytorium pisemnych prac dyplomowych w systemie odpowiada moduł o takiej samej nazwie. W ramach Wykazu instytucji dane są zbierane m.in. w modułach: Instytucje, Kierunki studiów, Szkoły doktorskie).

Zgodnie z art. 4 pkt 6 RODO, zbiór danych oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. W kontekście powyższej definicji, dane osobowe przetwarzane w ramach poszczególnych baz POL-on stanowią odpowiednio zbiory danych osobowych, oczywiście w przypadku, gdy w ramach tych baz przetwarzane są dane osobowe.

Szczegółowy zakres informacji o osobach, których dane są przetwarzane w systemie POL-on w ramach poszczególnych baz określają odpowiednie przepisy p.s.w.n. (art. 343-350). Uszczegółowieniem tego zakresu jest rozporządzenie ws. POL-on, które określa:

  • szczegółowy zakres danych przetwarzanych w ramach poszczególnych baz danych,
  • tryb i terminy wprowadzania danych do systemu oraz aktualizowania, archiwizowania i usuwania tych danych,
  • sposób wprowadzania prac dyplomowych do repozytorium pisemnych prac dyplomowych oraz specyfikację formatu tych prac,
  • tryb i sposób udostępniania danych zamieszczonych w POL-on.

Administratorzy danych osobowych

Administratorem (w rozumieniu art. 4 pkt 7 RODO) danych osobowych wprowadzonych do POL-on przez poszczególne podmioty systemu szkolnictwa wyższego i nauki jest Minister Nauki i Szkolnictwa Wyższego, ul. Wspólna 1/3, 00-529 Warszawa (dalej: MNiSW).

Kontakt do administratora: email: kancelaria@mnisw.gov.pl lub pisemnie na adres siedziby administratora

Informacji na temat danych osobowych przetwarzanych przez MNiSW udziela Inspektor Ochrony Danych MNiSW, z którym można skontaktować się mailowo: iod@mnisw.gov.pl.

MNiSW, jako administrator, decyduje o celach i sposobie przetwarzania danych osobowych gromadzonych w systemie POL-on.

Podmioty wchodzące w skład systemu szkolnictwa wyższego i nauki również są administratorami danych (w rozumieniu art. 4 pkt 7 RODO) w zakresie, w jakim zbierają dane osobowe od osób we własnym zakresie i własnych celach oraz które to dane następnie wprowadzają do systemu POL-on. Przez własne cele rozumiemy tu również realizację obowiązku, nałożonego przepisami prawa, wykonania określonych czynności, czyli wprowadzania, aktualizowania, archiwizowania i usuwania danych w POL-onie.

To podmiot systemu szkolnictwa wyższego i nauki jest zobowiązany do realizacji prawa osoby, które dane dotyczą, do sprostowania danych i ich aktualizacji (więcej na ten temat niżej).

MNiSW jest administratorem danych od momentu wprowadzenia danych osobowych do POL-on. Do tego czasu administratorami danych są poszczególne podmioty. Podmioty te są również administratorami danych przez cały czas i we wszystkich sytuacjach, gdy pozyskują dane z systemu, od momentu ich pozyskania, oraz przetwarzają te dane we własnych celach (również gdy realizują nałożone na nie obowiązki).

Podmiot przetwarzający dane

Podmiotem przetwarzającym dane w POL-on w imieniu administratora jest Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy z siedzibą w Warszawie przy al. Niepodległości 188b, wpisany do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy – Sąd Gospodarczy XVI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem: 0000127372, NIP: 525-000-91-40, REGON: 006746090 (dalej: OPI PIB).

Informacji na temat danych osobowych przetwarzanych przez OPI PIB, w tym danych przetwarzanych w imieniu MNiSW, udziela Inspektor Ochrony Danych OPI PIB, z którym można się skontaktować telefonicznie pod numerem (22) 570 14 00 lub mailowo: iod@opi.org.pl.

OPI PIB jako instytut badawczy, którego przedmiot działania jest związany ze świadczeniem usług w zakresie systemów informacyjnych, nadzorowany przez MNiSW administruje systemem POL-on, w tym jego bazami. Zadanie to jest realizowane na podstawie art. 353 p.s.w.n. oraz w oparciu o umowę powierzenia przetwarzania danych osobowych zawartą na podstawie art. 28 RODO.

Odbiorcami danych osobowych przetwarzanych w systemie POL-on są również podmioty wskazane w art. 343 ust. 5, art. 344 ust. 3, art. 345 ust. 3, 347 ust. 3, 349 ust. 3 p.s.w.n.

Cel przetwarzania danych w POL-on

Zgodnie z art. 342 ust. 4 p.s.w.n. dane w Systemie POL-on są przetwarzane w następujących celach:

  • wykonywanie zadań związanych z ustalaniem i realizacją polityki naukowej państwa,
  • przeprowadzanie ewaluacji jakości kształcenia, ewaluacji szkół doktorskich i ewaluacji jakości działalności naukowej,
  • prowadzenie postępowań w sprawie nadania stopnia doktora, stopnia doktora habilitowanego i tytułu profesora,
  • ustalanie wysokości subwencji i dotacji,
  • nadzór nad systemem szkolnictwa wyższego i nauki,
  • realizacja zadań przez NAWA, NCBiR oraz NCN,
  • monitorowanie losów absolwentów szkół wyższych i absolwentów publicznych i niepublicznych szkół ponadpodstawowych.

Podstawa prawna przetwarzania danych w POL-on

Aby przetwarzanie danych osobowych było zgodne z prawem, musi zostać spełniona przynajmniej jedna z przesłanek wskazanych w art. 6 ust. 1 lub art. 9 ust. 2 RODO. Spełnienie przynajmniej jednej z przesłanek przesądza o legalności przetwarzania danych zgodnie z art. 5 lit. a) RODO. W przypadku danych osobowych przetwarzanych w POL-on, w zależności od celu przetwarzania danych, będą to:

  • art. 6 ust. 1 lit. c RODO, który mówi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
  • art. 9 ust. 2 lit. b RODO, który mówi, że przetwarzanie szczególnych kategorii danych osobowych  jest dopuszczalne, jeżeli jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

W przypadku podmiotów publicznych obowiązek prawny musi wynikać z przepisów o randze ustawy. W przypadku danych przetwarzanych w systemie POL-on, których administratorem jest MNiSW, taki obowiązek prawa wynika z p.s.w.n.    

Zasady przetwarzania danych osobowych

MNiSW jako administrator danych oraz OPI PIB jako podmiot przetwarzający dane w imieniu MNiSW przykładają wagę do tego, aby dane zawarte w Systemie POL-on, a także dane osób uprawnionych do korzystania z tego systemu były przetwarzane w sposób bezpieczny, rzetelny, zgodny z prawem oraz przejrzysty dla osoby, której dane dotyczą.

Najważniejsze zasady, jakimi kierują się MNiSW i OPI PIB przy przetwarzaniu danych w ramach systemu POL-on to:

  • zgodność z prawem, rzetelność, i przejrzystość,
  • ograniczenie celu przetwarzania,
  • minimalizacja danych,
  • prawidłowość przetwarzania,
  • ograniczenie przechowywania,
  • integralność i poufność,
  • zapewnienie kontroli nad poszczególnymi czynnościami przetwarzania danych poprzez zapewnienie każdej osobie realizacji poszczególnych praw gwarantowanych przez RODO w odniesieniu do jej danych.

Kategorie osób i zakres zbieranych danych

Kategorie osób i zakres danych zbieranych w POL-on określają szczegółowo przepisy p.s.w.n. W systemie można wyróżnić wiele kategorii osób, których dane są przetwarzane, w zależności od ich roli, funkcji, zadań, celów przetwarzania danych. Do kategorii osób, określonych w p.s.w.n., których dane są przetwarzane w systemie należą:

  • nauczyciele akademicy, inne osoby prowadzące zajęcia, osoby prowadzące działalność naukową lub biorące udział w jej prowadzeniu (art. 343 p.s.w.n.);
  • studenci (art. 344 p.s.w.n.);
  • osoby ubiegające się o stopień doktora oraz promotorzy rozprawy doktorskiej (art. 345 p.s.w.n.);
  • autorzy prac dyplomowych, promotorzy i recenzenci, których dane są zawarte w repozytorium pisemnych prac dyplomowych (art. 347 p.s.w.n.);
  • osoby, wobec których toczą się postepowania awansowe (osoby ubiegające się o uzyskanie stopnia doktora, doktora habilitowanego lub tytułu naukowego), recenzenci i członkowie komisji (art. 348 p.s.w.n.),
  • osoby upoważnione do podpisywania dokumentów (art. 349 p.s.w.n).

Zakres danych przypisany poszczególnym kategoriom osób uszczegóławia rozporządzenie ws. POL-on.

Katalog informacji, jaki może przetwarzać administrator danych o osobach, wprowadzanych do POL-on jest zbiorem zamkniętym.

Zakres przetwarzanych danych w poszczególnych bazach systemu zawsze musi wynikać z przepisów prawa.

Prawa osób, których dane dotyczą

Prawa osób, których dane dotyczą oraz ich realizacja w związku z przetwarzaniem danych osobowych w POL-on określone są w przepisach RODO (art. 12-22), ustawie o ochronie danych osobowych z dnia 10 maja 2018 r. oraz art. 469a p.s.w.n.

Osoba, której dane osobowe są przetwarzane w systemie POL-on, z zastrzeżeniem wyjątków przewidzianych przepisami prawa, ma prawo do:

  • dostępu do danych, tj. otrzymania potwierdzenia, czy jej dane osobowe są przetwarzane w Systemie POL-on, w jakim celu, w jaki sposób i jak długo;
  • sprostowania nieaktualnych lub niedokładnych danych osobowych, a także prawo do ich uzupełnienia, w przypadku gdy są niekompletne;
  • ograniczenia przetwarzania danych osobowych, co w wymiarze praktycznym może polegać na czasowym zablokowaniu dostępu do danych czy przeniesieniu danych do innego systemu;
  • złożenia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych, z siedzibą w Warszawie przy ul. Stawki 2.

Obowiązek wynikający z żądania zgłoszonego na podstawie art. 16 RODO (sprostowanie i aktualizacja danych) wykonuje podmiot, który pozyskał dane od osoby, której dane dotyczą.

Czyli w praktyce, jeżeli np. student zgłosi potrzebę aktualizacji swoich danych osobowych, prawo to wykonuje uczelnia, w której student się uczy i która wprowadziła dane osobowe studenta do systemu POL-on.

Bezpieczeństwo danych osobowych w POL-on

Dane osobowe przetwarzane w systemie POL-on są zabezpieczane przez stosowanie odpowiednich środków technicznych i organizacyjnych, minimalizujących ryzyko naruszenia ochrony danych osobowych oraz informacji przetwarzanych w systemie. Dobór środków wynika z prowadzonych w tym celu systematycznych analiz ryzyka oraz audytów bezpieczeństwa i testów penetracyjnych. Czynności te są realizowane z poziomu podmiotu administrującego systemem.

Główne ryzyka, przed którymi zabezpiecza się system to:

  • bezprawny lub nieautoryzowany dostęp lub wykorzystanie danych,
  • przypadkowe zniszczenie, utrata lub naruszenie integralności danych.

Aby zapewnić odpowiedni poziom bezpieczeństwa informacji w systemie POL-on, zarówno MNiSW, jak i OPI PIB posiadają wdrożony system zarządzania bezpieczeństwem informacji utworzony zgodnie z art. 19 rozporządzenia KRI.

Określa on procedury, które obejmują w szczególności: kontrolę dostępu do systemu, tworzenie kopii zapasowych, zachowanie ciągłości działania systemu w sytuacjach zagrożeń, monitorowanie systemu, zarządzanie incydentami bezpieczeństwa. Szczegółowy zakres obszarów, które uwzględniono w ramach zarządzania bezpieczeństwem informacji określa art. 19 ust. 2 rozporządzenia KRI.

Dane osobowe w POL-on przetwarzają wyłącznie osoby do tego upoważnione oraz zobowiązane do zachowania danych w tajemnicy.

Analogiczne zasady bezpieczeństwa przetwarzania muszą zostać zastosowane w podmiotach, które zgodnie z przepisami p.s.w.n. są zobligowane do wprowadzania danych do systemu POL-on.

W kontekście stosowania zabezpieczeń należy posługiwać się przepisami:

  • ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2024 r. poz. 307),
  • rozporządzenia KRI.

W przypadku bezpieczeństwa danych osobowych przepisy RODO nie wskazują żadnych konkretnych zabezpieczeń. Wynika to z podejścia przepisów RODO do przetwarzania danych osobowych, które oparte jest na zasadzie podejścia opartego na ryzyku (risk based approach). W myśl tej zasady każdy z administratorów określa, w jaki sposób będzie podchodził do przetwarzania danych, jakie identyfikuje ryzyka związane z przetwarzaniem i jakie w tym celu wdraża odpowiednie środki techniczne i organizacyjne, aby w sposób dostateczny gwarantowały nienaruszalność ochrony danych osobowych.

Sposób zbierania danych w systemie

Dane są wprowadzane do systemu POL-on przez upoważnionych pracowników odpowiednich instytucji: uczelni, instytutów PAN, instytutów badawczych, instytutów międzynarodowych, innych podmiotów prowadzących głównie działalność naukową w sposób samodzielny i ciągły mających siedzibę na terytorium RP, Centrum Łukasiewicz i instytutów Sieci Łukasiewicz, PKA oraz RDN.

Tryb i terminy wprowadzania danych do baz danych Systemu POL-on oraz aktualizowania, archiwizowania i usuwania tych danych określa rozporządzenie ws. POL-on.

Przechowywanie danych

Dane osobowe w Systemie POL-on są przetwarzane przez okres wskazany w rozporządzeniu ws. POL-on.

Odbiorcy danych i udostępnianie danych innym podmiotom

Dostęp do danych osobowych przetwarzanych w Systemie POL-on przysługuje odbiorcom określonym w p.s.w.n. Dostęp ten dla danego odbiorcy jest ograniczony tylko do tych danych, na które wskazują przepisy w przypadku konkretnego odbiorcy.

Dostęp jest realizowany za pośrednictwem ról w systemie. Aby osoba miała dostęp do danych określonych kategorii osób, musi mieć nadaną odpowiednią rolę w systemie (np. dostęp do danych pracowników zapewnia posiadanie roli INST_PR lub INST_NAUK_PR, INST_PR_PODGLAD lub  INST_NAUK_PR_PODGLAD, INST_DANE_RESTRYKCYJNE).

Wskazanie uprawnionych pracowników podmiotu i procedura, w jakiej są im nadawane role w systemie wynika z przepisów wewnętrznych danego podmiotu. Podmiot musi zapewnić, aby dane nie były udostępniane osobom nieuprawnionym.