WSTĘPWszyscy kierownicy jednostek organizacyjnych uczelni, przedstawiciele organów kolegialnych i wyborczych, komisji stałych i doraźnych, fundacji i stowarzyszeń działających przy uczelni, samorządu i organizacji studenckich, a także samorządu i organizacji doktoranckich, są zobowiązani do przeprowadzenia inwentaryzacji przetwarzanych w ich strukturach zbiorów danych osobowych. Wyniki inwentaryzacji należy przesłać do administratora bezpieczeństwa informacji w terminie do 28 lutego 2018 r.Dla każdego zidentyfikowanego zbioru danych osobowych należy wypełnić osobny formularz. Formularze należy wypełniać elektronicznie, zaś do administratora bezpieczeństwa informacji należy je dostarczyć w wersji papierowej (wydruk) oraz w wersji elektronicznej, na e-mail: abi@prz.edu.pl

Niniejszy formularz służy do przeprowadzenia inwentaryzacji i analizy przetwarzanych zbiorów danych osobowych (zarówno w sposób tradycyjny – papierowy, jak i w systemach informatycznych). W formularzu tym należy jedynie wymienić systemy informatyczne służące do przetwarzania danych osobowych – nie służy on do przeprowadzania analizy struktur i funkcjonalności systemów informatycznych i baz danych.

Formularz opisu zbioru danych osobowychw celu inwentaryzacji i analizy przetwarzanych w Uczelni zbiorów zawierających dane osobowe związanej

z rozporządzeniem RODO.

NAZWA JEDNOSTKI / ORGANU / KOMISJI

NAZWA ZBIORUNależy sformułować roboczą nazwę zbioru danych, adekwatną do rodzaju przetwarzanych danych i celu ich przetwarzania.PRZYKŁADY: 1. Dokumenty aplikacyjne kandydatów do pracy. 2. Teczka akt osobowych i przebiegu studiów studenta.

CEL PRZETWARZANIA DANYCHNależy opisać cel, w jakim przetwarzane są dane osobowe.PRZYKŁADY: 1. Przeprowadzenie rekrutacji na stanowisko pracownicze. 2. Prowadzenie dokumentacji toku studiów.

KATEGORIE OSÓB, KTÓRYCH DANE DOTYCZĄNależy wskazać wszystkie kategorie osób, których dane są przetwarzane w zbiorze. 1

☐ kandydaci na studia wyższe; ☐ byli pracownicy;☐ studenci studiów wyższych; ☐ emeryci;☐ absolwenci studiów wyższych; ☐ renciści;☐ kandydaci na studia doktoranckie; ☐ osoby fizyczne świadczące pracę na podstawie umowy

cywilno-prawnej;☐ doktoranci;☐ absolwenci studiów doktoranckich; ☐ kontrahenci (osoby fizyczne prowadzące działalność

gospodarczą) świadczący usługi na rzecz Politechniki Rzeszowskiej;

☐ kandydaci na studia podyplomowe;☐ słuchacze studiów podyplomowych;☐ absolwenci studiów podyplomowych; ☐ kontrahenci (osoby fizyczne) korzystające z usług

Politechniki Rzeszowskiej;☐ kandydaci na kursy;☐ uczestnicy kursów; ☐ uczestnicy konferencji;☐ absolwenci kursów; ☐ uczestnicy konkursów organizowanych przez

Politechnikę Rzeszowską;☐ kandydaci do pracy;☐ pracownicy; ☐ członkowie rodziny osoby, której dane dotyczą;☐ inne (jakie?):

1 W MS Word kliknięcie na ☐ powoduje przełączenie zaznaczenia na ☒. W LibreOffice/OpenOffice oraz w starszych wersjach MS Word (np. 2007) kwadrat ☐ jest znakiem, który można zmazać i zastąpić napisem [x] lub skopiowanym znakiem ☒.

KATEGORIE PRZETWARZANYCH DANYCH OSOBOWYCHNależy wskazać wszystkie kategorie danych, jakie są przetwarzane w zbiorze. Jeżeli w zbiorze przetwarzane są także dane członków rodziny, należy w polu „inne” podać kategorie tych danych.PRZYKŁAD: Numer ewidencyjny PESEL, imię (imiona) i nazwisko małżonka, data urodzenia dziecka, itp.☐ imię (imiona) i nazwisko; ☐ miejsce pracy;☐ imiona rodziców; ☐ zawód;☐ data urodzenia; ☐ wykształcenie;☐ miejsce urodzenia; ☐ doświadczenie zawodowe;☐ adres zameldowania; ☐ seria i numer dowodu osobistego;☐ adres zamieszkania; ☐ seria i numer paszportu;☐ adres do korespondencji; ☐ numer telefonu;☐ numer ewidencyjny PESEL; ☐ adres e-mail;☐ numer NIP; ☐ wizerunek (zdjęcie);☐ numer INDEKSU;☐ inne (jakie?):

SPOSÓB POZYSKIWANIA DANYCH OSOBOWYCH – BEZPOŚREDNIO OD OSOBY, KTÓREJ DOTYCZĄJeżeli dane osobowe są zbierane bezpośrednio od osoby, której dotyczą, należy wskazać sposób pozyskiwania tych danych.☐ ORYGINAŁY / KSEROKOPIE DOKUMENTÓW

Należy wymienić wszystkie rodzaje dokumentów pozyskiwanych od osoby, której dane dotyczą, wraz ze wskazaniem czy jest to oryginał czy kopia dokumentu. Przy każdym dokumencie należy wskazać także podstawę prawną, która upoważnia Politechnikę Rzeszowską do pozyskiwania tego dokumentu (należy wskazać konkretny przepis prawa).PRZYKŁAD (TECZKA AKT OSOBOWYCH STUDENTA):Nazwa dokumentu: Świadectwo dojrzałości (kserokopia);Podstawa prawna: § 4 ust. 1. pkt 1 ppkt a rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów (Dz. U. 2016 poz. 1554);

☐ FORMULARZE NA DRUKACH URZĘDOWYCH, USTAWOWYCHNależy wymienić wszystkie rodzaje pozyskiwanych od osoby, której dane dotyczą, formularzy na drukach urzędowych (ZUS, US, itp.) oraz formularzy, których wzory stanowią załączniki do obowiązujących przepisów prawa (ustaw, rozporządzeń) wraz ze wskazaniem ich źródła. Przy każdym dokumencie należy wskazać podstawę prawną, która upoważnia Politechnikę Rzeszowską do pozyskiwania tego dokumentu (należy wskazać konkretny przepis prawa).PRZYKŁAD (AKTA OSOBOWE PRACOWNIKA): Nazwa formularza: Kwestionariusz osobowy dla osoby ubiegającej się o zatrudnienie;Źródło formularza: Załącznik nr 1 do rozporządzenia Ministra Pracy i Polityki Społecznej z dnia 10 lipca 2009 r. zmieniające rozporządzenie w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz.U. 2009 Nr 115 poz. 971); Podstawa prawna: § 1 pkt. 1 lit. a rozporządzenia Ministra Pracy i Polityki Społecznej z dnia 22 czerwca 2006 r. zmieniające rozporządzenie w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz. U. 2006 Nr 125 poz. 869)].

☐ FORMULARZE WEWNĘTRZNE UCZELNI (PAPIEROWE / ELEKTRONICZNE)Należy wymienić wszystkie rodzaje pozyskiwanych od osoby, której dane dotyczą, formularzy wraz ze wskazaniem czy mają one postać papierową czy elektroniczną. W przypadku formularzy dostępnych w wersji elektronicznej, należy podać pełny adres strony, pod którą formularz jest dostępny.PRZYKŁAD (REKRUTACJA NA STUDIA DOKTORANCKIE): Nazwa formularza: Formularz rekrutacji na studia doktoranckie;Postać formularza: Elektroniczna;Źródło: https://rekrutacja.prz.edu.pl/doktoranckie/rejestracjaUWAGI: W przypadku zakwalifikowania kandydata do przyjęcia na studia doktoranckie, wersja papierowa formularza (wydruk) dostarczana jest przez kandydata do właściwej WKR.UWAGA: DO ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI NALEŻY DOSTARCZYĆ JEDEN NIEWYPEŁNIONY DANYMI OSOBOWYMI EGZEMPLARZ FORMULARZA! PRZY KAŻDYM POLU FORMUARZA NALEŻY WSKAZAĆ PRZEPIS PRAWA UPRAWNIAJĄCY UCZELNIĘ DO POZYSKIWANIA TEJ DANEJ LUB WYKAZAĆ, IŻ DANA TA JEST NIEZBĘDNA DO REALIZACJI CELU PRZETWARZANIA!

☐ INNEJeżeli jednostka organizacyjna pozyskuje dane osobowe w sposób inny, niż wymienione wyżej, należy go opisać.PRZYKŁADY: 1. Dane pozyskiwane ustnie podczas rozmowy kwalifikacyjnej. 2. Dane zawarte we wniosku pracownika o udzielenie urlopu wychowawczego, itp.

SPOSÓB POZYSKIWANIA DANYCH OSOBOWYCH – INNE ŹRÓDŁA☐ DANE OSOBOWE PRZEKAZYWANE UCZELNI PRZEZ INNY PODMIOT

Należy wskazać rodzaje dokumentów, które pozyskuje jednostka, sposób ich pozyskiwania (papierowy/elektroniczny), źródło oraz cel przekazania.PRZYKŁAD (DZIEKANAT WYDZIAŁU):Nazwa dokumentu: Dokumentacja przebiegu studiów (należy wymienić jakie);Sposób pozyskiwania: Dokumenty w wersji papierowej przesyłane pocztą/kurierem; Źródło: Uczelnia wyższa, na której dotychczas kształcił się student;Cel przekazania: Prowadzenie teczki akt osobowych studenta (historia kształcenia);

☐ DANE OSOBOWE PRZEKAZYWANE Z INNEJ JEDNOSTKI ORGANIZACYJNEJ PRzNależy podać rodzaje dokumentów, które pozyskuje jednostka, wskazać sposób ich pozyskiwania (papierowy/elektroniczny), źródło oraz cel przekazania.PRZYKŁAD (ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI): Nazwa dokumentu: Wnioski instytucji państwowych o udostępnienie danych osobowych studentów Politechniki Rzeszowskiej (wersja papierowa);Źródło: Wydziały PRz;Cel przekazania: Przeprowadzenie konsultacji z administratorem bezpieczeństwa informacji odnośnie obowiązku udzielenia przez Politechnikę Rzeszowską odpowiedzi na wniosek instytucji państwowej o udostępnienie danych osobowych studenta;

☐ DANE POBIERANE Z SYSTEMU INFORMATYCZNEGONależy podać kategorie danych oraz system, z którego dane są pozyskiwane oraz cel pozyskiwania danych.PRZYKŁAD: Kategorie danych: Imię (imiona) i nazwisko, numer indeksu;Źródło: Dane pobierane z systemu USOS;Cel pozyskania danych: ...;

SPOSÓB PRZETWARZANIA DANYCH OSOBOWYCHW przypadku przetwarzania danych osobowych w systemie informatycznym, w polu UWAGI należy wymienić wszystkie systemy informatyczne, w których przetwarzane są dane osobowe z analizowanego zbioru.☐ dane są przetwarzane wyłącznie w postaci papierowej;☐ dane są przetwarzane wyłącznie w postaci elektronicznej;☐ dane są przetwarzana zarówno w postaci papierowej, jak i elektronicznej;

UWAGI: PODSTAWA PRAWNA PRZETWARZANIA DANYCH OSOBOWYCH W ZBIORZE

Należy wskazać podstawę prawną upoważniającą Politechnikę Rzeszowską do przetwarzania danych osobowych w zbiorze.UWAGA: Należy zaznaczyć wyłącznie jeden kwadrat!☐ Osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;

W polu UWAGI należy zamieścić treść obowiązującej klauzuli oraz miejsce jej zamieszczenia (np. formularz zapisu do usługi Newsletter).

☐ Jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; W polu UWAGI należy podać przepis prawa uprawniający Uczelnię do przetwarzania danych osobowych w zbiorze.

☐ Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;W polu UWAGI należy podać rodzaj umowy oraz cel jej zawarcia.

☐ Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;W polu UWAGI należy wskazać te zadania.

☐ Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez

administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą;W polu UWAGI należy wskazać ten cel.

UWAGI: RODZAJE TWORZONYCH DOKUMENTÓW, ZAWIERAJĄCYCH DANE OSOBOWE

Należy wymienić wszystkie rodzaje dokumentów tworzonych w jednostce, które zawierają dane osobowe.PRZYKŁAD (DZIAŁ SPRAW OSOBOWYCH): Umowa o pracę;PRZYKŁAD (MIĘDZYWYDZIAŁOWA KOMISJA REKRUTACYJNA): Decyzja o przyjęciu kandydata na studia;UWAGA: DO ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI NALEŻY DOSTARCZYĆ JEDEN NIEWYPEŁNIONY DANYMI OSOBOWYMI EGZEMPLARZ DOKUMENTU!

OKRES PRZETWRZANIA/PRZECHOWYWANIA DANYCH OSOBOWYCH W ZBIORZENależy wskazać okres przez jaki przetwarza/przechowuje się dane osobowe z zbiorze. Czas ten można określić w dniach/miesiącach/latach lub poprzez wskazanie wydarzenia skutkującego zaprzestaniem przetwarzania danych osobowych w zbiorze. Jeśli okres przechowywania danych osobowych wynika z przepisów prawa, należy wskazać przepis prawa uprawniający Politechnikę Rzeszowską do przetwarzania danych przez ten okres, zaś jeśli okres przechowywania danych osobowych został ustalony wewnętrznie przez jednostkę organizacyjną, należy podać kryteria ustalania tego czasu.UWAGA: Jeśli w zbiorze różne dane (dokumenty z danymi) są przetwarzane przez różny okres czasu, należy określić czas przetwarzania danych dla każdego dokumentu osobno. Jak długo osoba widnieje w systemie informatycznym?PRZYKŁAD (ARCHIWUM UCZELNI):Nazwa dokumentu: Teczka akt osobowych studenta;Okres przechowywania: 50 lat;Podstawa prawna: § 4 ust. 2 rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów (Dz. U. 2016 poz. 1554);

PRZEKAZYWANIE DOKUMENTÓW (ZAWIERAJĄCYCH DANE OSOBOWE) OSOBOM, KTÓRYCH DANE DOTYCZĄNależy wskazać, czy jednostka organizacyjna przekazuje otrzymane lub utworzone przez siebie dokumenty (zawierające dane osobowe) osobom, których dane dotyczą, oraz wskazać w jaki sposób następuje przekazanie.PRZYKŁAD (DZIEKANAT WYDZIAŁU):Nazwa dokumentu: Legitymacja studencka;Komu przekazywany: Student;Sposób przekazania: Student odbiera legitymację studencką w dziekanacie właściwym dla kierunku studiów. Fakt odebrania legitymacji potwierdza poprzez złożenie podpisu na ….

PRZEKAZYWANIE DOKUMENTÓW ZAWIERAJĄCYCH DANE OSOBOWE INNYM JEDNOSTKOM UCZELNINależy wskazać, czy jednostka organizacyjna lub organ uczelni, przekazuje otrzymane lub utworzone przez siebie dokumenty zawierające dane osobowe innym jednostkom organizacyjnym lub organom w Uczelni, oraz wskazać w jaki sposób następuje przekazanie.PRZYKŁAD (SEKCJA INFORMATYZACJI TOKU STUDIÓW): Nazwa dokumentu: Legitymacja studencka;Komu przekazywany: Dziekanat wydziału;Sposób przekazywania: Osobiście przez pracownika SITS.

PRZEKAZYWANIE DANYCH OSOBOWYCH POZA UCZELNIĘNależy wskazać, czy kategorie i zakres danych osobowych, które jednostka przekazuje poza Uczelnię (instytucjom państwowym, firmom prywatnym, podmiotom mającym siedzibę poza granicami kraju, itp.), wskazać podstawę prawną takiego działania oraz wskazać w jaki sposób następuje przekazanie.PRZYKŁAD (DZIEKANAT WYDZIAŁU):Kategoria danych: Dane osobowe studentów wydziału, dotyczące przebiegu ich studiów i przerw w nauce;Zakres danych: Komu przekazywany: Instytucjom państwowym (m.in. ZUS, KRUS, MOPS), które wnioskowały o udostępnienie danych, po spełnieniu przez te podmioty przesłanek z przepisów prawa, na które się powołują;Sposób przekazania: Odpowiedź przekazywana w formie pisemnej, wysyłana na adres wskazany we wniosku.PRZYKŁAD (DZIAŁ SPRAW STUDENCKICH): wprowadzanie danych osobowych studentów do systemu POL-ON - § 3 rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 22 września 2011 r. w sprawie danych zamieszczanych w ogólnopolskim wykazie studentów;

ZAWARTE UMOWY POWIERZENIANależy wskazać czy jednostka zawarła z podmiotami zewnętrznymi umowy, z realizacją których wiąże się przekazywanie danych osobowych. Jeśli tak, należy wymienić podmioty, którym dane są przekazywane oraz wskazać zakres przekazywanych danych oraz cel ich przetwarzania.

W RAZIE PYTAŃ, PROSZĘ O KONTAKT:

E-mail: abi@prz.edu.pl

Administrator Bezpieczeństwa Informacji – mgr inż. Michał Mazur – tel. 1775