Pravidla provozování a využívání univerzitního informačního systému Vysoké školy ekonomické v Praze (PR 8/2011)

verze: 1

Tento předpis již není platný! Datum konce platnosti: 31. října 2018 Zobrazit novější předpis...

Anotace

Tento příkaz s celoškolskou působností stanovuje dle zákona č. 101/2000 Sb., v platném znění, pravidla provozování a užívání univerzitního informačního systému na Vysoké škole ekonomické v Praze a způsob nakládání s osobními údaji v nich obsažených. Příkaz navazuje na PR 01/2007.
Zpracovatel: Přezkoumal: Schválil:
Jméno: RNDr. Karel Nenadál prof. Ing. Hana Machková, CSc.
Útvar/funkce: ředitel Výpočetní centrum rektorka
Datum: 23. 4. 2015 24. 4. 2015
Podpis:
Platnost od: 1.1.2012 Platnost do: odvolání
Účinnost od: 1.5.2015 Účinnost do: odvolání

Rozsah působnosti

  1. Pravidla se vztahují na všechny zaměstnance, studenty Vysoké školy ekonomické v Praze (dále jen „VŠE“), právní subjekty, které na půdě VŠE vykonávají činnosti pro VŠE na smluvním základě a  všechny ostatní uživatele univerzitního informačního systému VŠE (dále jen „IS VŠE“). Příkaz navazuje na zákon č. 101/2000 Sb., o ochraně osobních údajů, v platném znění. S tímto příkazem souvisí příkaz rektora PR 01/2007 Provozování a využívání výpočetní techniky a  počítačové sítě Vysoké školy ekonomické v Praze.

1. Informační systém VŠE

  1.  IS VŠE ve smyslu zákona o ochraně osobních údajů je provozován a rozvíjen za účelem informačního zabezpečení činnosti školy. Vnitřně se IS VŠE člení na subsystémy dle rozsahu působnosti na  celoškolské a lokální různých úrovní, např. fakultní či katedrální. Mezi celoškolské informační systémy patří zejména studijní informační systém, ekonomický a mzdový systém či knihovní systém VŠE. Odpovědnost za rozvoj jednotlivých subsystémů, jejich koordinaci nesou akademičtí funkcionáři a vedoucí pracovníci v rozsahu odpovídajícím jejich působnosti.

2. Informační základna IS VŠE

  1. Informační základnu IS VŠE tvoří všechny shromažďované a uchovávané informace související s činností VŠE. Rozsah, obsah a technické řešení shromažďovaných a uchovávaných informací je dán potřebami školy a platnou legislativou.
  2. Informace uložené v IS VŠE jsou z hlediska zpřístupnění členěny na interní a veřejné. Interní informace jsou určeny pro vnitřní potřeby školy. Veřejné informace jsou určené pro informování veřejnosti o činnosti školy. Rozsah a obsah zveřejňovaných informací je určován právními předpisy, povinností a zájmem školy všestranně a pravdivě informovat občany a instituce o své činnosti.

3. Provozování IS VŠE

  1. Provozování jednotlivých částí IS VŠE zabezpečují jednotlivé útvary školy, zpravidla podle jejich pracovní náplně (provozovatelé systému). Pro provozovatele je provozovaná část informačního systému zpravidla jeho základním pracovním nástrojem. Na provozování systému se z věcných důvodů mohou podílet kromě pracovníků provozovatele i pracovníci mimo pověřený útvar. Provozovatelem může být ustanoven cizí právní subjekt, obvykle na přechodnou dobu. V takovém případě provozovatel tyto pracovníky metodicky řídí v rozsahu vyplývajícím z prováděné činnosti a tito pracovníci jsou povinni dbát pokynů provozovatele.
  2. V případě komplexních částí IS VŠE s působností napříč útvary může vedoucí útvaru provozujícího informační systém ustanovit řídící výbor, který je kompetentním orgánem k řízení koordinace a subordinace zúčastněných útvarů a správců. Řídící výbor podléhá a ze své činnosti se odpovídá tomu, kdo jej ustanovil.
  3. V případě celoškolských systémů ustanoví rektor na místo provozovatele jeden ze zúčastněných útvarů, zpravidla takový, který využívá největší část funkcionality systému. V tomto případě kompetence jmenování řídícího výboru zůstává rektorovi. Provozovatel je povinen vytvořit podmínky pro  naplnění zákonných povinností souvisejících s provozováním informačního systému v souladu se zákonem o ochraně osobních údajů a v rámci VŠE je plně zodpovědný za řádné provozování systému. Provozovatel je pro tento účel povinen zajistit nezbytné odborné služby jiných útvarů školy nebo externích organizací (např. údržba a aktualizace software). Provozování zahrnuje:
    • udržování funkčnosti systému,
    • včasnou aktualizaci jeho funkcí při změně legislativ, vnitřních pravidel apod.,
    • dodržování harmonogramu pořizování vstupních informací, jejich zpracování a poskytování uživatelům,
    • garance správnosti a bezpečnosti uchovávaných dat, řádné provádění archivace a likvidace informací, poskytování informačních služeb uživatelům ve stanoveném rozsahu,
    • správu a revizi přístupových práv,
    • průběžnou kontrolu dodržování těchto pravidel a  přijatých opatření,
    • efektivní hospodaření s finančními zdroji určenými na provoz a rozvoj IS VŠE.
  4. V této souvislosti změny anebo rozšiřování funkcí informačního systému lze provádět jen na základě schválení orgánem kompetentním v předmětné oblasti a s vědomím provozovatele. Provozovatel je povinen činit opatření v tomto směru. Porušení této zásady je kvalifikováno jako porušení pracovních povinností. Při provádění změn nebo rozšiřování funkcí je třeba postupovat s péčí dobrého hospodáře a zejména zvážit, zda požadovaného efektu nelze dosáhnout organizačními změnami spíše než nákladnými úpravami systému.
  5. Provozovatel je povinen uplatňovat postupy a nástroje zaručující správnou funkci systému, bezpečnost dat a opatření zabraňující neautorizovaným zásahům do programového vybavení a dat a v souvislosti s tím provádět účinná metodická a organizační opatření. Obvyklými nástroji v tomto směru je autorizace přístupu k systému, ochrana prostřednictvím přístupových hesel, organizační opatření na  pracovištích (např. znemožnění přístupu nepovolaným osobám k přihlášenému počítači, zabezpečení tiskových sestav a nosičů informací).
  6. Vedoucí útvaru provozujícího systém je povinen ustanovit správce provozovaného informačního systému příp. další, podřízené, správce (autonomních) částí systému. Správce systému zabezpečuje rutinní provoz systému, koordinuje činnost případných podřízených správců a ostatních pracovníků podílejících se na  provozování, zajišťuje styk s uživateli a pracovníky odborných služeb v  otázkách správnosti fungovaní a údržby systému. V případě komplexních částí IS VŠE je na místě správce ustanoven integrátor, který kromě povinností správce koordinuje svoji činnost podle pokynů nadřízeného správce s ostatními správci své úrovně.
  7. Přidělování přístupových práv je třeba věnovat zvýšenou pozornost a z důvodu bezpečnosti provozu systému je nepřidělovat v míře vyšší než je nutné, to platí zvlášť naléhavě v případě, kdy součástí přístupového práva je právo modifikovat data.
  8. Za přidělování a odebírání přístupových práv pracovníkům správy a dalším pracovníkům podílejícím se na provozování systému a za dodržování stanovených metodických a organizačních opatření je odpovědný vedoucí útvaru provozujícího systém. V případě ukončení pracovního poměru nebo v případě, že pomine důvod pro přidělená oprávnění pracovníkovi, je vedoucí povinen bez zbytečného odkladu zajistit odebrání těchto práv.
  9. Správce systému a pracovníci podílející se na provozování systému jsou zodpovědní za  svěřenou oblast. V případě prozrazení vlastních přístupných práv (hesla), jakékoliv získání neoprávněného přístupu (např. v důsledku poruchy či chyby v  systému) jsou povinni učinit bezodkladná opatření pro nápravu a tuto skutečnost ohlásit správci systému, příp. nadřízenému. Princip autorizace přístupu je jedním z nejúčinnějších nástrojů ochrany IS, jeho narušování tj. jakékoli sdělování hesel je závažným porušením pracovních povinností či studijního řádu.
  10. Provozovatel systému poskytuje interní informace uživatelům v rozsahu nutném pro plnění pracovních úkolů zaměstnanců a studijních úkolů studentů. Ve sporných případech o poskytování a využívání informací rozhoduje nadřízený orgán. V závažných případech vedení VŠE.
  11. Informace poskytované státní správě podle příslušných předpisů musí být autorizovány pracovníkem odpovědným za danou oblast.

4. Využívání IS VŠE

  1. Uživateli IS VŠE jsou:
    • zaměstnanci VŠE, kteří využívají informace v  souvislosti s výkonem pracovní činnosti,
    • studenti VŠE, kteří využívají informace související se studiem,
    • veřejnost a osoby, které škola informuje o svých aktivitách, případně jim poskytuje další informační službu.
  2. Přístup uživatelů k informacím IS VŠE, jeho rozsah, obsah a způsob jsou dány přístupovými právy, která jsou odvozována:
    • z potřeb uživatelů v závislosti na druhu uživatele a charakteru vykonávané činnosti,
    • nutnosti ochrany IS VŠE před poškozením příp. zneužitím,
    • z technických a organizačních možností VŠE.
  3. Uživatel je povinen nakládat s interními informacemi IS VŠE jen v souladu s účelem, pro který získal autorizaci – přístupová práva, tj. nemůže tyto informace svévolně rozšiřovat, využívat pro jiné, například soukromé účely, komerční činnost apod. bez písemného souhlasu VŠE.
  4. Uživatel nesmí využívat funkcionalitu IS, i přesto že mu ji nastavení práv zpřístupňuje, pokud jejím využitím zasahuje do oblasti odpovědnosti jiné osoby. Funkcionalitu IS je možné používat pouze v rozsahu odpovídajícím odpovědnosti uživatele a pouze v rámci řešení pracovních úkolů. V případech, které přesahují oblast odpovědnosti uživatele je potřeba postupovat ve spolupráci s uživateli odpovědnými za danou oblast či jinými způsoby.
  5. V případě, že se uživatel domnívá, že má z nějakého důvodu v IS, resp. některé jeho části přístupová práva k objektům, které by neměl mít, a které mu nenáleží v rámci vykonávání své pracovní činnosti, resp. studijních povinností, musí o této skutečnosti neprodleně informovat správce IS, resp. jeho části.
  6. Uživatel či provozovatel systému není oprávněn shromažďovat v rámci IS VŠE údaje, které nejsou nutné pro plnění úkolů VŠE a jejích útvarů.
  7. Obdobně, jako pracovníci provozující systém, jsou uživatelé IS povinni chránit přidělená přístupová práva, činit bezodkladné opatření při vzniku ohrožení IS (prozrazení hesla, chyba v systému, porucha) a  vzniklý problém ohlásit správci systému, příp. nadřízenému. Nedodržování těchto zásad je porušováním pracovní a studijní disciplíny.

5. Zveřejňování informací IS VŠE

  1. Zájmem VŠE je podávat resp. zpřístupňovat veřejnosti vyčerpávající aktuální a pravdivé informace o svých aktivitách. Omezujícím faktorem kromě technických možností a  kapacit je pouze povinnost dodržovat zákony (především zákon č. 101/2000 Sb., o  ochraně osobních údajů, v platném znění) chránit legitimní zájmy VŠE, případně jiných spolupracujících subjektů.
  2. Zveřejňování informací je řízeno směrnicí VŠE SR 10/2007 Poskytování informací podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím.

6. Ochrana osobních údajů

  1. Základní normou upravující ochranu osobních údajů je již dříve citovaný zákon o ochraně osobních údajů.
  2. V IS VŠE mohou být shromažďovány a uchovávány osobní údaje pouze v rozsahu nutném pro vedení příslušných agend. Provozovatelé systémů obsahující tato data musí při nakládání s nimi dbát zvýšené opatrnosti.
  3. Přístup k osobním údajům mohou mít jen uživatelé, z jejichž pracovní náplně vyplývá povinnost s nimi pracovat. V případě osobních údajů o pracovnících mohou mít přístup pracovníci příslušných oddělení administrativy a vedoucí pracovníci, resp. jimi pověření pracovníci v rozsahu nutném pro výkon funkce. Osobní údaje o studentech mohou být poskytovány členům vedení VŠE, děkanům nebo jimi pověřeným pracovníkům, dále pak vedoucím kateder a učitelům a dalším administrativním pracovníkům, v rozsahu a obsahu nutném pro zabezpečení administrativy a výuky.
  4. O rozsahu a obsahu zpřístupňovaných osobních údajů o studentech na fakultách učitelům a administrativním pracovníkům rozhoduje děkan fakulty, případně rektor, jde-li o celoškolské rozhodnutí.
  5. Jakékoliv zveřejňování osobních údajů ve veřejně přístupných prostorách školy či mimo školu bez souhlasu dotčených osob je nepřípustné. Pracovníci využívající osobní údaje jsou ve zvýšené míře povinni provádět opatření proti jejich zneužití, tj. chránit svoje přístupová práva, bezpečně ukládat případné kopie na elektronických mediích, či v tiskové podobě. V okamžiku, kdy zanikne potřeba dalšího využití, tyto kopie zničit.

7. Odborné služby provozovatelům a uživatelům IS VŠE

  1. Provozovatelům a uživatelům IS VŠE jsou v případě potřeby poskytovány odborné služby. Tyto služby poskytují:
    • Výpočetní centrum VŠE (resp. Centrum výpočetní techniky pro Fakultu managementu v Jindřichově Hradci), které spravuje a  rozvíjí počítačovou síť, poskytuje systémovou a technickou podporu, ve  vymezeném rozsahu provádí nebo zprostředkovává vývoj a údržbu programového vybavení, je provozovatelem systému základních síťových služeb a podle potřeby se obvykle dočasně podílí na provozování nově zaváděných subsystémů a  subsystémů pro které nejsou plně vytvořeny podmínky pro provozování u  kompetentního útvaru,
    • pověření pracovníci jiných pracovišť,
    • cizí právní subjekty na základě smluv v  případech, kdy příslušné služby nemohou být zabezpečeny v rámci školy (údržba nebo pronájem programového vybavení, specializované softwarové a technické služby).
  2. Pracovníci poskytující odborné služby mají přístupová práva odvozena z charakteru poskytovaných služeb. Tito pracovníci jsou povinni zachovávat mlčenlivost o  informacích, s nimiž v rámci provádění služeb přijdou do styku.
  3. V případech, kdy odborné služby provozovatelům a uživatelům IS VŠE bude poskytovat cizí subjekt, který bude mít přístup k informacím IS VŠE, je nutné jejich ochranu zajistit v rámci příslušné smlouvy. Provozovatel a uživatel, jemuž tito pracovníci službu poskytují, je povinen dbát na dodržování tohoto opatření.

8. Zvláštní ustanovení pro jednotlivé IS

A. Integrovaný studijní informační systém (ISIS)

  1. Provozovatelem ISIS je pedagogické oddělení, centrálním správcem je pověřený zaměstnanec pedagogického oddělení. Kromě centrálního správce mohou fakulty a další útvary po dohodě s centrálním správcem ustanovit dílčí správce, s působností omezenou na příslušný útvar. Fakultní správci se nazývají systémoví integrátoři fakult (SIF).
  2. Uživatel nesmí svévolně upravovat, vkládat či mazat data uložená v ISIS.
  3. Uživatel nesmí využívat žádný program, programový kód ani jiné technické prostředky k automatickému spouštění jakékoli funkcionality ISIS ani sestavovat URL odkazy pro spouštění funkcionalit ISIS.
  4. V případě, že se uživatel domnívá, že má z nějakého důvodu v ISIS přístupová práva k objektům, které by neměl mít, a které mu nenáleží v rámci vykonávání své pracovní, činnosti, resp. studijních povinností, musí o této skutečnosti neprodleně informovat správce IS.
  5. Uživatel smí využívat (poskytnout práva nebo přijmout) delegování práv na aplikace pouze v případě, že situace neumožňuje jiný způsob řešení, např. osobním kontaktem, postoupením správci s vyšším oprávněním. Není dovoleno delegováním práv soustavně nebo záměrně rozšiřovat rozsah práv jiného uživatele.
  6. Přebírání identity se smí využívat pouze v rámci řešení pracovních úkolů, když není možný osobní kontakt s uživatelem. Není dovoleno tímto způsobem získávat informace, ke kterým uživatel dle nastavení svých práv nemá přístup.
  7. Přebrání identity uživatele s takovým nastavením práv, že přesahují práva přebírajícího, je možné pouze po jeho písemném souhlasu.
  8. Uživatel nesmí zneužívat přebírání identity k získání důvěrných dat jiného uživatele, zejména obsahu poštovní schránky nebo spisového uzlu.

B. Office 365

  1. Provozovatelem Office 365 je Výpočetní centrum, správci jsou pověření zaměstnanci Výpočetního centra. Vlastní servery pro služby Office 365 provozuje firma Microsoft, u firmy Microsoft je uložena i většina dat.
  2. V případě, že se uživatel domnívá, že má z nějakého důvodu v Office 365 přístupová práva k objektům, které by neměl mít, a které mu nenáleží v rámci vykonávání své pracovní činnosti, resp. studijních povinností, musí o této skutečnosti neprodleně informovat správce IS.
  3. Správce má možnost přístupu do uživatelovy osobní kolekce webů bez jeho souhlasu v případě podezření na nedovolené využívání Office 365, v rámci řešení problému související se zajištěním bezproblémového chodu Office 365 a v rámci řešení incidentů, které mu byly ohlášeny.
  4. Uživatelé nesmí v prostředí Office 365 využívat nebo instalovat programy, skripty ani jiné prostředky, takovými způsoby, které by měly za následek negativní dopad na tento IS, na počítačovou síť VŠE, popřípadě byly v rozporu se zákonem nebo dobrými mravy.
  5. Uživatel nese veškerou odpovědnost za škody způsobené svým jednáním v souvislosti s užíváním Office 365 způsobené ostatním uživatelům.
 LIST ZMĚN:
Číslo změny Strany, na kterých se mění předpis Předmět změny – název dodatku Schváleno, datum:
1. Rozšířena poslední věta odst. 3.8.; doplněny odst. 4.4. a 4.5., následující přečíslovány; doplněn oddíl 8.