Pravidla provozování a využívání univerzitního informačního systému Vysoké školy ekonomické v Praze (PR 7/2018)

platný předpis

Anotace

Tento příkaz s celoškolskou působností stanovuje dle zákona č. 101/2000 Sb., v platném znění, pravidla provozování a užívání univerzitního informačního systému na Vysoké škole ekonomické v Praze a způsob nakládání s osobními údaji v nich obsažených. Příkaz navazuje na PR 01/2007. Příkaz nahrazuje příkaz PR 08/2011, který se tímto příkazem ruší.
Zpracovatel: Přezkoumal: Schválil:
Jméno: Ing. Milan Nidl, MBA prof. Ing. Hana Machková, CSc.
Útvar / funkce ředitel Centra informatiky rektorka
Datum: 26.10.2018 29.10.2018
Podpis: Ing. Milan Nidl, MBA v. r. -. prof. Ing. Hana Machková, CSc. v. r
Platnost od: 1. listopadu 2018 Platnost do: odvolání
Účinnost od: 1. listopadu 2018 Účinnost do: odvolání

Rozsah působnosti

  1. Pravidla se vztahují na všechny zaměstnance, studenty Vysoké školy ekonomické v Praze (dále jen „VŠE“), právní subjekty, které na půdě VŠE vykonávají činnosti pro VŠE na smluvním základě a všechny ostatní uživatele univerzitního informačního systému VŠE (dále jen „IS VŠE“). S tímto příkazem souvisí příkaz rektora PR 01/2007 Provozování a využívání výpočetní techniky a počítačové sítě Vysoké školy ekonomické v Praze.

1.   Informační systém VŠE

  1. IS VŠE ve smyslu zákona o ochraně osobních údajů je provozován a rozvíjen za účelem informačního zabezpečení činnosti školy. Vnitřně se IS VŠE člení na subsystémy dle rozsahu působnosti na celoškolské a lokální různých úrovní, např. fakultní či katedrální. Mezi celoškolské informační systémy patří zejména studijní informační systém, ekonomický a mzdový systém či knihovní systém VŠE. Odpovědnost za rozvoj jednotlivých subsystémů a jejich koordinaci nesou akademičtí funkcionáři a vedoucí pracovníci v rozsahu odpovídajícím jejich působnosti.

2.   Informační základna IS VŠE

  1. Informační základnu IS VŠE tvoří všechny shromažďované a uchovávané informace související s činností VŠE. Rozsah, obsah a technické řešení shromažďovaných a uchovávaných informací je dán potřebami školy a platnou legislativou.
  2. Informace uložené v IS VŠE jsou z hlediska zpřístupnění členěny na interní a veřejné. Interní informace jsou určeny pro vnitřní potřeby školy. Veřejné informace jsou určené pro informování veřejnosti o činnosti školy. Rozsah a obsah zveřejňovaných informací je určován právními předpisy, povinností a zájmem školy všestranně a pravdivě informovat občany a instituce o své činnosti.

3.   Provozování IS VŠE

  1. Provozování jednotlivých částí IS VŠE zabezpečují jednotlivé útvary školy, zpravidla podle jejich pracovní náplně (provozovatelé systému). Pro provozovatele je provozovaná část informačního systému zpravidla jeho základním pracovním nástrojem. Na provozování systému se z věcných důvodů mohou podílet kromě pracovníků provozovatele i pracovníci mimo pověřený útvar. V takovém případě provozovatel tyto pracovníky metodicky řídí v rozsahu vyplývajícím z prováděné činnosti a tito pracovníci jsou povinni dbát pokynů provozovatele. Provozovatelem může být ustanoven cizí právní subjekt, obvykle na přechodnou dobu.
  2. V případě komplexních částí IS VŠE s působností napříč útvary může vedoucí útvaru provozujícího informační systém ustanovit řídící výbor, který je kompetentním orgánem k řízení koordinace a subordinace zúčastněných útvarů a správců. Řídící výbor podléhá a ze své činnosti se odpovídá tomu, kdo jej ustanovil.
  3. V případě celoškolských systémů ustanoví rektor na místo provozovatele jeden ze zúčastněných útvarů, zpravidla takový, který využívá největší část funkcionality systému. V tomto případě kompetence jmenování řídícího výboru zůstává rektorovi.
  4. Provozovatel je povinen vytvořit podmínky pro naplnění zákonných povinností souvisejících s provozováním informačního systému a v rámci VŠE je plně zodpovědný za řádné provozování systému. Provozovatel je pro tento účel povinen zajistit nezbytné odborné služby jiných útvarů školy nebo externích organizací (např. údržba a aktualizace software). Provozování zahrnuje:
    • udržování funkčnosti systému,
    • včasnou aktualizaci jeho funkcí při změně legislativ, vnitřních pravidel apod.,
    • dodržování harmonogramu pořizování vstupních informací, jejich zpracování a poskytování uživatelům,
    • garance správnosti a bezpečnosti uchovávaných dat, řádné provádění archivace a likvidace informací, poskytování informačních služeb uživatelům ve stanoveném rozsahu,
    • správu a revizi přístupových práv,
    • průběžnou kontrolu dodržování těchto pravidel a přijatých opatření,
    • efektivní hospodaření s finančními zdroji určenými na provoz a rozvoj IS VŠE.
  5. V této souvislosti změny anebo rozšiřování funkcí informačního systému lze provádět jen na základě schválení orgánem kompetentním v předmětné oblasti a s vědomím provozovatele. Provozovatel je povinen činit opatření v tomto směru. Porušení této zásady je kvalifikováno jako porušení pracovních povinností. Při provádění změn nebo rozšiřování funkcí je třeba postupovat s péčí dobrého hospodáře a zejména zvážit, zda požadovaného efektu nelze dosáhnout organizačními změnami spíše než nákladnými úpravami systému.
  6. Provozovatel je povinen uplatňovat postupy a nástroje zaručující správnou funkci systému, bezpečnost dat včetně opatření zabraňující neautorizovaným zásahům do programového vybavení a dat a v souvislosti s tím provádět účinná metodická a organizační opatření. Obvyklými nástroji v tomto směru je autorizace přístupu k systému, ochrana prostřednictvím přístupových hesel, organizační opatření na pracovištích (např. znemožnění přístupu nepovolaným osobám k přihlášenému počítači, zabezpečení tiskových sestav a nosičů informací).
  7. Vedoucí útvaru provozujícího systém je povinen ustanovit správce provozovaného informačního systému příp. další, podřízené, správce (autonomních) částí systému. Správce systému zabezpečuje rutinní provoz systému, koordinuje činnost případných podřízených správců a ostatních pracovníků podílejících se na provozování, zajišťuje styk s uživateli a pracovníky odborných služeb v otázkách správnosti fungovaní a údržby systému. V případě komplexních částí IS VŠE je na místě správce ustanoven integrátor, který kromě povinností správce koordinuje svoji činnost podle pokynů nadřízeného správce s ostatními správci své úrovně.
  8. Přidělování přístupových práv je třeba věnovat zvýšenou pozornost a z důvodu bezpečnosti provozu systému je nepřidělovat v míře vyšší než je nutné, to platí zvlášť naléhavě v případě, kdy součástí přístupového práva je právo modifikovat data.
  9. Za přidělování a odebírání přístupových práv pracovníkům správy a dalším pracovníkům podílejícím se na provozování systému a za dodržování stanovených metodických a organizačních opatření je odpovědný vedoucí útvaru provozujícího systém. V případě ukončení pracovního poměru nebo v případě, že pomine důvod pro přidělená oprávnění pracovníkovi, je vedoucí povinen bez zbytečného odkladu zajistit odebrání těchto práv.
  10. Správce systému a pracovníci podílející se na provozování systému jsou zodpovědní za svěřenou oblast. V případě prozrazení vlastních přístupných práv (hesla), jakékoliv získání neoprávněného přístupu (např. v důsledku poruchy či chyby v systému) jsou povinni učinit bezodkladná opatření pro nápravu a tuto skutečnost ohlásit správci systému, příp. nadřízenému. Princip autorizace přístupu je jedním z nejúčinnějších nástrojů ochrany IS, jeho narušování tj. jakékoli sdělování hesel je závažným porušením pracovních povinností či studijního řádu.
  11. Provozovatel systému poskytuje interní informace uživatelům v rozsahu nutném pro plnění pracovních úkolů zaměstnanců a studijních úkolů studentů. Ve sporných případech o poskytování a využívání informací rozhoduje nadřízený orgán. V závažných případech vedení VŠE.
  12. Informace poskytované státní správě podle příslušných předpisů musí být autorizovány pracovníkem odpovědným za danou oblast.

4.   Využívání IS VŠE

  1. Uživateli IS VŠE jsou:
    • zaměstnanci VŠE, kteří využívají informace v souvislosti s výkonem pracovní činnosti,
    • studenti VŠE, kteří využívají informace související se studiem,
    • veřejnost a osoby, které škola informuje o svých aktivitách, případně jim poskytuje další informační službu.
  2. Přístup uživatelů k informacím IS VŠE, jeho rozsah, obsah a způsob jsou dány přístupovými právy, která jsou odvozována:
    • z potřeb uživatelů v závislosti na druhu uživatele a charakteru vykonávané činnosti,
    • z nutnosti ochrany IS VŠE před poškozením, příp. zneužitím,
    • z technických a organizačních možností VŠE.
  3. Uživatel je povinen nakládat s interními informacemi IS VŠE jen v souladu s účelem, pro který získal autorizaci – přístupová práva, tj. nemůže tyto informace svévolně rozšiřovat, využívat pro jiné, například soukromé účely, komerční činnost apod. bez písemného souhlasu VŠE.
  4. Uživatel nesmí využívat funkcionalitu IS, i přesto, že mu ji nastavení práv zpřístupňuje, pokud jejím využitím zasahuje do oblasti odpovědnosti jiné osoby. Funkcionalitu IS je možné používat pouze v rozsahu odpovídajícím odpovědnosti uživatele a pouze v rámci řešení pracovních úkolů. V případech, které přesahují oblast odpovědnosti uživatele je potřeba postupovat ve spolupráci s uživateli odpovědnými za danou oblast či jinými způsoby.
  5. V případě, že se uživatel domnívá, že má z nějakého důvodu v IS, resp. některé jeho části přístupová práva k objektům, které by neměl mít, a které mu nenáleží v rámci vykonávání své pracovní činnosti, resp. studijních povinností, musí o této skutečnosti neprodleně informovat správce IS, resp. jeho části.
  6. Uživatel či provozovatel systému není oprávněn shromažďovat v rámci IS VŠE údaje, které nejsou nutné pro plnění úkolů VŠE a jejích útvarů.
  7. Obdobně, jako pracovníci provozující systém, jsou uživatelé IS povinni chránit přidělená přístupová práva, činit bezodkladné opatření při vzniku ohrožení IS (prozrazení hesla, chyba v systému, porucha) a vzniklý problém ohlásit správci systému, příp. nadřízenému. Nedodržování těchto zásad je porušováním pracovní a studijní disciplíny.

5.   Zveřejňování informací IS VŠE

  1. Zájmem VŠE je podávat resp. zpřístupňovat veřejnosti vyčerpávající aktuální a pravdivé informace o svých aktivitách. Omezujícím faktorem kromě technických možností a kapacit je pouze povinnost dodržovat zákony a chránit legitimní zájmy VŠE, případně jiných spolupracujících subjektů.
  2. Zveřejňování informací je řízeno směrnicí VŠE SR 10/2007 Poskytování informací podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím.

6.   Ochrana osobních údajů

  1. Základní normou upravující ochranu osobních údajů je nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES
  2. Zásady a pravidla při zpracování osobních údajů v rámci VŠE jsou vymezeny směrnicí SR 05/2018 Ochrana a zpracování osobních údajů

7.   Odborné služby provozovatelům a uživatelům IS VŠE

  1. Provozovatelům a uživatelům IS VŠE jsou v případě potřeby poskytovány odborné služby. Tyto služby poskytují:
    • Centrum informatiky VŠE (resp. Centrum informačních technologií pro Fakultu managementu v Jindřichově Hradci), které spravuje a rozvíjí počítačovou síť, poskytuje systémovou a technickou podporu, ve vymezeném rozsahu provádí nebo zprostředkovává vývoj a údržbu programového vybavení, je provozovatelem systému základních síťových služeb a podle potřeby se obvykle dočasně podílí na provozování nově zaváděných subsystémů a subsystémů pro které nejsou plně vytvořeny podmínky pro provozování u kompetentního útvaru,
    • pověření pracovníci jiných pracovišť,
    • cizí právní subjekty na základě smluv v případech, kdy příslušné služby nemohou být zabezpečeny v rámci školy (údržba nebo pronájem programového vybavení, specializované softwarové a technické služby).
  2. Pracovníci poskytující odborné služby mají přístupová práva odvozena z charakteru poskytovaných služeb. Tito pracovníci jsou povinni zachovávat mlčenlivost o informacích, s nimiž v rámci provádění služeb přijdou do styku.
  3. V případech, kdy odborné služby provozovatelům a uživatelům IS VŠE bude poskytovat cizí subjekt, který bude mít přístup k informacím IS VŠE, je nutné jejich ochranu zajistit v rámci příslušné smlouvy. Provozovatel a uživatel, jemuž tito pracovníci službu poskytují, je povinen dbát na dodržování tohoto opatření.

8.   Zvláštní ustanovení pro jednotlivé IS

A.   Integrovaný studijní informační systém (InSIS)

A.1    Základní pravomoc a odpovědnost za provoz a rozvoj InSIS

  1. Provozovatelem InSIS je Centrum informatiky. Na zajištění provozu spolupracuje s fakultami, pedagogickým oddělením a dalšími odbornými útvary na škole.
  2. Ředitel Centra informatiky stanoví správce InSIS z řad svých pracovníků.
  3. Za změny a rozvoj v studijní a pedagogické oblasti je zodpovědný prorektor pro studijní a pedagogickou činnost.
  4. Za bezpečnost systému a ochranu dat je zodpovědný ředitel Centra informatiky.
  5. Za kontrolní a auditní činnost je zodpovědný ředitel Centra informatiky.

A.2    Řídící výbor InSIS

  1. Členy Řídícího výboru jsou ředitel Centra informatiky (předsedající), prorektor pro studijní a pedagogickou činnost, vedoucí pedagogického oddělení a vedoucí oddělení bezpečnost a ochrana dat. Pátého člena na návrh ŘV jmenuje rektor. Řídící výbor dle potřeby zve na svá jednání další zástupce školy, fakulty i zástupce provozovatele.
  2. Řídící výbor se schází obvykle 1x měsíčně.
  3. Řídící výbor řeší spory dle §3, odstavce 10 tohoto předpisu, případně je předává k řešení vedení VŠE.
  4. Řídící výbor schvaluje metodické pokyny pro správnou funkci InSIS a pro bezpečnost a ochranu dat. Není tím omezeno právo provozovatele provádět opatření dle §8 příkazu rektora 1/2007.
  5. Řídící výbor projednává a schvaluje změny InSIS, jejich prioritizaci a kontrolu financování. Schvalování může být řešeno per rollam.
  6. Řídící výbor může delegovat schvalování drobných změn na některého ze svých členů.
  7. Řídící výbor projednává kvartální report o správě a revizi přidělených práv a přijímá adekvátní opatření k jejich aktualizaci.
  8. Řídící výbor projednává měsíční report Koordinačního týmu InSIS a schvaluje opatření navržená Koordinačním týmem.
  9. Řídící výbor může zadat provozovateli vypracování analýz provozu a používání InSIS.

A.3    Dílčí správci

  1. Fakulty stanoví dílčí správce s působností omezenou na příslušnou fakultu. Tito dílčí správci se nazývají systémoví integrátoři fakult (SIF).
  2. Vedoucí pedagogického oddělení stanoví dílčího správce pro oblast studijní agendy.
  3. Celoškolské odborné útvary mohou ustanovit své dílčí správce po schválení Řídícím výborem.

A.4    Koordinační tým InSIS

  1. Členy Koordinačního týmu jsou vedoucí oddělení bezpečnost a ochrana dat (předsedající), vedoucí pedagogického oddělení, systémoví integrátoři fakult (SIF), dílčí správci z dalších útvarů a správce InSIS z Centra informatiky.
  2. Koordinační tým se schází obvykle 1x měsíčně.
  3. Koordinační tým zajišťuje koordinaci aktivit v rámci proběhlých či plánovaných změn InSIS a dále slouží k výměně informací mezi provozovatelem a dílčími správci a mezi dílčími správci navzájem.
  4. Koordinační tým vyhodnocuje požadavky, které byly uplatněny prostřednictvím Helpdesku, nebo přímo na členy Koordinačního týmu.
  5. Koordinační tým předkládá Řídícímu výboru pravidelný písemný report.

A.5    Práva v InSIS

  1. Za správu a revizi práv odpovídá provozovatel. Práva se přiřazují pomocí skupin práv pro jednotlivé funkce a role.
  2. Provozovatel pro fakulty a další útvary s dílčím správcem připravuje skupiny práv dle funkcí a rolí na fakultě/útvaru. Za přiřazení a odebrání skupiny práv konkrétní osobě odpovídá děkan fakulty. Vedoucí útvaru po předchozím projednání a schválení příslušným prorektorem, nebo kvestorem. Konkrétní přiřazení osoby ke skupině práv provádí dílčí správce.

A.6    Hlášení chyb

  1. Uživatelé z fakult a útvarů s dílčím správcem hlásí chyby prostřednictvím svého dílčího správce. Studenti hlásí chyby prostřednictvím příslušného dílčího správce či prostřednictvím HelpDesku Centra informatiky. Ostatní uživatelé hlásí chyby na Helpdesk Centra informatiky.
  2. Dílčí správce je povinen nahlášenou chybu dle svých možností prověřit a opravit. Pokud k tomu nemá dostatečná práva či znalosti, chybu řádně zdokumentuje a předá ji k řešení centrálnímu integrátorovi nebo provozovateli, a to dle charakteru nahlášené chyby.
  3. Chyby vyžadující zásah dodavatele řeší provozovatel.

A. 7   Změny a rozšiřování funkcí InSIS

  1. Návrhy na změny InSIS eviduje Centrum informatiky. Centrum informatiky ověřuje technickou realizovatelnost, zjišťuje finanční náročnost a, v případě schválení návrhu, zajišťuje komunikaci s dodavatelem při jeho řešení.
  2. Součástí návrhu na změnu musí být vyjádření celoškolského odborného útvaru či odborných útvarů, jejichž činnosti se změna týká. Změny obvykle navrhují přímo tyto odborné útvary.
  3. Součástí návrhu na změnu musí být způsob financování.
  4. Pokud grant, rozvojový projekt či dotace předpokládá změny v InSIS, tak žadatel musí získat odpovídající souhlas Řídícího výboru InSIS s navrhovanou změnou před vlastním podáním žádosti.

A.8    Uživatelé InSIS

  1. Uživatel nesmí svévolně upravovat, vkládat či mazat data uložená v InSIS.
  2. Uživatel nesmí využívat žádný program, programový kód ani jiné technické prostředky k automatickému spouštění jakékoli funkcionality InSIS ani sestavovat URL odkazy pro spouštění funkcionalit InSIS. Výjimky posuzuje a schvaluje Řídící výbor InSIS.
  3. V případě, že se uživatel domnívá, že má z nějakého důvodu v InSIS přístupová práva k objektům, které by neměl mít, a které mu nenáleží v rámci vykonávání své pracovní, činnosti, resp. studijních povinností, musí o této skutečnosti neprodleně informovat správce IS.
  4. Uživatel smí využívat (poskytnout práva nebo přijmout) delegování práv na aplikace pouze v případě, že situace neumožňuje jiný způsob řešení, např. osobním kontaktem, postoupením správci s vyšším oprávněním. Není dovoleno delegováním práv soustavně nebo záměrně rozšiřovat rozsah práv jiného uživatele.
  5. Přebírání identity se smí využívat pouze v rámci řešení pracovních úkolů, když není možný osobní kontakt s uživatelem. Není dovoleno tímto způsobem získávat informace, ke kterým uživatel dle nastavení svých práv nemá přístup.
  6. Přebrání identity uživatele s takovým nastavením práv, že přesahují práva přebírajícího, je možné pouze po jeho písemném souhlasu.
  7. Uživatel nesmí zneužívat přebírání identity k získání důvěrných dat jiného uživatele, zejména obsahu poštovní schránky nebo spisového uzlu.

B.    Office 365

  1. Provozovatelem Office 365 je Centrum informatiky, správci jsou pověření zaměstnanci Centra informatiky. Vlastní servery pro služby Office 365 provozuje firma Microsoft, u firmy Microsoft je uložena i většina dat.
  2. V případě, že se uživatel domnívá, že má z nějakého důvodu v Office 365 přístupová práva k objektům, které by neměl mít, a které mu nenáleží v rámci vykonávání své pracovní činnosti, resp. studijních povinností, musí o této skutečnosti neprodleně informovat správce IS.
  3. Správce má možnost přístupu do uživatelovy osobní kolekce webů bez jeho souhlasu v případě podezření na nedovolené využívání Office 365, v rámci řešení problému související se zajištěním bezproblémového chodu Office 365 a v rámci řešení incidentů, které mu byly ohlášeny.
  4. Uživatelé nesmí v prostředí Office 365 využívat nebo instalovat programy, skripty ani jiné prostředky, takovými způsoby, které by měly za následek negativní dopad na tento IS, na počítačovou síť VŠE, popřípadě byly v rozporu se zákonem nebo dobrými mravy.

Uživatel nese veškerou odpovědnost za škody způsobené svým jednáním v souvislosti s užíváním Office 365 způsobené ostatním uživatelům.

Závěrečná ustanovení

Tento předpis navazuje na PR 01/2007 Provozování a využívání výpočetní techniky a počítačové sítě Vysoké školy ekonomické v Praze.

Tímto předpisem se v plném rozsahu ruší PR 08/2011 Pravidla provozování a využívání univerzitního informačního systému Vysoké školy ekonomické v Praze

Přílohy tohoto předpisu:

  • Tento předpis nemá žádné přílohy.