21 lip

Co powinna zrobić biblioteka, która nie powoła ABI?

To pytanie pojawiło się ostatnio w wielu mailach, dlatego poświęcę mu kilka słów.

Przede wszystkim, jeżeli nie zdecydowaliśmy się na „ścieżkę z zarejestrowanym ABI-m”, to zmiany dla instytucji będą niewielkie. Tak naprawdę dopiero powołanie i zarejestrowanie ABI-ego w GIODO wprowadza rewolucję w dotychczasowej pracy z danymi osobowymi.

Read More

13 lip

Czy można wyrejestrować z GIODO zbiory zarejestrowane dla filii?

Pytanie od Pani Dagmary:

Czy jeżeli w roku 1999 zostały zarejestrowane w GIODO osobne zbiory d.o. czytelników poszczególnych filii bibliotecznych (jest ich 10), pozostawić taki stan rzeczy, czy może należałoby teraz to jakoś „odkręcić” (jak?) i zarejestrować jeden zbiór  Czytelników? W przypadku likwidacji jednej z filii, których d.o. przejęła inna filia – czy należy wyrejestrować w GIODO zbiór czytelników tej zlikwidowanej placówki?

Kwestia zmian w rejestracji zbiorów danych osobowych rzeczywiście wymaga uważnego wgłębienia się w ustawę, żeby zrozumieć, jak postępować. Co do zasady rejestruje się jeden zbiór danych osobowych i w zgłoszeniu zaznacza, czy dane są przetwarzane centralnie, czy w architekturze rozproszonej. Wybranie architektury rozproszonej stanowi dla GIODO informację, że zbiór jest przetwarzany nie tylko w siedzibie głównej, ale także w oddziałach, czy filiach.

Read More

10 lip

Czy w polityce trzeba szczegółowo wskazywać nazwy programów służących do przetwarzania danych?

Pytanie:
Czy przy opisie programów służących do przetwarzania danych musimy szczegółowo wymieniać nazwy aplikacji edytorów tekstu, arkuszy kalkulacyjnych, programów pocztowych skoro pracujemy na kilku i może to się zmieniać?
Należy wskazać nazwy programów. W rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych, wymienione są elementy, które musi zawierać polityka bezpieczeństwa. Punkt 2 paragrafu 4 dotyczący programów, które służą do przetwarzania danych osobowych ma brzmienie:

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.

Wskazanie rodzaju programu, zamiast nazwy programu, będzie niewystarczające do wypełnienia tego punktu. Jednocześnie pragnę zauważyć, że nie trzeba wskazywać wersji programu (która często ulega zmianie), wystarczy napisać, np. MS Word, CMS strony internetowej www.mbpbiblioteka.pl, itp.


Sylwia CzubSpodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie


06 lip

Czy instrukcja zarządzania systemami informatycznymi może być załącznikiem do polityki bezpieczeństwa?

Pytanie od Pani Agnieszki:

Czy Instrukcję Zarządzania Systemem Informatycznym lepiej opracować jako odrębne zarządzenie, czy zrobić to jako załącznik do Polityki Bezpieczeństwa?

Przepisy wymagają, żeby instrukcja i polityka były dwoma odrębnymi dokumentami.

§ 3. 1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”.

 

03 lip

Czy zeszyt użytkowników czytelni zawiera dane osobowe?

Pytanie od Pana Krzysztofa:

Zwracam się do Pani z pytaniem odnośnie zeszytów odwiedzin w Czytelni dla dzieci i młodzieży i korzystania z prasy, gier planszowych. Do każdego takiego zeszytu czytelnik wpisuje imię i nazwisko i z czego korzystał. Czy w świetle przepisów o ochronie danych osobowych takie zeszyty mają prawo bytu? Czy jednak powinny one mieć charakter anonimowy, czyli czytelnik wpisuje z czego korzystał, ale pomijamy wpisanie imienia i nazwiska i stosujemy tylko liczbę porządkową?Jest na to jakiś złoty środek, aby nie mieć problemów z brakiem ochrony danych osobowych. 

Zgodnie z przepisami danych osobowych, aby przetwarzanie danych osobowych było dopuszczalne, muszą być spełnione trzy warunki:
– legalności,
– adekwatności,
– celowości.
Aby ustalić, czy są one spełnione, należy rozpocząć od odpowiedzi na pytania:
– w jakim celu prowadzone są zeszyty?
– jakie jest uzasadnienie zbierania danych w zakresie imienia i nazwiska (do czego te konkretne dane są wykorzystywane)?

Read More

01 lip

Czy administrator, który nie powoła ABI też musi przeprowadzać sprawdzenia?

Pytanie od Pana Marcina:

Jak to w końcu jest w przypadku, gdy NIE POWOŁAMY ABI. Czy jest obowiązek robienia jakichś audytów wewnętrznych lub sprawozdań do GIODO?

Przeprowadzanie sprawdzeń w zakresie i zgodnie z harmonogramem określonym w rozporządzeniu w sprawie tryb i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI jest obowiązkiem ABI-ego. Administrator, który nie powoła ABI nie ma wprost określonego obowiązku przeprowadzania sprawdzeń.

Read More