29 Paź

Jak określić administratora danych osobowych w bibliotece wojskowej lub urzędzie?

Problem z ustaleniem administratora danych osobowych w bibliotece klubu wojskowego (dalej będę nazywać ją biblioteką wojskową) polega na tym, że ta biblioteka nie jest samodzielną jednostką organizacyjną. Biblioteka wojskowa znajduje się w strukturach organizacyjnych jednostki wojskowej, która nie posiada osobowości prawnej. Natomiast osobowość posiada obsługujący jednostkę wojskową pod względem administracyjnym i gospodarczym oddział, pododdział lub związek organizacyjny (np. Wojskowy Oddział Gospodarczy). Kierownicy bibliotek wojskowych stają przed trudnością w określeniu, czy administratorem jest jednostka, dowódca, czy WOG.

Punktem wyjścia do znalezienia odpowiedzi na pytanie, jest ustawowa definicja administratora danych: jest to organ, jednostka organizacyjna, podmiot lub osobę decydującą (samodzielnie) o celach i środkach przetwarzania danych osobowych.  Trudność w ustaleniu administratora danych osobowych w instytucjach państwowych polega na tym, że dla danych przetwarzanych w ramach jednego podmiotu (np. urzędu) może być różny administrator danych osobowych. Dla danych pracowniczych będzie nim pracodawca, ale dla danych przetwarzanych w ramach centralnego rejestru PESEL Minister Spraw Wewnętrznych i Administracji. Decydującym czynnikiem jest odpowiedź na pytanie kto decyduje o celach i środach przetwarzania danych osobowych. Co ciekawe w przypadku wniosków kierowanych do urzędu o udostępnienie danych z rejestru PESEL powstaje nowy zbiór danych osobowych „decyzji administracyjnych na wniosek o udostępnienie danych z rejestru PESEL”, dla którego administratorem jest podmiot przetwarzający te dane. Read More

11 Lut

Ustawa 500+ po cichu wprowadza niepokojące zmiany w ochronie danych obywateli

Wczoraj GIODO opublikował pismo skierowane do Zastępcy Szefa Kancelarii Sejmu, w którym zasygnalizował zaniepokojenie próbą wprowadzenia istotnych zmian w ustawie o ochronie danych osobowych poprzez, tzw. ustawę 500+. O co chodzi?

Bez konsultacji społecznych oraz z Generalnym Inspektorem Ochrony Danych Osobowych wprowadzono do projektu ustawy art. 38 pkt 1, który ma umożliwić wszystkim organom publicznym wymianę danych o obywatelach bez ograniczeń narzucanych przez ochronę danych osobowych. Jak to możliwe? Zaproponowano wprowadzenie nowego tworu zbiorowego administratora danych, który działałby na zasadach ustawowego administratora danych.

GIODO napisał:

Wprowadzanie zmian o charakterze systemowym, które w zasadniczy sposób modyfikują podstawowe zasady przetwarzania danych osobowych, do tego w trybie uniemożliwiającym jakąkolwiek realną dyskusję, jest przez Generalnego Inspektora Ochrony Danych Osobowych nie do przyjęcia. Zaproponowane przez projektodawcę nowe przepisy ustawy o ochronie danych osobowych w praktyce oznaczałyby całkowitą przebudowę modelu przetwarzania danych osobowych przez podmioty publiczne. Spowodowałoby to chaos i uniemożliwiło realizację ustawowych zadań zarówno przez administratorów danych, jak i przez organ do spraw ochrony danych osobowych.

Do tej pory administrator danych musiał być jednoznacznie określony, ciążyły na nim określone obowiązki i odpowiedzialność. W jaki sposób egzekwować kary albo kontrolować „zbiorowego administratora danych”, na którego będzie się składało wiele instytucji?

Co ciekawe tak istotne zmiany w zakresie ochrony danych osobowych zostały wprowadzone „za plecami” organu, który odpowiada za ochronę danych w Polsce:

Read More

08 Wrz

Dylematy biblioteki publiczno-szkolnej

Niektórzy z Was na pewno kojarzą taki twór, jak biblioteka publiczno-szkolna. Najczęściej jest to biblioteka publiczna, która ma swoją siedzibę (lub filię) w szkole i jednocześnie pełni rolę biblioteki szkolnej i publicznej. W niektórych jest jedna kartoteka czytelników, w innych dwie oddzielne. I od razu nasuwają się pytania natury prawnej.

Kto jest administratorem danych czytelników, biblioteka czy szkoła?

Jeżeli jest to biblioteka publiczna (lub jej filia) mieszcząca się w szkole, to administratorem danych osobowych wszystkich czytelników (także uczniów) jest biblioteka publiczna. Jeżeli w szkole mieści się biblioteka, którą zarządza szkoła i która tylko po godzinach obsługuje mieszkańców, ale nie jest to biblioteka publiczna, a jedynie instytucja pełniąca taką rolę, administratorem danych jest szkoła. Read More

12 Lut

Jak często powinny być przeprowadzane sprawdzenia?

Pytanie padło od Pana Grzegorza:
Czy sprawdzenie odbywa się na żądanie dyrektora, czy też co pewien okres czasu? 
Czy roczne sprawozdanie jest wymogiem odgórnym (narzuconym przez GIODO) oraz czy każde sprawozdanie roczne musi zostać wysłane o GIODO?
Na chwilę obecną nie wiadomo jaką częstotliwość przeprowadzania sprawdzeń uchwali ustawodawca. W projekcie rozporządzenia MAiC jest mowa o planowanym sprawdzeniu raz do roku oraz dodatkowym sprawdzeniu na zlecenie GIODO lub na skutek zaistnienia incydentu. Pragnę podkreślić, że podobne sprawdzenia w przypadku informacji niejawnych są przeprowadzane raz na 3 lata ze względu na fakt, że taki kompleksowy audyt blokuje pracę instytucji na pewien czas.
Czekamy na ustalenia dotyczące rozporządzenia, z nadzieją, że ustawodawca zrozumie, że potrzebą zmian było ułatwienie a nie utrudnianie wykonywania działalności gospodarczej… Jeżeli sprawdzenie będzie musiało być przeprowadzane raz do roku, to sprawozdanie z tego sprawdzenia będzie przygotowywane również raz do roku (plus dodatkowe na zlecenie GIODO lub po incydentalnym sprawdzeniu).

Read More

01 Paź

Administrator danych osobowych

Zacznijmy od definicji ustawowej

Art. 7 ust. 4 UODO

Ilekroć w ustawie jest mowa o administratorze danych – rozumie się przez to organ, jednostkę organizacyjną podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych.

Konieczne jest przytoczenie art. 3 UODO (konkretnie ust. 2.2):

Ustawę stosuje się również do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Konkluzja: Read More