18 Kwi

Aktualizacja wpisu: Czy zbiór danych monitoringu wizyjnego należy zarejestrować w GIODO?

Ze względu na bardzo dużą liczbę zapytań związanych ze zbiorem monitoringu, postanowiłam zaktualizować wpis z grudnia 2015 roku dotyczący obowiązku rejestrowania zbioru danych gromadzonych w ramach monitoringu wizyjnego w rejestrze GIODO.

Przede wszystkim należy odpowiedzieć sobie na pytanie, czy dane gromadzone w ramach monitoringu wizyjnego stanowią zbiór danych osobowych. Odpowiedź jest twierdząca – jest to zbiór, w którym można wyszukiwać, który ma usystematyzowaną strukturę oraz pozwala zidentyfikować. Szczegółowo wyjaśniam to w poniższym filmie: Read More

29 Wrz

Polityka bezpieczeństwa: Opis struktury zbiorów danych osobowych

A właściwie tytuł powinien brzmieć:

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.

Ponownie odwołuję się do potrzeby wcześniejszej inwentaryzacji zbiorów danych osobowych.

Do zrobienia tego punktu polityki wykorzystamy zrobiony już wcześniej wykaz zbiorów danych osobowych wraz ze wskazaniem programów służących do przetwarzania tych danych.

Read More

02 Sie

Kiedy mamy do czynienia z doraźnym zbiorem danych?

Pytanie od Pana Przemka:

Jak to jest ze zbiorami doraźnymi – kiedy można je wykorzystywać, jak długo można przetrzymywać?

Zbiory doraźne opisuje art 2. ust. 3 UODO:
W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, 
wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w 
szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo 
poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Dla przykładu: jeżeli przeprowadza Pan szkolenia, ale dane uczestników przetwarza tylko w związku z realizacją szkolenia, rozpoczyna w momencie podania informacji o szkoleniu i przyjmowaniu zgłoszeń, a następnie usuwa wszystkie po zrealizowaniu szkolenia, to mówimy o zbiorze danych tworzonym doraźnie.
Dane nie są przechowywane w celu późniejszego kontaktu lub w związku z realizacją innych zadań.
13 Lip

Czy można wyrejestrować z GIODO zbiory zarejestrowane dla filii?

Pytanie od Pani Dagmary:

Czy jeżeli w roku 1999 zostały zarejestrowane w GIODO osobne zbiory d.o. czytelników poszczególnych filii bibliotecznych (jest ich 10), pozostawić taki stan rzeczy, czy może należałoby teraz to jakoś „odkręcić” (jak?) i zarejestrować jeden zbiór  Czytelników? W przypadku likwidacji jednej z filii, których d.o. przejęła inna filia – czy należy wyrejestrować w GIODO zbiór czytelników tej zlikwidowanej placówki?

Kwestia zmian w rejestracji zbiorów danych osobowych rzeczywiście wymaga uważnego wgłębienia się w ustawę, żeby zrozumieć, jak postępować. Co do zasady rejestruje się jeden zbiór danych osobowych i w zgłoszeniu zaznacza, czy dane są przetwarzane centralnie, czy w architekturze rozproszonej. Wybranie architektury rozproszonej stanowi dla GIODO informację, że zbiór jest przetwarzany nie tylko w siedzibie głównej, ale także w oddziałach, czy filiach.

Read More

26 Cze

Czy trzeba rejestrować w GIODO zbiór danych „monitoring wizyjny”?

Pytanie od Pana Grzegorza:

Dzień dobry! Wskazała Pani w jednym z wpisów, że istnieje obowiązek zarejestrowania zbioru danych monitoringu wizyjnego w GIODO. Przecież nie jest to zbiór danych osobowych (gromadzone są tylko wizerunki). Jaką podstawę prawną należałoby wskazać dla przetwarzania danych w ramach tego zbioru?

Panie Grzegorzu, monitoring wizyjny instaluje się w celu ochrony mienia i osób. W szczególności, gdy zostanie dokonane wykroczenie, przekazuje się nagrania z monitoringu do policji, która na jego podstawie identyfikuje sprawcę, a następnie pociąga go do odpowiedzialności. Proszę zwrócić uwagę, że w rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ponieważ nagarnie umożliwia wskazanie sprawcy, należy uznać, że przetwarzamy w ramach monitoringu dane osobowe.

Read More

19 Kwi

Polityka bezpieczeństwa: wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

Ten punkt polityki bezpieczeństwa należy rozpocząć od inwentaryzacji zbiorów danych osobowych. Jak przeprowadzić inwentaryzację zbiorów i jakie zbiory przetwarza biblioteka, opisałam tutaj.

Przypomnę, że przykładowe zbiory, w ramach których mogą być przetwarzane dane w bibliotece to:

  • Osoby korzystające z ZFŚS.
  • Osoby zatrudnione na podstawie umowy cywilno-prawnej.
  • Osoby realizujące dla biblioteki zadania w ramach wolontariatu, stażu, czy praktyk.
  • Uczestnicy konkursów.
  • Odbiorcy newslettera
  • Uczestnicy wydarzeń bibliotecznych.
  • Baza kontaktów.
  • Książka korespondencyjna.
  • Sponsorzy i darczyńcy.
  • Uczestnicy przetargów.
  • Osoby, któych wizerunek utrwalono za pomocą monitoringu wizyjnego.
  • Kandydaci do pracy.
  • Osoby korzystające z cztelni internetowej (chyba, że z czytelni mogą korzystać tylko zarejestrowani czytelnicy, wówczas nie wyróżniamy tego zbioru).
  • Uczestnicy szkoleń.
  • Dane przetwarzane w Cyfrowym Archiwum Tradycji Lokalnej

Dla każdego z tych zbiorów należy podać informację w jakich programach jest przetwarzany. Dla przykładu: Read More

02 Kwi

Inwentaryzacja zbiorów danych osobowych

Aby przejść do kolejnej części tworzenia polityki bezpieczeństwa danych osobowych, konieczne jest wcześniejsze dokonanie inwentaryzacji zbiorów danych osobowych.

Z mojego doświadczenia wynika, że biblioteki zazwyczaj mają świadomość przetwarzania danych osobowych w dwóch zbiorach: pracowników i czytelników. Tymczasem wszystkich zbiorów danych osobowych, w ramach których są przetwarzane dane jest w bibliotece co najmniej kilkanaście. Jak je zinwentaryzować? Najłatwiej systematyzować zbiory poprzez zadanie sobie trzech pytań dotyczących przetwarzanych danych:

  • Jaka jest podstawa prawna przetwarzania danych (art. 23 ustawy);
  • Jaki jest cel przetwarzania danych;
  • Jakie są kategorie osób, których dane będą przetwarzane.

Read More

16 Lut

Czy wykaz adresów jest zbiorem danych osobowych?

Pytanie od Pani Agnieszki:

Czy jeśli posiadamy wykaz adresów kin, bibliotek i ośrodków kultury to tworzy to zbiór danych osobowych? 

Wykaz samych instytucji nie jest zbiorem danych osobowych. Jeżeli wykaz jest rozbudowany o osoby reprezentujące te instytucje lub z którymi należy się kontaktować, to odpowiednio będziemy kwalifikować je jako dane ze zbiorów „kontrahenci” lub „baza kontaktów”.

Sylwia CzubSpodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie