Sylwia Czub – Strona 26 – Sylwia Czub bloguje o danych osobowych

01 kwi

Nowelizacja ustawy o ochronie danych osobowych – jak interpretować zmiany?

W dniu dzisiejszym wchodzą zmiany w ustawie o ochronie danych osobowych w związku ze zmianami wynikającymi z ustawy o pomocy państwa w wychowywaniu dzieci (zwanej też ustawą 500+).

Zmieniony tekst ustawy jest już dostępny na stronach ISAP.

Co się zmieniło?

Dodano ustęp 2a do art. 23 (legalność przetwarzania danych):

Podmioty, o których mowa w art. 3 ust. 1, uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.

Komentarz GIODO: (…) wprowadzenie w miejsce ugruntowanej w obowiązującym prawie konstrukcji administratora danych koncepcji „jednego administratora” w odniesieniu do podmiotów wskazanych w art. 3 ust. 1 ustawy o ochronie danych osobowych (zgodnie z którą podmioty te łącznie stanowią jednego administratora), spowoduje dla samych administratorów danych trudności w praktycznym stosowaniu przepisu. Powołana wyżej prounijna wykładnia przepisów o ochronie danych osobowych wyklucza bowiem tego rodzaju konstrukcję. Nowy model administrowania danymi przez podmioty publiczne w żadnym wypadku nie może wyłączyć odpowiedzialności któregokolwiek z administratorów, ani zwolnić go z wykonywania ustawowych obowiązków. Każdy administrator danych nadal będzie obowiązany do realizacji nałożonych na niego właściwymi przepisami zadań i żaden inny podmiot nie będzie mógł go w tym zakresie wyręczyć.

Dodano ustęp 2a do art. 31 (powierzenie danych): Read More →

24 mar

Wesołych Świąt!

Spuszczam oczy i nic nie widzę! Odpoczywajcie, żeby po świętach wziąć się porządnie do roboty. Zwłaszcza, że wejdzie w życie nowelizacja ustawy.

16 mar

O ochronie danych osobowych w bibliotece

Wszystkich bibliotekarzy, szczególnie tych pracujących w systemie bibliotecznym MAK+, zapraszam do lektury nowego numeru PODKARPACKICH MAK-ów.

Oprócz spraw związanych z funkcjonowaniem bibliotek oraz pracy w systemie bibliotecznym, znajdziecie w nim zebrane w jednym miejscu istotne wpisy z mojego bloga dotyczące ochrony danych osobowych w bibliotece.

Numer jest dostępny online tutaj.

09 mar

Wykorzystanie wizerunku do celu sprawozdawczego

Pytanie od Pani Barbary:

W ramach sprawozdawczości przekazujemy do Urzędu informacje opatrzone dodatkowo dokumentacją fotograficzną z imprez organizowanych na terenie naszej instytucji, tj. w Bibliotece Głównej oraz w filiach bibliotecznych. Zdarza się, że zdjęcia z naszych imprez publikowane są następnie na stronie internetowej Urzędu Miasta. Podobnie sytuacja wygląda przy rozliczeniach, podsumowaniach projektów, gdzie dodatkowo wymagana jest dokumentacja fotograficzna. Niejednokrotnie, w ramach współpracy (realizacji projektu) zdjęcia te publikowane są na stronach internetowych innych organizacji.

Nadmieniam, że jako administrator danych osobowych posiadamy zgodę na wykonywanie zdjęć, jak też publikację wizerunku na naszej stronie internetowej oraz portalach społecznościowych. Czy taka praktyka jest zgodna z przepisami o ochronie danych osobowych? Czy może w przypadku wykorzystania zdjęć z wizerunkiem uczestników naszych imprez przez inne organizacje powinniśmy się jakoś zabezpieczyć?

Prezentacja z webinariów dla klientów MAK+

Wczoraj poprowadziłam szkolenie online dla klientów systemu bibliotecznego MAK+ z tematyki ochrony danych osobowych w kontekście elektronicznych wypożyczalni. Zainteresowanie było ogromne, w szkoleniu wzięło udział ponad 230 uczestników. Dla wszystkich, którzy nie mogli wziąć udziału lub chcieliby sobie przypomnieć niektóre fragmenty webinaru udostępniam prezentację:

Elektroniczna wypożyczalnia a ochrona danych osobowych

04 mar

Jak rozpocząć działalność gospodarczą w zgodzie z przepisami o ochronie danych osobowych

Najczęściej zagadnienia związane z bezpieczeństwem danych omawia się w kontekście firm oraz podmiotów publicznych, pomijając przedsiębiorców prowadzących jednoosobową działalność gospodarczą. W związku z tym wielu z nich nie zdaje sobie sprawy, że mają takie same obowiązki wynikające z przepisów o ochronie danych osobowych, jak zatrudniające wielu pracowników podmioty. Z art. 3.2 ustawy o ochronie danych osobowych wynika, że ustawę stosuje się do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. W myśl art. 7 tej ustawy przedsiębiorca prowadzący jednoosobową działalność gospodarczą jest administratorem danych osobowych. Na każdym administratorze danych ciążą konkretne, określone przepisami prawa obowiązki.

Konieczność stworzenia i stosowania dokumentacji bezpieczeństwa danych osobowych
Na dokumentację przetwarzania danych osobowych składają się: polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym. Są to dokumenty określające środki techniczne i organizacyjne mające na celu skuteczną ochronę danych. Powinny zawierać procedury postępowania z danymi, udostępniania, powierzania danych, identyfikować zbiory danych przetwarzanych przez przedsiębiorcę oraz określać strukturę informacyjną tych zbiorów (czyli co tak naprawdę jest przetwarzane). Ważnym elementem dokumentacji jest też określenie procedur zabezpieczenia danych, przydzielania dostępu do systemów informatycznych, czy tworzenia kopii zapasowych danych. Zakres informacyjny dokumentacji przetwarzania danych osobowych określa szczegółowo Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024). Paragrafy 4 i 5 to gotowe spisy treści, które przedsiębiorca może wykorzystać w swojej dokumentacji. Jeżeli przedsiębiorca będzie dopuszczał do przetwarzanych przez niego danych osobowych także inne osoby, np. na zatrudni pracownika na podstawie umowy zlecenia lub powierzy innemu podmiotowi realizację swoich zadań, powinien także pamiętać o upoważnieniu tych osób do pracy na danych osobowych oraz prowadzić ewidencję upoważnień. Dodatkowo każda z tych osób powinna złożyć oświadczenie w zakresie zachowania danych, do których otrzyma dostęp oraz sposobów ich zabezpieczenia (wynika to z art. 37 i 39 ustawy o ochronie danych osobowych). Dokumentacji bezpieczeństwa nie publikuje się na stronie internetowej przedsiębiorcy. Read More →

26 lut

Obsługa programu 500+ a przepisy o ochronie danych osobowych

Otrzymuję ostatnio sporo pytań o to jak na obowiązki podmiotu wynikające z ustawy o ochronie danych osobowych wpływa realizowanie wypłaty świadczeń w ramach tzw. programu 500+. Na początku może podkreślę, że administratorem danych przetwarzanych w związku z realizacją obowiązków wynikających z ustawy o pomocy państwa w wychowania dzieci jest instytucja, która decyduje o celach i środkach przetwarzania danych, w szczególności będą to gminy i ośrodki pomocy społecznej. Ustawa co prawda określa te instytucje jako „zbiorowego administratora danych”, jeżeli działają w interesie publicznym, jednak należy zauważyć, że Generalny Inspektor Danych Osobowych w swoim stanowisku na temat zapisów ustawy zaznaczył, że nie ma takiego tworu jak „zbiorowy administrator danych” i wprowadzenie go będzie nie tylko niezgodne, z obowiązującymi przepisami prawa unijnego, ale także rozmyłoby odpowiedzialność podmiotu za przetwarzanie danych zgodnie z przepisami prawa (pisałam o tym tutaj). Dodatkowo należy zauważyć, że zgodnie z art. 40 ustawy o ochronie danych osobowych administrator danych ma obowiązek zarejestrowania w GIODO zbioru danych wrażliwych. Przepisy nie przewidują zarejestrowania zbioru dla „zbiorowego administratora danych”, a ustawa 500+ nie określa, który podmiot jest ADO. Do dnia dzisiejszego w ustawie o ochronie danych osobowych nie zostały wprowadzone zmiany wynikające z ustawy o pomocy państwa w wychowania dzieci, a czasu na uruchomienie programu jest coraz mniej. Wobec tego co zalecałabym jednostce, która jest odpowiedzialna za realizowanie tego podmiotu? Read More →

25 lut

Biuletyn EBIB o prawie do prywatności

Zapraszam Was do lektury nowego numeru Biuletynu EBIB (dostępny online!) poświęconego zagadnieniu prywatności i ochrony danych osobowych w bibliotekach publicznych. Miałam swój skromny udział w bieżącym numerze, przygotowując subiektywną ocenę tego, jak biblioteki radzą sobie z przepisami o ochronie danych osobowych. Poza tym znajdziecie, m.in. bardzo ciekawy wpis dotyczący zasad prowadzenia Biuletynu Informacji Publicznej.

24 lut

Czy mam obowiązek powoływać Administratora Bezpieczeństwa Informacji (ABI)?

W tym odcinku wracam do tematu obowiązku bądź nie, powoływania ABI. Często wracacie do tego tematu i pytacie jak to właściwie jest z tym ABI?

Miłego oglądania!

22 lut

O danych osobowych czytelnika

Zapraszam Was do lektury poradnika Biblioteka. Więcej niż myślisz (dostępny online), który został przygotowany przez Fundację Normalne Miasto. Fenomen. Czy do korzystania z bibliotek jest potrzebny poradnik? Okazuje się, że tak, ponieważ na przestrzeni ostatnich lat, zmianie uległ nie tylko wizerunek bibliotek, ale przede wszystkim ich oferta. Bibliotekarz nie jest „kelnerem książki”, a animatorem kultury. Prowadzi zajęcia edukacyjne, kulturalne, imprezy biblioteczne, doradza w zakresie doboru lektury. Biblioteki to już nie tylko „domy książek”, ale także miejsca spotkań, z ciekawą ofertą i miłą atmosferą (nie tylko do pracy, ale także do wypoczynku). Read More →