Author Archives: Sylwia Czub

02 sie

Kiedy mamy do czynienia z doraźnym zbiorem danych?

Pytanie od Pana Przemka:

Jak to jest ze zbiorami doraźnymi – kiedy można je wykorzystywać, jak długo można przetrzymywać?

Zbiory doraźne opisuje art 2. ust. 3 UODO:
W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, 
wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w 
szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo 
poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Dla przykładu: jeżeli przeprowadza Pan szkolenia, ale dane uczestników przetwarza tylko w związku z realizacją szkolenia, rozpoczyna w momencie podania informacji o szkoleniu i przyjmowaniu zgłoszeń, a następnie usuwa wszystkie po zrealizowaniu szkolenia, to mówimy o zbiorze danych tworzonym doraźnie.
Dane nie są przechowywane w celu późniejszego kontaktu lub w związku z realizacją innych zadań.
21 lip

Co powinna zrobić biblioteka, która nie powoła ABI?

To pytanie pojawiło się ostatnio w wielu mailach, dlatego poświęcę mu kilka słów.

Przede wszystkim, jeżeli nie zdecydowaliśmy się na „ścieżkę z zarejestrowanym ABI-m”, to zmiany dla instytucji będą niewielkie. Tak naprawdę dopiero powołanie i zarejestrowanie ABI-ego w GIODO wprowadza rewolucję w dotychczasowej pracy z danymi osobowymi.

Read More

13 lip

Czy można wyrejestrować z GIODO zbiory zarejestrowane dla filii?

Pytanie od Pani Dagmary:

Czy jeżeli w roku 1999 zostały zarejestrowane w GIODO osobne zbiory d.o. czytelników poszczególnych filii bibliotecznych (jest ich 10), pozostawić taki stan rzeczy, czy może należałoby teraz to jakoś „odkręcić” (jak?) i zarejestrować jeden zbiór  Czytelników? W przypadku likwidacji jednej z filii, których d.o. przejęła inna filia – czy należy wyrejestrować w GIODO zbiór czytelników tej zlikwidowanej placówki?

Kwestia zmian w rejestracji zbiorów danych osobowych rzeczywiście wymaga uważnego wgłębienia się w ustawę, żeby zrozumieć, jak postępować. Co do zasady rejestruje się jeden zbiór danych osobowych i w zgłoszeniu zaznacza, czy dane są przetwarzane centralnie, czy w architekturze rozproszonej. Wybranie architektury rozproszonej stanowi dla GIODO informację, że zbiór jest przetwarzany nie tylko w siedzibie głównej, ale także w oddziałach, czy filiach.

Read More

10 lip

Czy w polityce trzeba szczegółowo wskazywać nazwy programów służących do przetwarzania danych?

Pytanie:
Czy przy opisie programów służących do przetwarzania danych musimy szczegółowo wymieniać nazwy aplikacji edytorów tekstu, arkuszy kalkulacyjnych, programów pocztowych skoro pracujemy na kilku i może to się zmieniać?
Należy wskazać nazwy programów. W rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych, wymienione są elementy, które musi zawierać polityka bezpieczeństwa. Punkt 2 paragrafu 4 dotyczący programów, które służą do przetwarzania danych osobowych ma brzmienie:

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.

Wskazanie rodzaju programu, zamiast nazwy programu, będzie niewystarczające do wypełnienia tego punktu. Jednocześnie pragnę zauważyć, że nie trzeba wskazywać wersji programu (która często ulega zmianie), wystarczy napisać, np. MS Word, CMS strony internetowej www.mbpbiblioteka.pl, itp.

Sylwia CzubSpodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie

06 lip

Czy instrukcja zarządzania systemami informatycznymi może być załącznikiem do polityki bezpieczeństwa?

Pytanie od Pani Agnieszki:

Czy Instrukcję Zarządzania Systemem Informatycznym lepiej opracować jako odrębne zarządzenie, czy zrobić to jako załącznik do Polityki Bezpieczeństwa?

Przepisy wymagają, żeby instrukcja i polityka były dwoma odrębnymi dokumentami.

§ 3. 1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”.

 

03 lip

Czy zeszyt użytkowników czytelni zawiera dane osobowe?

Pytanie od Pana Krzysztofa:

Zwracam się do Pani z pytaniem odnośnie zeszytów odwiedzin w Czytelni dla dzieci i młodzieży i korzystania z prasy, gier planszowych. Do każdego takiego zeszytu czytelnik wpisuje imię i nazwisko i z czego korzystał. Czy w świetle przepisów o ochronie danych osobowych takie zeszyty mają prawo bytu? Czy jednak powinny one mieć charakter anonimowy, czyli czytelnik wpisuje z czego korzystał, ale pomijamy wpisanie imienia i nazwiska i stosujemy tylko liczbę porządkową?Jest na to jakiś złoty środek, aby nie mieć problemów z brakiem ochrony danych osobowych. 

Zgodnie z przepisami danych osobowych, aby przetwarzanie danych osobowych było dopuszczalne, muszą być spełnione trzy warunki:
– legalności,
– adekwatności,
– celowości.
Aby ustalić, czy są one spełnione, należy rozpocząć od odpowiedzi na pytania:
– w jakim celu prowadzone są zeszyty?
– jakie jest uzasadnienie zbierania danych w zakresie imienia i nazwiska (do czego te konkretne dane są wykorzystywane)?

Read More

01 lip

Czy administrator, który nie powoła ABI też musi przeprowadzać sprawdzenia?

Pytanie od Pana Marcina:

Jak to w końcu jest w przypadku, gdy NIE POWOŁAMY ABI. Czy jest obowiązek robienia jakichś audytów wewnętrznych lub sprawozdań do GIODO?

Przeprowadzanie sprawdzeń w zakresie i zgodnie z harmonogramem określonym w rozporządzeniu w sprawie tryb i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI jest obowiązkiem ABI-ego. Administrator, który nie powoła ABI nie ma wprost określonego obowiązku przeprowadzania sprawdzeń.

Read More

29 cze

Jak zabezpieczyć swoją sieć bezprzewodową?

Dlaczego muszę zabezpieczyć swoją sieć bezprzewodową?

  • haker może przechwycić wszystkie dane, które wysyłasz i otrzymujesz;
  • haker może uzyskać dostęp do twojej sieci bezprzewodowej;
  • ktoś może “porwać” twój dostęp do Internetu.

(źródło Kaspersky)

Polecam materiał przygotowany przez firmę Kaspersky odnośnie zagrożeń związanych z brakiem odpowiedniego poziomu zabezpieczeń sieci bezprzewodowej oraz instrukcjami, jak to najlepiej zrobić.
Artykuł: Jak zabezpieczyć swoją sieć bezprzewodową?

 

27 cze

Co powinna zawierać Instrukcja Zarządzania Systemami Informatycznymi?

Każdy administrator danych jest zobowiązany przygotować dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Na tę dokumentację składają się polityka bezpieczeństwa danych osobowych oraz instrukcja zarządzania systemami informatycznymi.
Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobowych w szczegółowy sposób określa zawartość instrukcji (jest to właściwie gotowy spis treści):
Read More
26 cze

Czy trzeba rejestrować w GIODO zbiór danych „monitoring wizyjny”?

Pytanie od Pana Grzegorza:

Dzień dobry! Wskazała Pani w jednym z wpisów, że istnieje obowiązek zarejestrowania zbioru danych monitoringu wizyjnego w GIODO. Przecież nie jest to zbiór danych osobowych (gromadzone są tylko wizerunki). Jaką podstawę prawną należałoby wskazać dla przetwarzania danych w ramach tego zbioru?

Panie Grzegorzu, monitoring wizyjny instaluje się w celu ochrony mienia i osób. W szczególności, gdy zostanie dokonane wykroczenie, przekazuje się nagrania z monitoringu do policji, która na jego podstawie identyfikuje sprawcę, a następnie pociąga go do odpowiedzialności. Proszę zwrócić uwagę, że w rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ponieważ nagarnie umożliwia wskazanie sprawcy, należy uznać, że przetwarzamy w ramach monitoringu dane osobowe.

Read More