Sylwia Czub – Strona 32 – Sylwia Czub bloguje o danych osobowych

13 lip

Czy można wyrejestrować z GIODO zbiory zarejestrowane dla filii?

Pytanie od Pani Dagmary:

Czy jeżeli w roku 1999 zostały zarejestrowane w GIODO osobne zbiory d.o. czytelników poszczególnych filii bibliotecznych (jest ich 10), pozostawić taki stan rzeczy, czy może należałoby teraz to jakoś „odkręcić” (jak?) i zarejestrować jeden zbiór Czytelników? W przypadku likwidacji jednej z filii, których d.o. przejęła inna filia – czy należy wyrejestrować w GIODO zbiór czytelników tej zlikwidowanej placówki?

Kwestia zmian w rejestracji zbiorów danych osobowych rzeczywiście wymaga uważnego wgłębienia się w ustawę, żeby zrozumieć, jak postępować. Co do zasady rejestruje się jeden zbiór danych osobowych i w zgłoszeniu zaznacza, czy dane są przetwarzane centralnie, czy w architekturze rozproszonej. Wybranie architektury rozproszonej stanowi dla GIODO informację, że zbiór jest przetwarzany nie tylko w siedzibie głównej, ale także w oddziałach, czy filiach.

Read More →

10 lip

Czy w polityce trzeba szczegółowo wskazywać nazwy programów służących do przetwarzania danych?

Pytanie:
Czy przy opisie programów służących do przetwarzania danych musimy szczegółowo wymieniać nazwy aplikacji edytorów tekstu, arkuszy kalkulacyjnych, programów pocztowych skoro pracujemy na kilku i może to się zmieniać?
Należy wskazać nazwy programów. W rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych, wymienione są elementy, które musi zawierać polityka bezpieczeństwa. Punkt 2 paragrafu 4 dotyczący programów, które służą do przetwarzania danych osobowych ma brzmienie:

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.

Wskazanie rodzaju programu, zamiast nazwy programu, będzie niewystarczające do wypełnienia tego punktu. Jednocześnie pragnę zauważyć, że nie trzeba wskazywać wersji programu (która często ulega zmianie), wystarczy napisać, np. MS Word, CMS strony internetowej www.mbpbiblioteka.pl, itp.

Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie

06 lip

Czy instrukcja zarządzania systemami informatycznymi może być załącznikiem do polityki bezpieczeństwa?

Pytanie od Pani Agnieszki:

Czy Instrukcję Zarządzania Systemem Informatycznym lepiej opracować jako odrębne zarządzenie, czy zrobić to jako załącznik do Polityki Bezpieczeństwa?

Przepisy wymagają, żeby instrukcja i polityka były dwoma odrębnymi dokumentami.

§ 3. 1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”.

03 lip

Czy zeszyt użytkowników czytelni zawiera dane osobowe?

Pytanie od Pana Krzysztofa:

Zwracam się do Pani z pytaniem odnośnie zeszytów odwiedzin w Czytelni dla dzieci i młodzieży i korzystania z prasy, gier planszowych. Do każdego takiego zeszytu czytelnik wpisuje imię i nazwisko i z czego korzystał. Czy w świetle przepisów o ochronie danych osobowych takie zeszyty mają prawo bytu? Czy jednak powinny one mieć charakter anonimowy, czyli czytelnik wpisuje z czego korzystał, ale pomijamy wpisanie imienia i nazwiska i stosujemy tylko liczbę porządkową?Jest na to jakiś złoty środek, aby nie mieć problemów z brakiem ochrony danych osobowych.

Zgodnie z przepisami danych osobowych, aby przetwarzanie danych osobowych było dopuszczalne, muszą być spełnione trzy warunki:

– legalności,

– adekwatności,

– celowości.

Aby ustalić, czy są one spełnione, należy rozpocząć od odpowiedzi na pytania:

– w jakim celu prowadzone są zeszyty?

– jakie jest uzasadnienie zbierania danych w zakresie imienia i nazwiska (do czego te konkretne dane są wykorzystywane)?

Read More →

01 lip

Czy administrator, który nie powoła ABI też musi przeprowadzać sprawdzenia?

Pytanie od Pana Marcina:

Jak to w końcu jest w przypadku, gdy NIE POWOŁAMY ABI. Czy jest obowiązek robienia jakichś audytów wewnętrznych lub sprawozdań do GIODO?

Przeprowadzanie sprawdzeń w zakresie i zgodnie z harmonogramem określonym w rozporządzeniu w sprawie tryb i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI jest obowiązkiem ABI-ego. Administrator, który nie powoła ABI nie ma wprost określonego obowiązku przeprowadzania sprawdzeń.

Read More →

29 cze

Jak zabezpieczyć swoją sieć bezprzewodową?

Dlaczego muszę zabezpieczyć swoją sieć bezprzewodową?

haker może przechwycić wszystkie dane, które wysyłasz i otrzymujesz;
haker może uzyskać dostęp do twojej sieci bezprzewodowej;
ktoś może “porwać” twój dostęp do Internetu.

(źródło Kaspersky)

Polecam materiał przygotowany przez firmę Kaspersky odnośnie zagrożeń związanych z brakiem odpowiedniego poziomu zabezpieczeń sieci bezprzewodowej oraz instrukcjami, jak to najlepiej zrobić.
Artykuł: Jak zabezpieczyć swoją sieć bezprzewodową?

27 cze

Co powinna zawierać Instrukcja Zarządzania Systemami Informatycznymi?

Każdy administrator danych jest zobowiązany przygotować dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Na tę dokumentację składają się polityka bezpieczeństwa danych osobowych oraz instrukcja zarządzania systemami informatycznymi.

Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobowych w szczegółowy sposób określa zawartość instrukcji (jest to właściwie gotowy spis treści):

Read More →

26 cze

Czy trzeba rejestrować w GIODO zbiór danych „monitoring wizyjny”?

Pytanie od Pana Grzegorza:

Dzień dobry! Wskazała Pani w jednym z wpisów, że istnieje obowiązek zarejestrowania zbioru danych monitoringu wizyjnego w GIODO. Przecież nie jest to zbiór danych osobowych (gromadzone są tylko wizerunki). Jaką podstawę prawną należałoby wskazać dla przetwarzania danych w ramach tego zbioru?

Panie Grzegorzu, monitoring wizyjny instaluje się w celu ochrony mienia i osób. W szczególności, gdy zostanie dokonane wykroczenie, przekazuje się nagrania z monitoringu do policji, która na jego podstawie identyfikuje sprawcę, a następnie pociąga go do odpowiedzialności. Proszę zwrócić uwagę, że w rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ponieważ nagarnie umożliwia wskazanie sprawcy, należy uznać, że przetwarzamy w ramach monitoringu dane osobowe.

Read More →

25 cze

Do kiedy muszę zarejestrować ABI?

Pytanie: Czy to prawda, że na zarejestrowanie ABI w GIODO mam czas do 30 czerwca 2015 roku?

Jest to nieprawidłowa interpretacja zapisu z ustawy o ułatwieniu wykonywania działalności gospodarczej:
Read More →

24 cze

Czy system służący do obsługi monitoringu wizyjnego należy ująć w polityce bezpieczeństwa?

Coraz częściej w bibliotekach i innych jednostkach publicznych są instalowane kamery w celu ochrony mienia i osób, korzystających z ich usług.

Wraz z zainstalowaniem kamer oraz sytemu do obsługi monitoringu na administratorze danych ciążą pewne obowiązki:

1) Zarejestrowanie zbioru danych osobowych „monitoring wizyjny” w rejestrze GIODO (zwolnione z tego obowiązku są systemy, które nie tworzą kopii nagrania, tzn. służą tylko i wyłącznie do podglądu ochranianych miejsc w czasie rzeczywistym).

2) Podpisanie umowy powierzenia danych osobowych z firmą, która obsługuje monitoring.

3) Upoważnienie do przetwarzania danych osobowych w ramach zbioru „monitoring wizyjny” osób mających do niego dostęp.

4) Wprowadzenie zmian do polityki bezpieczeństwa w zakresie:

Read More →