Sylwia Czub – Strona 33 – Sylwia Czub bloguje o danych osobowych

21 cze

Podawanie danych, gdy chcemy skorzystać z usługi

Czy Wam też zdarzyło się, że byliście proszeni o podanie swoich danych, gdy dookoła było dużo obcych ludzi? Pomijam fakt, że można odczuwać dyskomfort w sytuacji ujawniania swoich prywatnych danych. Administrator danych jest zobowiązany do ochrony danych, które przetwarza już na etapie ich gromadzenia. Powinien umożliwić osobie, która korzysta z jego usług takie przekazanie mu danych, aby nie narażać go na ujawnienie ich osobom postronnym. W szczególności powinien zapewnić możliwość zapisania ich, zamiast ustnego przekazania.

Żądanie dowodu pod zastaw: teoria i praktyka

Zbliża się okres wakacyjny, więc warto wrócić do tematu pozostawiania dowodu osobistego pod zastaw. Zgodnie z art. 33 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych, dowodu osobistego nie wolno zatrzymywać (pod zastaw), z wyjątkiem przypadków określonych w ustawie. Zatrzymanie cudzego dowodu osobistego stanowi wykroczenie, za które zgodnie z art. 55 pkt 2 tej ustawy, sprawcy grozi kara ograniczenia wolności do 1 miesiąca albo kara grzywny.

Teoria

Zgodnie z art. 14 ust. 2 pkt 3 dozwoloną, bibliotece wolno jedynie pobierać kaucję za wypożyczone materiały biblioteczne. Od tej reguły nie przewiduje się żadnych wyjątków. Oznacza to, że biblioteka nie może brać dowodu osobistego od niezarejestrowanego użytkownika, który chce skorzystać z jej usług lub osoby, która wypożycza do domu cenny materiał, gdyż ustawa o bibliotekach nie daje jej do tego prawa.

Czy trzeba ująć w polityce bezpieczeństwa informację o przetwarzaniu danych poza biblioteką, np. w urzędzie gminy?

Pytanie od Pani Agnieszki:

Chciałam zapytać o system rejestracji zbiorów w GIODO i Instrukcję zarządzania systemami informatycznymi w polityce bezpieczeństwa danych osobowych.
Czy bazę pracowników należy ująć w instrukcji (przy czym dane pracowników przetwarzane są w budynku Urzędu Gminy przez osobę księgowej. Księgowa biblioteki ma biuro w Urzędzie Gminy)? Czy bazę pracowników należy również zgłosić do GIODO (jako zbiór danych)?

Biblioteka musi mieć dwa dokumenty, politykę bezpieczeństwa oraz instrukcję zarządzania systemami informatycznymi (polityka nie jest częścią instrukcji). Ich zawartość (spis treści) jest określona w rozporządzeniu.

Jak przeprowadzić sprawdzenie z zakresu ochrony danych osobowych

Niedawno otrzymałam wiadomość od Pani Barbary, z prośbą o opisanie schematu przeprowadzania audytu wewnętrznego z ochrony danych osobowych w bibliotece. Jak zaplanować, przeprowadzić, a następnie napisać protokół z kontroli.

Mam nadzieję, że moje wskazówki będą pomocne. Read More →

13 cze

Czy służbowe e-maile stanowią informację publiczną?

Pytanie od Pani Ewy:

Do biblioteki wpłynął wniosek o udzielenie informacji publicznej. Wnioskodawca żąda udostępnienia zawartości skrzynki mailowej z ostatnich dwóch miesięcy. W skrzynce znajduje się korespondencja prowadzona przez bibliotekę również z czytelnikami (zwrot materiałów, prolongata itd.). Czy zawartość skrzynki e-mail stanowi informację publiczną i mamy obowiązek ją udostępnić? A jeśli tak, czy należy dane osobowe zanonimizować?

Kilka lat temu rzeczywiście sądy nakazywały udostępnianie treści
korespondencji. Jednak sytuacja uległa zmianie. Teraz ogranicza się
informację publiczną w odniesieniu do Konstytucji (czyli ochrony
prywatności tych osob, które piszą do instytucji publicznych – usunięcie
ich danych, często nie anonimizuje wiadomości, bo wynikają one pośrednio z treści) lub ochrony danych osobowych.
Po zapoznaniu się z linią orzeczniczą, Read More →

11 cze

Jak wskazać programy służące do przetwarzania danych osobowych

Pytanie od Pani Anity:

Czy przy opisie programów służących do przetwarzania danych musimy szczegółowo wymieniać nazwy aplikacji edytorów tekstu, arkuszy kalkulacyjnych, programów pocztowych skoro pracujemy na kilku i może to się zmieniać?

Należy wskazać nazwy programów.

Uzasadnienie: W rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych, wymienione są elementy, które musi zawierać polityka bezpieczeństwa. Punkt 2 paragrafu 4 dotyczący programów, które służą do przetwarzania danych osobowych ma brzmienie: Read More →

08 cze

Rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI

Z dniem 11 maja 2015 roku ukazało się rozporządzenie określające obowiązki zarejestrowanego w GIODO ABI, które wynikają z nowelizacji ustawy o ochronie danych osobowych (obowiązującej od 1 stycznia 2015 roku).

Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.

08 cze

Rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

Jeżeli administrator danych powoła i zarejestruje w GIODO adminstratora bezpieczeństwa informacji, to na tego ABIego spadnie obowiązek prowadzenia rejestru danych osobowych, który pierwotnie prowadziło GIODO.

Zasady realizacji tego obowiązku określa Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

07 cze

Czy nazwa ABI jest zastrzeżona tylko dla osoby zarejestrowanej w GIODO?

Pytanie od Pani Moniki:

Nie chcemy powoływać Administratora Bezpieczeństwa Informacji (i zgłaszać go do GIODO), jednak administrator danych chce kogoś oddelegować do pomocy – czy w polityce bezpieczeństwa i w instrukcji zarządzania systemami może funkcjonować nazwa „ABI” czy zastosować jakieś inne nazewnictwo?

Jeżeli nie powołujecie Państwo Administratora Bezpieczeństwa Informacji, nie możecie posługiwać się, wobec osoby nadzorującej przestrzeganie przepisów ochrony danych osobowych, nazwą ABI. Jest to nazwa stanowiska, dla którego obowiązki są wyraźnie wskazane w art. 36 a w ustawie o ochronie danych osobowych, czyli zastrzeżona tylko i wyłącznie dla osób zarejestrowanych w GIODO. Wobec tego, jeżeli administrator danych, nie chce zarejestrować swojego pracownika w GIODO, nie powinien używać wobec niego oraz w stworzonej dokumentacji nazwy ABI. Można użyć innego, dowolnego określenia. Read More →

04 cze

Pytanie: Jaka jest podstawa prawna do wprowadzenia polityki bezpieczeństwa?

Pytanie od Pani Justyny:

Chciałabym wprowadzić zarządzeniem politykę bezpieczeństwa danych osobowych w bibliotece. Jaką podstawę prawną powinnam wskazać?

Podstawy prawne są dwie:

Art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2014 poz. 1182) oraz par. 5 rozporządzenia MSWiA z dnia 29. kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnym, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobywch (Dz. U. 2004 nr 100 poz. 1024).

Icons made by Freepik from www.flaticon.com is licensed by CC BY 3.0