Author Archives: Sylwia Czub

02 kwi

Inwentaryzacja zbiorów danych osobowych

Aby przejść do kolejnej części tworzenia polityki bezpieczeństwa danych osobowych, konieczne jest wcześniejsze dokonanie inwentaryzacji zbiorów danych osobowych.

Z mojego doświadczenia wynika, że biblioteki zazwyczaj mają świadomość przetwarzania danych osobowych w dwóch zbiorach: pracowników i czytelników. Tymczasem wszystkich zbiorów danych osobowych, w ramach których są przetwarzane dane jest w bibliotece co najmniej kilkanaście. Jak je zinwentaryzować? Najłatwiej systematyzować zbiory poprzez zadanie sobie trzech pytań dotyczących przetwarzanych danych:

  • Jaka jest podstawa prawna przetwarzania danych (art. 23 ustawy);
  • Jaki jest cel przetwarzania danych;
  • Jakie są kategorie osób, których dane będą przetwarzane.

Read More

26 mar

Polityka bezpieczeństwa: wykaz budynków i pomieszczeń stanowiących obszar przetwarzania danych

W pierwszym punkcie polityki należy wskazać konkretne obszary przetwarzania danych osobowych (czyli miejsca, gdzie te dane są gromadzone, przechowywane, opracowywane). Dotyczy to zarówno danych w postaci papierowej, jak i elektronicznej.

Zaczynamy od wyszczególnienia siedzib oraz poszczególnych pomieszczeń. Poniżej przykład dla hipotetycznej biblioteki, możemy używać dowolnych określeń, tzn. numerów pomieszczeń i/lub ich nazw: Read More

23 mar

Polityka bezpieczeństwa, co to jest i dlaczego musi być w każdej bibliotece

Przypuszczam, że większość bibliotek przynajmniej raz otrzymała propozycję zakupu “polityki bezpieczeństwa”. Zazwyczaj był to pierwszy moment, gdy dowiadywały się o konieczności stworzenia tego dokumentu. Zgodnie z art. 36 ust. 1-2 ustawy administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Zapis ustawowy jest dość niejasny, na szczęście znalazł on doprecyzowanie w przepisach wykonawczych, tzn. w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz środków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobowych. Read More

16 mar

Co należy zrobić, aby legalnie przetwarzać dane osobowe

Często poruszam ten temat na warsztatach – jakie warunki techniczne i organizacyjne musi spełnić biblioteka, żeby móc legalnie przetwarzać (gromadzić, edytować, itd.), dane osobowe. W kolejności realizowania są to:

  • Wprowadzenie odpowiednich zabezpieczeń fizycznych (np. szafy i pomieszczenia zamykane na klucz) oraz systemowych (dla danych przetwarzanych w systemach informatycznych).
  • Wyznaczenie osób odpowiedzialnych za realizację zdań związanych z ochroną danych osobowych, w szczególności powołanie administratora bezpieczeństwa informacji (jest to czynność fakultatywna).
  • Opracowanie i wdrożenie polityki bezpieczeństwa (regulaminu przetwarzania danych osobowych).

Read More

11 mar

Lekcja biblioteczna z ochrony prywatności w sieci

GIODO oraz MAIC przygotowali ciekawą broszurę informacyjną, która z powodzeniem może stanowić dobry materiał do przeprowadzenia zajęć bibliotecznych dla dzieci i młodzieży z zasad bezpiecznego korzystania z internetu.

Broszura porusza tematy prywatności, prawa do bycia zapomnianym oraz kształtowania wizerunku. Zawiera kilka ciekawych przykładów, które można omówić podczas zajęć.

Broszurę można znaleźć tutaj.

07 mar

Jak wykreślić zbiór z rejestru GIODO

Zgodnie z ustawą, są dwie sytuacje w których administrator danych może zwrócić się do GIODO o wykreślenie zbioru danych osobowych z rejestru:

1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze;

2) rejestracji dokonano z naruszeniem prawa.

Tak naprawdę druga sytuacja ma miejsce, gdy po kontroli GIODO jego inspektor stwierdzi naruszenie prawa (np. brak podstawy prawnej do przetwarzania danych) i wyda decyzję o wykreśleniu zbioru z rejestru. W świetle nowych przepisów, może zdarzyć się, że to ABI zgłosi do GIODO konieczność wykreślenia zbioru, powołując się na przesłankę braku legalności. Read More

03 mar

Zgoda nauczyciela na robienie zdjęć dzieciom

Czy nauczyciel może wyrazić zgodę na opublikowanie na stronie internetowej biblioteki zdjęć dzieci, które przyprowadził na zajęcia biblioteczne?

Nauczyciel nie jest osobą upoważnioną w zakresie decydowania o wykorzystaniu wizerunku małoletnich.  Jeżeli dziecko nie ukończyło 13 roku życia, zgodę biblioteka musi pozyskać bezpośrednio od opiekuna prawnego dziecka. Gdy dziecko ukończyło 13 lat, samo może wyrazić zgodę na wykorzystanie jego wizerunku, np. do publikacji na stronie biblioteki. Read More

18 lut

Dowód osobisty pod zastaw

Ten temat wraca jak bumerang. Ustawa z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych wskazuje jedyne podmioty uprawnione do żądania dowodu osobistego od obywatela.

Praktyka brania dowodu pod zastaw udostępnionych książek lub od osoby korzystającej z czytelni internetowej, czasopism, itp., jest niezgodne z przepisami. Zamiast dokumentu tożsamości biblioteka powinna pobrać kaucję zwrotną (pobieranie kaucji przewiduje ustawa o bibliotekach).

Oczywiście nie powinniśmy dawać naszych dowodów pod zastaw także innym instytucjom, np. wypożyczalni łyżew, czy sprzętu wodnego. Tutaj analogicznie powinna zostać pobrana kaucja zwrotna.

Polecam wystąpienie GIODO w tej sprawie: http://www.giodo.gov.pl/560/id_art/8374/j/pl/

16 lut

Czy wykaz adresów jest zbiorem danych osobowych?

Pytanie od Pani Agnieszki:

Czy jeśli posiadamy wykaz adresów kin, bibliotek i ośrodków kultury to tworzy to zbiór danych osobowych? 

Wykaz samych instytucji nie jest zbiorem danych osobowych. Jeżeli wykaz jest rozbudowany o osoby reprezentujące te instytucje lub z którymi należy się kontaktować, to odpowiednio będziemy kwalifikować je jako dane ze zbiorów „kontrahenci” lub „baza kontaktów”.

Sylwia CzubSpodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie

14 lut

Sygnalizacje ABI dla administratora danych

Kolejne pytanie od Pana Grzegorza:

Czy ABI może pisać pismo z prośbą o zakup konkretnej rzeczy, chodzi np. o archiwizację danych osobowych z serwerów? Jeżeli tak, to co w przypadku odmowy pozwolenia na zakup? Czy dyrektor biblioteki powinien podać w odmowie powód odmowy?

Sygnalizowanie wszelkich potrzeb i braków jest jednym z podstawowych zadań ABI. Jak najbardziej powinien informować na piśmie administratora danych, np. o konieczności dokonania określonych zakupów, jednocześnie podając powody takiej konieczności (np. przepis prawa) oraz konsekwencje braku działań. ABI może prosić dyrektora o podanie przyczyny, jeśli jest to przyczyna finansowa, wnioskować o uwzględnienie zakupów w przyszłorocznym budżecie. Za każdym razem powinien podkreślić skutki zaniechania (nie tylko wynikające z ustawy, ale także, np. wizerunkowe, gdyby serwery padły).

Sylwia CzubSpodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie