Author Archives: Sylwia Czub

19 kwi

Polityka bezpieczeństwa: wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

Ten punkt polityki bezpieczeństwa należy rozpocząć od inwentaryzacji zbiorów danych osobowych. Jak przeprowadzić inwentaryzację zbiorów i jakie zbiory przetwarza biblioteka, opisałam tutaj.

Przypomnę, że przykładowe zbiory, w ramach których mogą być przetwarzane dane w bibliotece to:

  • Osoby korzystające z ZFŚS.
  • Osoby zatrudnione na podstawie umowy cywilno-prawnej.
  • Osoby realizujące dla biblioteki zadania w ramach wolontariatu, stażu, czy praktyk.
  • Uczestnicy konkursów.
  • Odbiorcy newslettera
  • Uczestnicy wydarzeń bibliotecznych.
  • Baza kontaktów.
  • Książka korespondencyjna.
  • Sponsorzy i darczyńcy.
  • Uczestnicy przetargów.
  • Osoby, któych wizerunek utrwalono za pomocą monitoringu wizyjnego.
  • Kandydaci do pracy.
  • Osoby korzystające z cztelni internetowej (chyba, że z czytelni mogą korzystać tylko zarejestrowani czytelnicy, wówczas nie wyróżniamy tego zbioru).
  • Uczestnicy szkoleń.
  • Dane przetwarzane w Cyfrowym Archiwum Tradycji Lokalnej

Dla każdego z tych zbiorów należy podać informację w jakich programach jest przetwarzany. Dla przykładu: Read More

12 kwi

Infor – uwaga na przekłamanie w artykule

Jeden z moich kolegów poprosił mnie o wypowiedź w sprawie artykułu, który został opublikowany w serwisie ksiegowosc.infor.pl.

Artykuł dotyczy zmian w przepisach ochrony danych osobowych po nowelizacji ustawy, a kolegę zaskoczył fragment:

Pamiętać jednak należy, że wybór co do powołania ABI ma w zasadzie tylko ADO, który jest osobą fizyczną. W przypadku osób prawnych, obowiązek powołania administratora bezpieczeństwa informacji jest dziś bezsporny, o czym pisaliśmy w poście „Jak Google przegrał walkę o ABI’ego”.

Przeczytałam i przetarłam oczy ze zdziwienia. Read More

02 kwi

Inwentaryzacja zbiorów danych osobowych

Aby przejść do kolejnej części tworzenia polityki bezpieczeństwa danych osobowych, konieczne jest wcześniejsze dokonanie inwentaryzacji zbiorów danych osobowych.

Z mojego doświadczenia wynika, że biblioteki zazwyczaj mają świadomość przetwarzania danych osobowych w dwóch zbiorach: pracowników i czytelników. Tymczasem wszystkich zbiorów danych osobowych, w ramach których są przetwarzane dane jest w bibliotece co najmniej kilkanaście. Jak je zinwentaryzować? Najłatwiej systematyzować zbiory poprzez zadanie sobie trzech pytań dotyczących przetwarzanych danych:

  • Jaka jest podstawa prawna przetwarzania danych (art. 23 ustawy);
  • Jaki jest cel przetwarzania danych;
  • Jakie są kategorie osób, których dane będą przetwarzane.

Read More

26 mar

Polityka bezpieczeństwa: wykaz budynków i pomieszczeń stanowiących obszar przetwarzania danych

W pierwszym punkcie polityki należy wskazać konkretne obszary przetwarzania danych osobowych (czyli miejsca, gdzie te dane są gromadzone, przechowywane, opracowywane). Dotyczy to zarówno danych w postaci papierowej, jak i elektronicznej.

Zaczynamy od wyszczególnienia siedzib oraz poszczególnych pomieszczeń. Poniżej przykład dla hipotetycznej biblioteki, możemy używać dowolnych określeń, tzn. numerów pomieszczeń i/lub ich nazw: Read More

23 mar

Polityka bezpieczeństwa, co to jest i dlaczego musi być w każdej bibliotece

Przypuszczam, że większość bibliotek przynajmniej raz otrzymała propozycję zakupu “polityki bezpieczeństwa”. Zazwyczaj był to pierwszy moment, gdy dowiadywały się o konieczności stworzenia tego dokumentu. Zgodnie z art. 36 ust. 1-2 ustawy administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Zapis ustawowy jest dość niejasny, na szczęście znalazł on doprecyzowanie w przepisach wykonawczych, tzn. w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz środków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobowych. Read More

16 mar

Co należy zrobić, aby legalnie przetwarzać dane osobowe

Często poruszam ten temat na warsztatach – jakie warunki techniczne i organizacyjne musi spełnić biblioteka, żeby móc legalnie przetwarzać (gromadzić, edytować, itd.), dane osobowe. W kolejności realizowania są to:

  • Wprowadzenie odpowiednich zabezpieczeń fizycznych (np. szafy i pomieszczenia zamykane na klucz) oraz systemowych (dla danych przetwarzanych w systemach informatycznych).
  • Wyznaczenie osób odpowiedzialnych za realizację zdań związanych z ochroną danych osobowych, w szczególności powołanie administratora bezpieczeństwa informacji (jest to czynność fakultatywna).
  • Opracowanie i wdrożenie polityki bezpieczeństwa (regulaminu przetwarzania danych osobowych).

Read More

11 mar

Lekcja biblioteczna z ochrony prywatności w sieci

GIODO oraz MAIC przygotowali ciekawą broszurę informacyjną, która z powodzeniem może stanowić dobry materiał do przeprowadzenia zajęć bibliotecznych dla dzieci i młodzieży z zasad bezpiecznego korzystania z internetu.

Broszura porusza tematy prywatności, prawa do bycia zapomnianym oraz kształtowania wizerunku. Zawiera kilka ciekawych przykładów, które można omówić podczas zajęć.

Broszurę można znaleźć tutaj.

07 mar

Jak wykreślić zbiór z rejestru GIODO

Zgodnie z ustawą, są dwie sytuacje w których administrator danych może zwrócić się do GIODO o wykreślenie zbioru danych osobowych z rejestru:

1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze;

2) rejestracji dokonano z naruszeniem prawa.

Tak naprawdę druga sytuacja ma miejsce, gdy po kontroli GIODO jego inspektor stwierdzi naruszenie prawa (np. brak podstawy prawnej do przetwarzania danych) i wyda decyzję o wykreśleniu zbioru z rejestru. W świetle nowych przepisów, może zdarzyć się, że to ABI zgłosi do GIODO konieczność wykreślenia zbioru, powołując się na przesłankę braku legalności. Read More

03 mar

Zgoda nauczyciela na robienie zdjęć dzieciom

Czy nauczyciel może wyrazić zgodę na opublikowanie na stronie internetowej biblioteki zdjęć dzieci, które przyprowadził na zajęcia biblioteczne?

Nauczyciel nie jest osobą upoważnioną w zakresie decydowania o wykorzystaniu wizerunku małoletnich.  Jeżeli dziecko nie ukończyło 13 roku życia, zgodę biblioteka musi pozyskać bezpośrednio od opiekuna prawnego dziecka. Gdy dziecko ukończyło 13 lat, samo może wyrazić zgodę na wykorzystanie jego wizerunku, np. do publikacji na stronie biblioteki. Read More

18 lut

Dowód osobisty pod zastaw

Ten temat wraca jak bumerang. Ustawa z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych wskazuje jedyne podmioty uprawnione do żądania dowodu osobistego od obywatela.

Praktyka brania dowodu pod zastaw udostępnionych książek lub od osoby korzystającej z czytelni internetowej, czasopism, itp., jest niezgodne z przepisami. Zamiast dokumentu tożsamości biblioteka powinna pobrać kaucję zwrotną (pobieranie kaucji przewiduje ustawa o bibliotekach).

Oczywiście nie powinniśmy dawać naszych dowodów pod zastaw także innym instytucjom, np. wypożyczalni łyżew, czy sprzętu wodnego. Tutaj analogicznie powinna zostać pobrana kaucja zwrotna.

Polecam wystąpienie GIODO w tej sprawie: http://www.giodo.gov.pl/560/id_art/8374/j/pl/