Sylwia Czub – Strona 36 – Sylwia Czub bloguje o danych osobowych

07 mar

Jak wykreślić zbiór z rejestru GIODO

Zgodnie z ustawą, są dwie sytuacje w których administrator danych może zwrócić się do GIODO o wykreślenie zbioru danych osobowych z rejestru:

1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze;

2) rejestracji dokonano z naruszeniem prawa.

Tak naprawdę druga sytuacja ma miejsce, gdy po kontroli GIODO jego inspektor stwierdzi naruszenie prawa (np. brak podstawy prawnej do przetwarzania danych) i wyda decyzję o wykreśleniu zbioru z rejestru. W świetle nowych przepisów, może zdarzyć się, że to ABI zgłosi do GIODO konieczność wykreślenia zbioru, powołując się na przesłankę braku legalności. Read More →

03 mar

Zgoda nauczyciela na robienie zdjęć dzieciom

Czy nauczyciel może wyrazić zgodę na opublikowanie na stronie internetowej biblioteki zdjęć dzieci, które przyprowadził na zajęcia biblioteczne?

Nauczyciel nie jest osobą upoważnioną w zakresie decydowania o wykorzystaniu wizerunku małoletnich. Jeżeli dziecko nie ukończyło 13 roku życia, zgodę biblioteka musi pozyskać bezpośrednio od opiekuna prawnego dziecka. Gdy dziecko ukończyło 13 lat, samo może wyrazić zgodę na wykorzystanie jego wizerunku, np. do publikacji na stronie biblioteki. Read More →

18 lut

Dowód osobisty pod zastaw

Ten temat wraca jak bumerang. Ustawa z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych wskazuje jedyne podmioty uprawnione do żądania dowodu osobistego od obywatela.

Praktyka brania dowodu pod zastaw udostępnionych książek lub od osoby korzystającej z czytelni internetowej, czasopism, itp., jest niezgodne z przepisami. Zamiast dokumentu tożsamości biblioteka powinna pobrać kaucję zwrotną (pobieranie kaucji przewiduje ustawa o bibliotekach).

Oczywiście nie powinniśmy dawać naszych dowodów pod zastaw także innym instytucjom, np. wypożyczalni łyżew, czy sprzętu wodnego. Tutaj analogicznie powinna zostać pobrana kaucja zwrotna.

Polecam wystąpienie GIODO w tej sprawie: http://www.giodo.gov.pl/560/id_art/8374/j/pl/

16 lut

Czy wykaz adresów jest zbiorem danych osobowych?

Pytanie od Pani Agnieszki:

Czy jeśli posiadamy wykaz adresów kin, bibliotek i ośrodków kultury to tworzy to zbiór danych osobowych?

Wykaz samych instytucji nie jest zbiorem danych osobowych. Jeżeli wykaz jest rozbudowany o osoby reprezentujące te instytucje lub z którymi należy się kontaktować, to odpowiednio będziemy kwalifikować je jako dane ze zbiorów „kontrahenci” lub „baza kontaktów”.

Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie

14 lut

Sygnalizacje ABI dla administratora danych

Kolejne pytanie od Pana Grzegorza:

Czy ABI może pisać pismo z prośbą o zakup konkretnej rzeczy, chodzi np. o archiwizację danych osobowych z serwerów? Jeżeli tak, to co w przypadku odmowy pozwolenia na zakup? Czy dyrektor biblioteki powinien podać w odmowie powód odmowy?

Sygnalizowanie wszelkich potrzeb i braków jest jednym z podstawowych zadań ABI. Jak najbardziej powinien informować na piśmie administratora danych, np. o konieczności dokonania określonych zakupów, jednocześnie podając powody takiej konieczności (np. przepis prawa) oraz konsekwencje braku działań. ABI może prosić dyrektora o podanie przyczyny, jeśli jest to przyczyna finansowa, wnioskować o uwzględnienie zakupów w przyszłorocznym budżecie. Za każdym razem powinien podkreślić skutki zaniechania (nie tylko wynikające z ustawy, ale także, np. wizerunkowe, gdyby serwery padły).

Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie

13 lut

Czy warto powoływać ABI? (artykuł)

Bardzo ciekawy artykuł Pani Agnieszki Majdzińskiej, w którym autorka rozważa wszystkie za i przeciw powołaniu administratora bezpieczeństwa informacji. Artykuł napisany pod kątem organizacji pozarządowych, można „bez strat” przenieść na grunt biblioteki.

http://wiadomosci.ngo.pl/wiadomosci/1313523.html

12 lut

Jak często powinny być przeprowadzane sprawdzenia?

Pytanie padło od Pana Grzegorza:

Czy sprawdzenie odbywa się na żądanie dyrektora, czy też co pewien okres czasu?

Czy roczne sprawozdanie jest wymogiem odgórnym (narzuconym przez GIODO) oraz czy każde sprawozdanie roczne musi zostać wysłane o GIODO?

Na chwilę obecną nie wiadomo jaką częstotliwość przeprowadzania sprawdzeń uchwali ustawodawca. W projekcie rozporządzenia MAiC jest mowa o planowanym sprawdzeniu raz do roku oraz dodatkowym sprawdzeniu na zlecenie GIODO lub na skutek zaistnienia incydentu. Pragnę podkreślić, że podobne sprawdzenia w przypadku informacji niejawnych są przeprowadzane raz na 3 lata ze względu na fakt, że taki kompleksowy audyt blokuje pracę instytucji na pewien czas.

Czekamy na ustalenia dotyczące rozporządzenia, z nadzieją, że ustawodawca zrozumie, że potrzebą zmian było ułatwienie a nie utrudnianie wykonywania działalności gospodarczej… Jeżeli sprawdzenie będzie musiało być przeprowadzane raz do roku, to sprawozdanie z tego sprawdzenia będzie przygotowywane również raz do roku (plus dodatkowe na zlecenie GIODO lub po incydentalnym sprawdzeniu).

Rejestr Administratorów Bezpieczeństwa Informacji

Na platformie e-GIODO pojawił się rejestr Administratorów Bezpieczeństwa Informacji. Wszystkich zainteresowanych i ciekawych odsyłam do stron GIODO, a sama póki co polecam obserwowanie zachodzących zmian oraz wystąpień Generalnego Inspektora związanych z nową rolą ABI. Do końca czerwca 2015 r. administratorzy danych mają czas na podjęcie decyzji o powołaniu i zarejestrowaniu ABI, wobec tego warto (moim zdaniem) nie śpieszyć się z tą decyzją, aby rozsądnie rozważyć wszystkie za i przeciw.

02 lut

Stary ABI w świetle nowych przepisów, czy trzeba go powołać na nowo?

Osoby, które przed wejściem w życie nowelizacji ustawy pełniły rolę administratorów bezpieczeństwa informacji, często zastanawiają się, jak odnaleźć się w nowej rzeczywistości. Dużo pytań budzi przede wszystkim uchylenie art. 36 ust. 3, który nakazywał administratorowi danych wyznaczenie administratora bezpieczeństwa informacji, chyba że ADO postanowił sam wykonywać te czynności. Po 1. stycznia 2015 r. ustawodawca zwolnił administratorów danych osobowych z obowiązku wyznaczania ABI, na rzecz dobrowolnego powołania w zamian za pewne przywileje wynikające z ustawy. Read More →

20 sty

Co zrobić jeśli system służący do przetwarzania danych nie spełnia wymogów ustawowych

Zdarza się, że po przeprowadzeniu audytu bezpieczeństwa, okazuje się, że system informatyczny służący do przetwarzania danych osobowych (np. system kadrowy) nie spełnia wszystkich wymogów określonych przez rozporządzenie. Co powinniśmy wtedy zrobić? Read More →