20 paź

Czym jest wizerunek?

Według Słownika Języka Polskiego PWN:

Wizerunek to 1) Czyjaś podobizna na rysunku, obrazie, zdjęciu itp.; 2) Sposób, w jaki dana osoba lub rzecz jest postrzegana i przedstawiana.

Zgodnie z art. 23 Kodeksu Cywilnego wizerunek jest zaliczany do dóbr osobistych człowieka i pozostaje pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.

Zgodnie z art. 6  ustawy o ochronie danych osobowych, wszelkie informacje pozwalające bez nadmiernego nakładu pracy i kosztów zidentyfikować daną osobę są danymi osobowymi. Nie ulega zatem wątpliwości, że wizerunek jest daną osobową.

Zasady rozpowszechniania wizerunku określają artykuł 81 ustawy o prawie autorskim i prawach pokrewnych. Punktem wyjścia jest zgoda osoby przedstawionej na zdjęciu na upublicznienie jej wizerunku (wyjątki omówię w oddzielnym wpisie).

Podsumowując:

Wizerunek jest dobrem osobistym człowieka i jest daną osobową. Podlega ochronie cywilnoprawnej zgodnie z Kodeksem Cywilnym oraz ustawą o prawie autorskim i prawach pokrewnych. Należy zatem uznać, że gromadzenie zdjęć jest gromadzeniem danych osobowych.

19 paź

Czy niepełnoletni może sam zapisać się do biblioteki?

Bardzo często powtarzające się na moich szkoleniach pytanie dotyczy możliwości samodzielnego zapisania się do biblioteki przez osobę niepełnoletnią.

Czy akceptacja regulaminu przez osobę niepełnoletnią będzie wiążąca? Czy osoba niepełnoletnia powinna złożyć swój podpis na karcie zobowiązania (zapisu) obok podpisu opiekuna prawnego?

Odpowiedź na to pytanie można znaleźć w art. 10 Kodeksu Cywilnego:

Ograniczoną zdolność do czynności prawnych mają osoby małoletnie, które ukończyły 13 lat (…) Zasadniczo do ważności umowy, przez którą osoba ograniczona w zdolności do czynności prawnych zaciąga zobowiązanie lub rozporządza swoim prawem, potrzebna jest zgoda jej przedstawiciela ustawowego.

Wyjątkami są:
– umowy należące do umów powszechnie zawieranych w drobnych bieżących sprawach życia codziennego, (…)

Skorzystanie z usług biblioteki, w tym zapisanie się do niej, można jak najbardziej uznać za bieżące sprawy życia codziennego, wobec tego małoletni czytelnik, który ukończył 13 rok życia może samodzielnie zapisać się do biblioteki.

Jeżeli biblioteka uznaje, że do 18 roku życia zapisu może dokonać za małoletniego opiekun prawny, wówczas podpis małoletniego na karcie zobowiązania jest niepotrzebny.

13 paź

Wzór oświadczenia

Zgodnie z art. 36.2. UODO:  Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1 (niniejszej ustawy).

Ustawodawca ma na myśli konieczność wprowadzenia w bibliotece polityki bezpieczeństwa oraz instrukcji zarządzania systemami informatycznymi. Każdy z pracowników powinien zapoznać się z obowiązującymi w bibliotece regulaminami, w tym tymi z zasad przetwarzania i zabezpieczania danych osobowych.

Niektóre biblioteki stosują, jako dokument potwierdzający zapoznanie się z wyżej wymienionymi dokumentami listy, na których muszą podpisać się wszyscy pracownicy. Jest to rozwiązanie, którego nie polecam. Po pierwsze, każdy nowy pracownik będzie musiał podpisać dodatkowe oświadczenie (nie będzie mógł dopisać się do listy, bo istotna jest data złożenia podpisu), co stwarza rozbieżność w dokumentacji. Powstaje też pytanie, gdzie przechowywać listę, a gdzie oświadczenie. Read More

13 paź

Wzór upoważnienia

Zgodnie z przepisami RODO do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby działające z polecenia administratora, a zatem posiadające upoważnienie nadane przez administratora danych.

Upoważnienie musi zawierać dane osoby upoważnionej oraz zakres upoważnienia. Powinno zostać nadane przez administratora danych, czyli w praktyce na upoważnieniu powinien podpisać się dyrektor/kierownik lub osoba wyznaczona przez niego (przez odrębne zarządzenie lub określenie tego zadania w polityce bezpieczeństwa).

Read More

11 paź

Ewidencja upoważnień

Zgodnie z art. 39 UODO:

1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

1) imię i nazwisko osoby upoważnionej,

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

W bibliotece są przetwarzane dane osobowe znajdujące się w kilkunastu zbiorach danych osobowych.

Read More

09 paź

Czy niezarejestrowanie zbioru danych osobowych w GIODO chroni przed kontrolą?

Czy wydaje się Wam, że przed GIODO można się ukryć, a problemy zamieść pod dywan? Spotkałam się z przekonaniem, że z danymi osobowymi „nie ma problemu” dopóki nie zarejestruje się zbiorów w GIODO, bo wcześniej GIODO nie wie o naszym istnieniu.

Muszę wyprowadzić Was z błędu. Nie ma znaczenia, czy zarejestrujecie zbiory w GIODO, czy nie i tak dane Waszej firmy/instytucji widnieją w różnych rejestrach i stamtąd GIODO czerpie informacje o Waszym istnieniu. Zgłoszenie zbioru do rejestru nie wpływa na decyzję o podjęciu kontroli, ponieważ GIODO przeprowadza kontrole wg harmonogramu (na początku roku wybiera losowe różne instytucje) oraz w trybie doraźnym, jeżeli dotarły do niego skargi na Waszą działalność. Read More

05 paź

Do czego służy karta zobowiązania czytelnika?

Karta zapisu/zobowiązania czytelnika jest rzeczą tak powszechną w codziennej pracy bibliotekarza, że nie poświęcamy jej szczególnej uwagi.

Każdy bibliotekarz wie, że należy zabezpieczyć karty zobowiązań przed osobami nieuprawnionymi, gdyż zawierają dane osobowe czytelników. Zgodnie z ustawą wystarczy, że karty nie będą przechowywane w widocznym i ogólnodostępnym miejscu, a na przykład w szafie zamykanej na klucz. Oczywiście w ciągu dnia pracy szafa nie musi być zamknięta – obecność bibliotekarza jest w gwarancją bezpieczeństwa. Wystarczy, żeby były przechowywane w sposób uniemożliwiający odczytanie znajdujących się na niej danych osobowych.

Podczas szkoleń, które prowadzę, często zadaję pytanie, w jakim celu przedkłada się czytelnikowi kartę zapisu do podpisu i co jest jej najistotniejszym elementem. Prawie zawsze spotykam się z mylnym stwierdzeniem, że istotne jest wyrażenie zgody na przetwarzanie danych osobowych przez czytelnika. Read More

01 paź

Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych (…)

Ustawa o ochronie danych osobowych opisuje w sposób bardzo ogólny zasady zabezpieczenia zbiorów danych osobowych. Szczegółowe zasady zostały określone w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W Rozporządzeniu określono co powinny zawierać polityka bezpieczeństwa oraz instrukcja zarządzania systemami informatycznymi. Jest to punkt wyjścia do stworzenia wymaganej przez ustawę dokumentacji.

01 paź

Jaką odpowiedzialność ponosi Administrator Bezpieczeństwa

Administrator Bezpieczeństwa (lub też Administrator Bezpieczeństwa Informacji, w skrócie ABI) to osoba, odpowiedzialna za kontrolę przestrzegania zasad przetwarzania danych osobowych w instytucji, np. bibliotece.

ABI pełni funkcje kontrolne, nadzorcze mające na celu zapewnienie bezpieczeństwa danych osobowych. ABI nie ponosi odpowiedzialności z tytułu nie przestrzegania UODO przez pracowników administratora (zgodnie z ustawą, każdy ponosi odpowiedzialność indywidualnie). Za niewywiązywanie się ze swoich obowiązków odpowiada przed administratorem danych dyscyplinarnie. Jeżeli sam został upoważniony do przetwarzania danych osobowych, ponosi odpowiedzialność zgodną z ustawą.

Wyznaczenie Administratora Bezpieczeństwa nie znosi z dyrektora odpowiedzialności.

01 paź

Administrator Bezpieczeństwa Informacji

Administrator Bezpieczeństwa (lub też Administrator Bezpieczeństwa Informacji, w skrócie ABI) to osoba, odpowiedzialna za kontrolę przestrzegania zasad przetwarzania danych osobowych w instytucji, np. bibliotece. Od stycznia 2015 roku zmieniły się obowiązki i zasady działania ABI. Przede wszystkim tę rolę może pełnić tylko i wyłącznie osoba, która spełnia wymagania określone art. 36 ust 5:

1)ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw
publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.

Powołany przez administratora danych ABI musi zostać zarejestrowany w GIODO. Co istotne, nie ma obowiązku powoływania ABI. Jest to istotna zmiana w stosunku do poprzednich przepisów. Read More