Category Archives: Artykuły

06 lip

Czy instrukcja zarządzania systemami informatycznymi może być załącznikiem do polityki bezpieczeństwa?

Pytanie od Pani Agnieszki:

Czy Instrukcję Zarządzania Systemem Informatycznym lepiej opracować jako odrębne zarządzenie, czy zrobić to jako załącznik do Polityki Bezpieczeństwa?

Przepisy wymagają, żeby instrukcja i polityka były dwoma odrębnymi dokumentami.

§ 3. 1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”.

 

03 lip

Czy zeszyt użytkowników czytelni zawiera dane osobowe?

Pytanie od Pana Krzysztofa:

Zwracam się do Pani z pytaniem odnośnie zeszytów odwiedzin w Czytelni dla dzieci i młodzieży i korzystania z prasy, gier planszowych. Do każdego takiego zeszytu czytelnik wpisuje imię i nazwisko i z czego korzystał. Czy w świetle przepisów o ochronie danych osobowych takie zeszyty mają prawo bytu? Czy jednak powinny one mieć charakter anonimowy, czyli czytelnik wpisuje z czego korzystał, ale pomijamy wpisanie imienia i nazwiska i stosujemy tylko liczbę porządkową?Jest na to jakiś złoty środek, aby nie mieć problemów z brakiem ochrony danych osobowych. 

Zgodnie z przepisami danych osobowych, aby przetwarzanie danych osobowych było dopuszczalne, muszą być spełnione trzy warunki:
– legalności,
– adekwatności,
– celowości.
Aby ustalić, czy są one spełnione, należy rozpocząć od odpowiedzi na pytania:
– w jakim celu prowadzone są zeszyty?
– jakie jest uzasadnienie zbierania danych w zakresie imienia i nazwiska (do czego te konkretne dane są wykorzystywane)?

Read More

01 lip

Czy administrator, który nie powoła ABI też musi przeprowadzać sprawdzenia?

Pytanie od Pana Marcina:

Jak to w końcu jest w przypadku, gdy NIE POWOŁAMY ABI. Czy jest obowiązek robienia jakichś audytów wewnętrznych lub sprawozdań do GIODO?

Przeprowadzanie sprawdzeń w zakresie i zgodnie z harmonogramem określonym w rozporządzeniu w sprawie tryb i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI jest obowiązkiem ABI-ego. Administrator, który nie powoła ABI nie ma wprost określonego obowiązku przeprowadzania sprawdzeń.

Read More

26 cze

Czy trzeba rejestrować w GIODO zbiór danych „monitoring wizyjny”?

Pytanie od Pana Grzegorza:

Dzień dobry! Wskazała Pani w jednym z wpisów, że istnieje obowiązek zarejestrowania zbioru danych monitoringu wizyjnego w GIODO. Przecież nie jest to zbiór danych osobowych (gromadzone są tylko wizerunki). Jaką podstawę prawną należałoby wskazać dla przetwarzania danych w ramach tego zbioru?

Panie Grzegorzu, monitoring wizyjny instaluje się w celu ochrony mienia i osób. W szczególności, gdy zostanie dokonane wykroczenie, przekazuje się nagrania z monitoringu do policji, która na jego podstawie identyfikuje sprawcę, a następnie pociąga go do odpowiedzialności. Proszę zwrócić uwagę, że w rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ponieważ nagarnie umożliwia wskazanie sprawcy, należy uznać, że przetwarzamy w ramach monitoringu dane osobowe.

Read More

24 cze

Czy system służący do obsługi monitoringu wizyjnego należy ująć w polityce bezpieczeństwa?

Coraz częściej w bibliotekach i innych jednostkach publicznych są instalowane kamery w celu ochrony mienia i osób, korzystających z ich usług.

Wraz z zainstalowaniem kamer oraz sytemu do obsługi monitoringu na administratorze danych ciążą pewne obowiązki:

1) Zarejestrowanie zbioru danych osobowych „monitoring wizyjny” w rejestrze GIODO (zwolnione z tego obowiązku są systemy, które nie tworzą kopii nagrania, tzn. służą tylko i wyłącznie do podglądu ochranianych miejsc w czasie rzeczywistym).

2) Podpisanie umowy powierzenia danych osobowych z firmą, która obsługuje monitoring.

3) Upoważnienie do przetwarzania danych osobowych w ramach zbioru „monitoring wizyjny” osób mających do niego dostęp.

4) Wprowadzenie zmian do polityki bezpieczeństwa w zakresie:

Read More

21 cze

Podawanie danych, gdy chcemy skorzystać z usługi

Czy Wam też zdarzyło się, że byliście proszeni o podanie swoich danych, gdy dookoła było dużo obcych ludzi? Pomijam fakt, że można odczuwać dyskomfort w sytuacji ujawniania swoich prywatnych danych. Administrator danych jest zobowiązany do ochrony danych, które przetwarza już na etapie ich gromadzenia. Powinien umożliwić osobie, która korzysta z jego usług takie przekazanie mu danych, aby nie narażać go na ujawnienie ich osobom postronnym. W szczególności powinien zapewnić możliwość zapisania ich, zamiast ustnego przekazania.

Read More

18 cze

Żądanie dowodu pod zastaw: teoria i praktyka

Zbliża się okres wakacyjny, więc warto wrócić do tematu pozostawiania dowodu osobistego pod zastaw. Zgodnie z art. 33 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych, dowodu osobistego nie wolno zatrzymywać (pod zastaw), z wyjątkiem przypadków określonych w ustawie. Zatrzymanie cudzego dowodu osobistego stanowi wykroczenie, za które zgodnie z art. 55 pkt 2 tej ustawy, sprawcy grozi kara ograniczenia wolności do 1 miesiąca albo kara grzywny.

Teoria

Zgodnie z art. 14 ust. 2 pkt 3 dozwoloną, bibliotece wolno jedynie pobierać kaucję za wypożyczone materiały biblioteczne. Od tej reguły nie przewiduje się żadnych wyjątków. Oznacza to, że biblioteka nie może brać dowodu osobistego od niezarejestrowanego użytkownika, który chce skorzystać z jej usług lub osoby, która wypożycza do domu cenny materiał, gdyż ustawa o bibliotekach nie daje jej do tego prawa.

Read More

16 cze

Czy trzeba ująć w polityce bezpieczeństwa informację o przetwarzaniu danych poza biblioteką, np. w urzędzie gminy?

Pytanie od Pani Agnieszki:
Chciałam zapytać o system rejestracji zbiorów w GIODO i Instrukcję zarządzania systemami informatycznymi w polityce bezpieczeństwa danych osobowych.
Czy bazę pracowników należy ująć w instrukcji (przy czym dane pracowników przetwarzane są w budynku Urzędu Gminy przez osobę księgowej. Księgowa biblioteki ma biuro w Urzędzie Gminy)? Czy bazę pracowników należy również zgłosić do GIODO (jako zbiór danych)?
Biblioteka musi mieć dwa dokumenty, politykę bezpieczeństwa oraz instrukcję zarządzania systemami informatycznymi (polityka nie jest częścią instrukcji). Ich zawartość (spis treści) jest określona w rozporządzeniu.

Read More

16 cze

Jak przeprowadzić sprawdzenie z zakresu ochrony danych osobowych

Niedawno otrzymałam wiadomość od Pani Barbary, z prośbą o opisanie schematu przeprowadzania audytu wewnętrznego z ochrony danych osobowych w bibliotece. Jak zaplanować, przeprowadzić, a następnie napisać protokół z kontroli.

Mam nadzieję, że moje wskazówki będą pomocne. Read More