Category Archives: Artykuły

13 cze

Czy służbowe e-maile stanowią informację publiczną?

Pytanie od Pani Ewy:

Do biblioteki wpłynął wniosek o udzielenie informacji publicznej. Wnioskodawca żąda udostępnienia zawartości skrzynki mailowej z ostatnich dwóch miesięcy. W skrzynce znajduje się korespondencja prowadzona przez bibliotekę również z czytelnikami (zwrot materiałów, prolongata itd.). Czy zawartość skrzynki e-mail stanowi informację publiczną i mamy obowiązek ją udostępnić? A jeśli tak, czy należy dane osobowe zanonimizować?

Kilka lat temu rzeczywiście sądy nakazywały udostępnianie treści
korespondencji. Jednak sytuacja uległa zmianie. Teraz ogranicza się
informację publiczną w odniesieniu do Konstytucji (czyli ochrony
prywatności tych osob, które piszą do instytucji publicznych – usunięcie
ich danych, często nie anonimizuje wiadomości, bo wynikają one pośrednio z treści)  lub ochrony danych osobowych.
Po zapoznaniu się z linią orzeczniczą, Read More

11 cze

Jak wskazać programy służące do przetwarzania danych osobowych

Pytanie od Pani Anity:

Czy przy opisie programów służących do przetwarzania danych musimy szczegółowo wymieniać nazwy aplikacji edytorów tekstu, arkuszy kalkulacyjnych, programów pocztowych skoro pracujemy na kilku i może to się zmieniać?

Należy wskazać nazwy programów.

Uzasadnienie: W rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych, wymienione są elementy, które musi zawierać polityka bezpieczeństwa. Punkt 2 paragrafu 4 dotyczący programów, które służą do przetwarzania danych osobowych ma brzmienie: Read More

07 cze

Czy nazwa ABI jest zastrzeżona tylko dla osoby zarejestrowanej w GIODO?

Pytanie od Pani Moniki:

Nie chcemy powoływać Administratora Bezpieczeństwa Informacji (i zgłaszać go do GIODO), jednak administrator danych chce kogoś oddelegować do pomocy – czy w polityce bezpieczeństwa i w instrukcji zarządzania systemami może funkcjonować nazwa „ABI” czy zastosować jakieś inne nazewnictwo?

Jeżeli nie powołujecie Państwo Administratora Bezpieczeństwa Informacji, nie możecie posługiwać się, wobec osoby nadzorującej przestrzeganie przepisów ochrony danych osobowych, nazwą ABI. Jest to nazwa stanowiska, dla którego obowiązki są wyraźnie wskazane w art. 36 a  w ustawie o ochronie danych osobowych, czyli zastrzeżona tylko i wyłącznie dla osób zarejestrowanych w GIODO. Wobec tego, jeżeli administrator danych, nie chce zarejestrować swojego pracownika w GIODO, nie powinien używać wobec niego oraz w stworzonej dokumentacji nazwy ABI.  Można użyć innego, dowolnego określenia. Read More

04 cze

Pytanie: Jaka jest podstawa prawna do wprowadzenia polityki bezpieczeństwa?

Pytanie od Pani Justyny:

Chciałabym wprowadzić zarządzeniem politykę bezpieczeństwa danych osobowych w bibliotece. Jaką podstawę prawną powinnam wskazać?

Podstawy prawne są dwie:

Art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2014 poz. 1182) oraz par. 5 rozporządzenia MSWiA  z dnia 29. kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnym, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobywch (Dz. U. 2004 nr 100 poz. 1024).

Icons made by Freepik from www.flaticon.com is licensed by CC BY 3.0
01 cze

Pytanie: Kiedy muszę aktualizować zbiór w GIODO?

Pytanie od Pani Agnieszki:

Kiedy muszę aktualizować zbiór zarejestrowany w GIODO? Czy jest jakiś okres czasu, po którym należy zrobić aktualizację? 

Jeżeli zmieniły się dane administratora danych (np. adres, nazwa) lub inne informacje związane ze zbiorem (zakres zbieranych danych, podmiot, któremu powierzono dane) stosuje się art. 41. ust 2. UODO:

Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Read More

25 maj

Czy zawsze konieczna jest zgoda?

Pytanie od Pana Dariusza:

Biblioteka prowadzi okresowo zajęcia popołudniowe dla dzieci jak również dla dorosłych. Na te zajęcia prowadzone są zapisy (imię, nazwisko, telefon, e-mail, dla  dzieci też adres zamieszkania).
Czy w tym wypadku wymagana jest zgoda na przetwarzanie tych  danych, gdy przetwarzane są tylko na potrzeby przeprowadzenia zajęć? Read More

21 maj

Jak zmieniły się zasady rejestracji zbiorów po nowelizacji ustawy?

Pytanie od Pani Agnieszki:

Jak zmieniły się zasady rejestracji zbiorów w rejestrze GIODO po nowelizacji ustawy o ochronie danych osobowych? 

Nowelizacja ustawy przewiduje dwa sposoby prowadzenia rejestru zbioru danych osobowych – starą ścieżką przez GIODO lub nową ścieżką przez ABI-ego.

Nowa ścieżka oznacza, że administrator danych (biblioteka) nie będzie już musiał akutalizować i zgłaszać zbiorów do jawnego rejestru w GIODO, gdyż obowiązek prowadzenia rejestru przejmie powołany przez administratora danych ABI. Wówczas zgłoszeniu w GIODO będą w dalszym ciągu podlegać tylko zbiory zawierające dane wrażliwe. Pozostałe będą prowadzone we własnym rejestrze biblioteki. Read More

18 maj

Ocena kosztów powołania ABI

Nie da się ukryć, że powołanie i zarejestrowanie ABI-ego to gorący temat. Zwłaszcza, że nie ma oficjalnych zaleceń GIODO w zakresie tego, kiedy to się opłaca, a kiedy nie. Wiele podmiotów powołując ABI-ego, nie zdaje sobie sprawy z nowych obowiązków, które wiążą się z tym oraz kosztów. Myślę, że odpowiedź na pytanie, „czy warto powołać ABI-ego w bibliotece” najlepiej wprost wyprowadzić z Projektu Rozporządzenia MAiC w sprawie trybu i sposobów realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. Read More

11 maj

Czy muszę powoływać Administratora Bezpieczeństwa Informacji (ABI-ego)?

To pytanie, na które odpowiedziałam już wielokrotnie, a i tak wraca jak bumerang. Wszystko ze względu na duży nacisk ze strony firm oferujących usługę zarejestrowania ABI-ego w jawnym rejestrze GIODO. Powołują się ona na zmianę w przepisach i artykuł w Inforze (tutaj mój wpis na temat przekłamania w tym artykule), aby skłonić bibliotekę do rejestracji.
Zgodnie z Art. 36a. 1. ustawy: Administrator danych może powołać administratora bezpieczeństwa informacji.

Read More

08 maj

Dane o stanie zdrowia czytelników

Niektóre biblioteki zbierają informacje o niepełnosprawności czytelników w związku z wypożyczaniem im zbiorów specjalnych (np. książek czytanych). Czasami czynność ogranicza się tylko do przyjęcia oświadczenia o niepełnosprawności, czasami bibliotekarz prosi o okazania zaświadczenia. Najczęściej wynika to ze zobowiązania biblioteki określonego w ramach umowy z dostawcą książek. Biblioteka raz do roku przesyła też do dostawy informacje statystyczne o wypożyczeniach.

Nie ulega wątpliwości, że bibliotekarz uzyskuje w ten sposób informacje o danych wrażliwych (stan zdrowia czytelnika) i nawet jeżeli te dane nie są gromadzone wprost w systemie, to podpisana z dostawcą książek umowa, wskazuje, że biblioteka wchodzi w posiadanie takich danych. Tym bardziej, jeżeli przygotowuje statystyki osób, które wypożyczają książki czytane, które aby móc je wypożyczyć, muszą wykazać swoją niepełnosprawność, mówimy o przetwarzaniu danych wrażliwych o stanie zdrowia. Read More