Category Archives: Artykuły

08 maj

Dane o stanie zdrowia czytelników

Niektóre biblioteki zbierają informacje o niepełnosprawności czytelników w związku z wypożyczaniem im zbiorów specjalnych (np. książek czytanych). Czasami czynność ogranicza się tylko do przyjęcia oświadczenia o niepełnosprawności, czasami bibliotekarz prosi o okazania zaświadczenia. Najczęściej wynika to ze zobowiązania biblioteki określonego w ramach umowy z dostawcą książek. Biblioteka raz do roku przesyła też do dostawy informacje statystyczne o wypożyczeniach.

Nie ulega wątpliwości, że bibliotekarz uzyskuje w ten sposób informacje o danych wrażliwych (stan zdrowia czytelnika) i nawet jeżeli te dane nie są gromadzone wprost w systemie, to podpisana z dostawcą książek umowa, wskazuje, że biblioteka wchodzi w posiadanie takich danych. Tym bardziej, jeżeli przygotowuje statystyki osób, które wypożyczają książki czytane, które aby móc je wypożyczyć, muszą wykazać swoją niepełnosprawność, mówimy o przetwarzaniu danych wrażliwych o stanie zdrowia. Read More

06 maj

Dane pracownicze, czyli co wolno pracodawcy według Rady Europy

Dane pracownicze a przepisy

Biorąc pod uwagę fakt, że ostatnia rekomendacja dotycząca danych pracowniczych przetwarzanych w celu zatrudnienia została uchwalona w 1989 roku (czyli 26 lat temu!), trudno nie poddać się refleksji, że albo dane pracowników nie są bliskie organom odpowiedzialnym za ochronę danych osobowych albo jest to temat na tyle trudny i związany z naciskami różnych ugrupowań i korporacji na Radę Europy, że traktowano to jak „śmierdzący temat” i zamiatano go pod dywan. Dodam może jeszcze, że najnowsza rekomendacja została uchwalona w prima aprilis, czyli 1 kwietnia 2015 r. Na szczęście okazało się, że nie jest to żart.

Dziwi fakt, że tyle czasu trzeba było czekać na rekomendacje dotyczące śledzenia czasu pracy poprzez skanowanie odcisków palców, czy monitoring pomieszczeń biurowych. Najnowsze technologie umożliwiają pracodawcą śledzenie czasu pracy na komputerze, historii przeglądanych stron, czy wgląd w korespondencję elektroniczną. Brak zgody na takie działania, często oznacza zakończenie pracy u tego pracodawcy, a swoich praw pracownik mógł dochodzi albo na drodze cywilnej albo poprzez skargę do Rzecznika Praw Obywatelskich. Miałam przyjemność kilkukrotnie rozmawiać z Panią Profesor Ireną Lipowicz, która zaskoczyła mnie zaangażowaniem w sprawy przeciętnego Kowalskiego (przyznam, że spodziewałam się raczej figuranta z politycznego rozdania) i jednocześnie naświetliła wielowymiarowość problemu przestrzegania praw obywatelskich (w tym pracowniczych). Polskie prawodawstwo nie nadąża za zmieniającymi się realiami i technologiami, na szybko tworzy się specustawy, które dają określonym podmiotom szeroki zakres uprawnień, wkraczający w swobody obywatelskie, a jednocześnie rząd nie interesują się palącymi problemami, jak brak ustawy o monitoringu, czy wykorzystywaniu danych genetycznych. Read More

26 kwi

Co zrobić, gdy zepsuje się komputer, na którym są dane osobowe?

Designed by Freepik.com

Chciałabym polecić Państwa uwadze, artykuł który jest komentarzem do odpowiedzi z Biura GIODO w sprawie instrukcji postępowania w sytuacji awarii sprzętu komputerowego, na którym mamy dane osobowe. Dotyczy to zarówno danych czytelników, jak i pracowników, czy kontrahentów. Nie ma znaczenia kategoria danych – wszystkie należy traktować z równie wysokim priorytetem.

Awaria komputera z danym osobowymi – GIODO wyjaśnia, jak postępować

Chciałabym zwrócić uwagę, że odpowiedź z biura GIODO opiera się na założeniu, że biblioteka wypełnia należycie obowiązki związane z zabezpieczeniem systemu informatycznego, wyszczególnione w rozporządzeniu, czyli regularnie tworzy kopie zapasowe danych osobowych, na podstawie których jest w stanie bez problemu, w każdym momencie odzyskać te dane.

Read More

19 kwi

Polityka bezpieczeństwa: wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

Ten punkt polityki bezpieczeństwa należy rozpocząć od inwentaryzacji zbiorów danych osobowych. Jak przeprowadzić inwentaryzację zbiorów i jakie zbiory przetwarza biblioteka, opisałam tutaj.

Przypomnę, że przykładowe zbiory, w ramach których mogą być przetwarzane dane w bibliotece to:

  • Osoby korzystające z ZFŚS.
  • Osoby zatrudnione na podstawie umowy cywilno-prawnej.
  • Osoby realizujące dla biblioteki zadania w ramach wolontariatu, stażu, czy praktyk.
  • Uczestnicy konkursów.
  • Odbiorcy newslettera
  • Uczestnicy wydarzeń bibliotecznych.
  • Baza kontaktów.
  • Książka korespondencyjna.
  • Sponsorzy i darczyńcy.
  • Uczestnicy przetargów.
  • Osoby, któych wizerunek utrwalono za pomocą monitoringu wizyjnego.
  • Kandydaci do pracy.
  • Osoby korzystające z cztelni internetowej (chyba, że z czytelni mogą korzystać tylko zarejestrowani czytelnicy, wówczas nie wyróżniamy tego zbioru).
  • Uczestnicy szkoleń.
  • Dane przetwarzane w Cyfrowym Archiwum Tradycji Lokalnej

Dla każdego z tych zbiorów należy podać informację w jakich programach jest przetwarzany. Dla przykładu: Read More

12 kwi

Infor – uwaga na przekłamanie w artykule

Jeden z moich kolegów poprosił mnie o wypowiedź w sprawie artykułu, który został opublikowany w serwisie ksiegowosc.infor.pl.

Artykuł dotyczy zmian w przepisach ochrony danych osobowych po nowelizacji ustawy, a kolegę zaskoczył fragment:

Pamiętać jednak należy, że wybór co do powołania ABI ma w zasadzie tylko ADO, który jest osobą fizyczną. W przypadku osób prawnych, obowiązek powołania administratora bezpieczeństwa informacji jest dziś bezsporny, o czym pisaliśmy w poście „Jak Google przegrał walkę o ABI’ego”.

Przeczytałam i przetarłam oczy ze zdziwienia. Read More

02 kwi

Inwentaryzacja zbiorów danych osobowych

Aby przejść do kolejnej części tworzenia polityki bezpieczeństwa danych osobowych, konieczne jest wcześniejsze dokonanie inwentaryzacji zbiorów danych osobowych.

Z mojego doświadczenia wynika, że biblioteki zazwyczaj mają świadomość przetwarzania danych osobowych w dwóch zbiorach: pracowników i czytelników. Tymczasem wszystkich zbiorów danych osobowych, w ramach których są przetwarzane dane jest w bibliotece co najmniej kilkanaście. Jak je zinwentaryzować? Najłatwiej systematyzować zbiory poprzez zadanie sobie trzech pytań dotyczących przetwarzanych danych:

  • Jaka jest podstawa prawna przetwarzania danych (art. 23 ustawy);
  • Jaki jest cel przetwarzania danych;
  • Jakie są kategorie osób, których dane będą przetwarzane.

Read More

26 mar

Polityka bezpieczeństwa: wykaz budynków i pomieszczeń stanowiących obszar przetwarzania danych

W pierwszym punkcie polityki należy wskazać konkretne obszary przetwarzania danych osobowych (czyli miejsca, gdzie te dane są gromadzone, przechowywane, opracowywane). Dotyczy to zarówno danych w postaci papierowej, jak i elektronicznej.

Zaczynamy od wyszczególnienia siedzib oraz poszczególnych pomieszczeń. Poniżej przykład dla hipotetycznej biblioteki, możemy używać dowolnych określeń, tzn. numerów pomieszczeń i/lub ich nazw: Read More

23 mar

Polityka bezpieczeństwa, co to jest i dlaczego musi być w każdej bibliotece

Przypuszczam, że większość bibliotek przynajmniej raz otrzymała propozycję zakupu “polityki bezpieczeństwa”. Zazwyczaj był to pierwszy moment, gdy dowiadywały się o konieczności stworzenia tego dokumentu. Zgodnie z art. 36 ust. 1-2 ustawy administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Zapis ustawowy jest dość niejasny, na szczęście znalazł on doprecyzowanie w przepisach wykonawczych, tzn. w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz środków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobowych. Read More

16 mar

Co należy zrobić, aby legalnie przetwarzać dane osobowe

Często poruszam ten temat na warsztatach – jakie warunki techniczne i organizacyjne musi spełnić biblioteka, żeby móc legalnie przetwarzać (gromadzić, edytować, itd.), dane osobowe. W kolejności realizowania są to:

  • Wprowadzenie odpowiednich zabezpieczeń fizycznych (np. szafy i pomieszczenia zamykane na klucz) oraz systemowych (dla danych przetwarzanych w systemach informatycznych).
  • Wyznaczenie osób odpowiedzialnych za realizację zdań związanych z ochroną danych osobowych, w szczególności powołanie administratora bezpieczeństwa informacji (jest to czynność fakultatywna).
  • Opracowanie i wdrożenie polityki bezpieczeństwa (regulaminu przetwarzania danych osobowych).

Read More

07 mar

Jak wykreślić zbiór z rejestru GIODO

Zgodnie z ustawą, są dwie sytuacje w których administrator danych może zwrócić się do GIODO o wykreślenie zbioru danych osobowych z rejestru:

1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze;

2) rejestracji dokonano z naruszeniem prawa.

Tak naprawdę druga sytuacja ma miejsce, gdy po kontroli GIODO jego inspektor stwierdzi naruszenie prawa (np. brak podstawy prawnej do przetwarzania danych) i wyda decyzję o wykreśleniu zbioru z rejestru. W świetle nowych przepisów, może zdarzyć się, że to ABI zgłosi do GIODO konieczność wykreślenia zbioru, powołując się na przesłankę braku legalności. Read More