05 Wrz

Zgoda na publikację wizerunku na stronie www, Facebooku, Instagramie, YouTubie

Artykuł stanowi aktualizację wpisu z zeszłego roku. Jest wynikiem zmian, które zaszły w związku z bezwzględnym stosowaniem RODO oraz przystąpieniem przez Facebook oraz Google do Tarczy Prywatności UE-USA. Obie spółki musiały przejść certyfikację, potwierdzającą, że spełniają wymagania RODO. Jest to duże ułatwienie dla podmiotów, które promują się za pośrednictwem tych serwisów.

Publikowanie danych osobowych w postaci wizerunku, imienia, nazwiska, itp. na stronie www, w portalu społecznościowym Facebook, Instagram (analogicznie Google+, YouTube) wymaga  zgody osoby, której dane chcemy zamieścić. Zgoda musi być pozyskana w sposób świadomy i pozwalający faktycznie udowodnić, że ktoś ją wyraził.

Read More

16 Lis

Test ze znajomości przepisów o ochronie danych osobowych

Myślę, że to jest rzecz, na którą wielu moich czytelników od dawna czekało. Test, który można przesłać pracownikom do wypełnienia w celu zweryfikowania ich wiedzy. Odpowiedzi nie podaję, po pierwsze dlatego, że każda osoba zajmująca się nadzorowaniem zgodności przetwarzania danych z przepisami powinna znać odpowiedzi, po drugie dlatego, że umieszczenie klucza do testu w internecie sprawi, że ten test nie będzie miał sensu. Zapraszam do modyfikowania i dodawania pytań. Dla osób, które zaproponują mi pytania, o które rozszerzę test, z pewnością znajdzie się jakaś niespodzianka (może nawet jeden z autorskich egzemplarzy mojej książki ;-)).

Test jest jednokrotnego wyboru, można wypełniać go elektronicznie. Read More

25 Paź

Wzór sprawozdania ze sprawdzenia zgodności przetwarzania danych z przepisami

Piszecie do mnie ostatnio z prośbą o wzór sprawozdania ze sprawdzenia zgodności z przepisami o ochronie danych osobowych. Prawda jest taka, że jest on już od bardzo dawna na moim blogu, ale po prostu chyba za bardzo ukryty, bo nie możecie do niego dotrzeć.

Przypomnę tylko krótko, że przeprowadzanie regularnych sprawdzeń ze zgodności przetwarzania danych z przepisami, jest obowiązkiem każdego administratora danych osobowych. Jest to podstawa do kontroli zgodności przetwarzania i stosowania odpowiednich środków. Może to być także forma analizy ryzyka i zagrożeń (a konkretne szacowania ryzyka). Gdy został powołany administrator bezpieczeństwa informacji, to jego obowiązkiem jest przeprowadzanie sprawdzeń. Jeżeli ABI nie ma, to sprawdzenia przeprowadza dyrektor/prezes/wojewoda itd. lub wyznaczona do tego przez niego osoba. Z takiego sprawdzenia przeprowadzonego w jednostce, która nie ma ABI wystarczy przygotować notatkę służbową (nie ma w ogóle obowiązku dokumentowania sprawdzenia, jednakże wydaje się to bardzo zasadne). Read More

16 Cze

Jak przeprowadzić sprawdzenie z zakresu ochrony danych osobowych

Niedawno otrzymałam wiadomość od Pani Barbary, z prośbą o opisanie schematu przeprowadzania audytu wewnętrznego z ochrony danych osobowych w bibliotece. Jak zaplanować, przeprowadzić, a następnie napisać protokół z kontroli.

Mam nadzieję, że moje wskazówki będą pomocne. Read More

12 Sty

Zgoda na publikację wizerunku na stronie biblioteki

Wizerunek jest daną osobową szczególnie chronioną przez przepisy prawa. Z jednej strony jest daną osobową (pozwala zidentyfikować osobę), z drugiej zaliczany jest do dóbr osobistych człowieka (art. 23 Kodeksu Cywilnego). Postępowanie ze zdjęciami określa także ustawa o prawie autorskim i prawach pokrewnych, w rozumieniu, której zdjęcie, jest dziełem, do którego prawa ma twórca.

Wobec tego publikowanie zdjęć na stronie internetowej biblioteki wymaga zgody autora tych zdjęć (art. 81 ustawy o prawie autorskim i prawach pokrewnych – wyjątki omówię w jednym z kolejnych wpisów). A publikowanie zdjęć zawierających wizerunki wymaga dodatkowo zgód wszystkich osób, które zostały utrwalone na zdjęciach. Read More

13 Paź

Wzór oświadczenia

Zgodnie z art. 36.2. UODO:  Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1 (niniejszej ustawy).

Ustawodawca ma na myśli konieczność wprowadzenia w bibliotece polityki bezpieczeństwa oraz instrukcji zarządzania systemami informatycznymi. Każdy z pracowników powinien zapoznać się z obowiązującymi w bibliotece regulaminami, w tym tymi z zasad przetwarzania i zabezpieczania danych osobowych.

Niektóre biblioteki stosują, jako dokument potwierdzający zapoznanie się z wyżej wymienionymi dokumentami listy, na których muszą podpisać się wszyscy pracownicy. Jest to rozwiązanie, którego nie polecam. Po pierwsze, każdy nowy pracownik będzie musiał podpisać dodatkowe oświadczenie (nie będzie mógł dopisać się do listy, bo istotna jest data złożenia podpisu), co stwarza rozbieżność w dokumentacji. Powstaje też pytanie, gdzie przechowywać listę, a gdzie oświadczenie. Read More

13 Paź

Wzór upoważnienia

Zgodnie z art. 37 UODO: do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Upoważnienie musi zawierać nazwę zbioru oraz zakres upoważnienia. Powinno zostać nadane przez administratora danych (bibliotekę), czyli w praktyce na upoważnieniu powinien podpisać się dyrektor biblioteki lub osoba wyznaczona przez niego (przez odrębne zarządzenie lub określenie tego zadania w polityce bezpieczeństwa).

Read More

11 Paź

Ewidencja upoważnień

Zgodnie z art. 39 UODO:

1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

1) imię i nazwisko osoby upoważnionej,

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

W bibliotece są przetwarzane dane osobowe znajdujące się w kilkunastu zbiorach danych osobowych.

Read More