Słownik pojęć – Sylwia Czub bloguje o danych osobowych

27 cze

Co powinna zawierać Instrukcja Zarządzania Systemami Informatycznymi?

Każdy administrator danych jest zobowiązany przygotować dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Na tę dokumentację składają się polityka bezpieczeństwa danych osobowych oraz instrukcja zarządzania systemami informatycznymi.

Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobowych w szczegółowy sposób określa zawartość instrukcji (jest to właściwie gotowy spis treści):

Polityka bezpieczeństwa, co to jest i dlaczego musi być w każdej bibliotece

Przypuszczam, że większość bibliotek przynajmniej raz otrzymała propozycję zakupu “polityki bezpieczeństwa”. Zazwyczaj był to pierwszy moment, gdy dowiadywały się o konieczności stworzenia tego dokumentu. Zgodnie z art. 36 ust. 1-2 ustawy administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Zapis ustawowy jest dość niejasny, na szczęście znalazł on doprecyzowanie w przepisach wykonawczych, tzn. w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz środków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobowych. Read More →

20 paź

Czym jest wizerunek?

Według Słownika Języka Polskiego PWN:

Wizerunek to 1) Czyjaś podobizna na rysunku, obrazie, zdjęciu itp.; 2) Sposób, w jaki dana osoba lub rzecz jest postrzegana i przedstawiana.

Zgodnie z art. 23 Kodeksu Cywilnego wizerunek jest zaliczany do dóbr osobistych człowieka i pozostaje pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.

Zgodnie z art. 6 ustawy o ochronie danych osobowych, wszelkie informacje pozwalające bez nadmiernego nakładu pracy i kosztów zidentyfikować daną osobę są danymi osobowymi. Nie ulega zatem wątpliwości, że wizerunek jest daną osobową.

Zasady rozpowszechniania wizerunku określają artykuł 81 ustawy o prawie autorskim i prawach pokrewnych. Punktem wyjścia jest zgoda osoby przedstawionej na zdjęciu na upublicznienie jej wizerunku (wyjątki omówię w oddzielnym wpisie).

Podsumowując:

Wizerunek jest dobrem osobistym człowieka i jest daną osobową. Podlega ochronie cywilnoprawnej zgodnie z Kodeksem Cywilnym oraz ustawą o prawie autorskim i prawach pokrewnych. Należy zatem uznać, że gromadzenie zdjęć jest gromadzeniem danych osobowych.

01 paź

Administrator Bezpieczeństwa Informacji

Administrator Bezpieczeństwa (lub też Administrator Bezpieczeństwa Informacji, w skrócie ABI) to osoba, odpowiedzialna za kontrolę przestrzegania zasad przetwarzania danych osobowych w instytucji, np. bibliotece. Od stycznia 2015 roku zmieniły się obowiązki i zasady działania ABI. Przede wszystkim tę rolę może pełnić tylko i wyłącznie osoba, która spełnia wymagania określone art. 36 ust 5:

1)ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw
publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.

Powołany przez administratora danych ABI musi zostać zarejestrowany w GIODO. Co istotne, nie ma obowiązku powoływania ABI. Jest to istotna zmiana w stosunku do poprzednich przepisów. Read More →

01 paź

Administrator danych osobowych

Zacznijmy od definicji ustawowej

Art. 7 ust. 4 UODO

Ilekroć w ustawie jest mowa o administratorze danych – rozumie się przez to organ, jednostkę organizacyjną podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych.

Konieczne jest przytoczenie art. 3 UODO (konkretnie ust. 2.2):

Ustawę stosuje się również do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Konkluzja: Read More →