27 cze

Co powinna zawierać Instrukcja Zarządzania Systemami Informatycznymi?

Każdy administrator danych jest zobowiązany przygotować dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Na tę dokumentację składają się polityka bezpieczeństwa danych osobowych oraz instrukcja zarządzania systemami informatycznymi.
23 mar

Polityka bezpieczeństwa, co to jest i dlaczego musi być w każdej bibliotece

Przypuszczam, że większość bibliotek przynajmniej raz otrzymała propozycję zakupu “polityki bezpieczeństwa”. Zazwyczaj był to pierwszy moment, gdy dowiadywały się o konieczności stworzenia tego dokumentu. Zgodnie z art. 36 ust. 1-2 ustawy administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Zapis ustawowy jest dość niejasny, na szczęście znalazł on doprecyzowanie w przepisach wykonawczych, tzn. w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz środków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobowych. Read More

20 paź

Czym jest wizerunek?

Według Słownika Języka Polskiego PWN:

Wizerunek to 1) Czyjaś podobizna na rysunku, obrazie, zdjęciu itp.; 2) Sposób, w jaki dana osoba lub rzecz jest postrzegana i przedstawiana.

Zgodnie z art. 23 Kodeksu Cywilnego wizerunek jest zaliczany do dóbr osobistych człowieka i pozostaje pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.

Zgodnie z art. 6  ustawy o ochronie danych osobowych, wszelkie informacje pozwalające bez nadmiernego nakładu pracy i kosztów zidentyfikować daną osobę są danymi osobowymi. Nie ulega zatem wątpliwości, że wizerunek jest daną osobową.

Zasady rozpowszechniania wizerunku określają artykuł 81 ustawy o prawie autorskim i prawach pokrewnych. Punktem wyjścia jest zgoda osoby przedstawionej na zdjęciu na upublicznienie jej wizerunku (wyjątki omówię w oddzielnym wpisie).

Podsumowując:

Wizerunek jest dobrem osobistym człowieka i jest daną osobową. Podlega ochronie cywilnoprawnej zgodnie z Kodeksem Cywilnym oraz ustawą o prawie autorskim i prawach pokrewnych. Należy zatem uznać, że gromadzenie zdjęć jest gromadzeniem danych osobowych.

01 paź

Administrator Bezpieczeństwa Informacji

Administrator Bezpieczeństwa (lub też Administrator Bezpieczeństwa Informacji, w skrócie ABI) to osoba, odpowiedzialna za kontrolę przestrzegania zasad przetwarzania danych osobowych w instytucji, np. bibliotece. Od stycznia 2015 roku zmieniły się obowiązki i zasady działania ABI. Przede wszystkim tę rolę może pełnić tylko i wyłącznie osoba, która spełnia wymagania określone art. 36 ust 5:

1)ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw
publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.

Powołany przez administratora danych ABI musi zostać zarejestrowany w GIODO. Co istotne, nie ma obowiązku powoływania ABI. Jest to istotna zmiana w stosunku do poprzednich przepisów. Read More

01 paź

Administrator danych osobowych

Zacznijmy od definicji ustawowej

Art. 7 ust. 4 UODO

Ilekroć w ustawie jest mowa o administratorze danych – rozumie się przez to organ, jednostkę organizacyjną podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych.

Konieczne jest przytoczenie art. 3 UODO (konkretnie ust. 2.2):

Ustawę stosuje się również do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Konkluzja: Read More