Inwentaryzacja zbiorów danych osobowych
Aby przejść do kolejnej części tworzenia polityki bezpieczeństwa danych osobowych, konieczne jest wcześniejsze dokonanie inwentaryzacji zbiorów danych osobowych.
Z mojego doświadczenia wynika, że biblioteki zazwyczaj mają świadomość przetwarzania danych osobowych w dwóch zbiorach: pracowników i czytelników. Tymczasem wszystkich zbiorów danych osobowych, w ramach których są przetwarzane dane jest w bibliotece co najmniej kilkanaście. Jak je zinwentaryzować? Najłatwiej systematyzować zbiory poprzez zadanie sobie trzech pytań dotyczących przetwarzanych danych:
- Jaka jest podstawa prawna przetwarzania danych (art. 23 ustawy);
- Jaki jest cel przetwarzania danych;
- Jakie są kategorie osób, których dane będą przetwarzane.
Moim zdaniem odpowiedzenie na te trzy proste pytania, pozwala w łatwy sposób przydzielić dane do poszczególnych zbiorów. Posłużę się moim ulubionym przykładem danych pracowników.
Dane osobowe pracowników przetwarzamy na podstawie przepisów Kodeksu Pracy. Celem przetwarzania jest realizacja obowiązków wynikających ze stosunku pracy. W zbiorze znajdują się osoby, które zostały zatrudnione na podstawie umowy o pracę.
Większość bibliotek realizuje świadczenia w ramach zakładowego funduszu świadczeń socjalnych. Jeżeli w odniesieniu do tych danych zadamy trzy pytania uzyskamy odpowiedzi, że podstawą do przetwarzania danych jest ustawa o zakładowym funduszu świadczeń socjalnych, celem jest realizacja świadczeń z ZFŚS, a w ramach zbioru są przetwarzane dane nie tylko pracowników, ale także ich rodzin oraz byłych pracowników. Łatwo zauważyć, że będzie to oddzielny zbiór danych osobowych.
Zastanówmy się nad celami przetwarzania danych osobowych czytelników. Podstawowym celem jest udostępnienie zbiorów bibliotecznych, następnie odzyskanie ich lub równowartości. Są też oczywiście cele statystyczne. Wszystkie te cele wynikają z ustawy o bibliotekach, która stanowi przesłankę legalności przetwarzania tych danych. W ramach zbioru przetwarzamy dane osób zarejestrowanych w bibliotece.
Często przetwarzamy dane osobowe czytelników także w innych celach: korzystanie z czytelni internetowej, wysyłanie newslettera lub zaproszeń na wydarzenia, organizowanie konkursów.
Czy jest to jeden zbiór danych osobowych czytelników, czy kilka zbiorów, które należy wyróżnić? Zadajmy trzy pytania:
Czytelnicy:
- Podstawa prawna: ustawa o bibliotekach.
- Cel przetwarzania: udostępnienie zbiorów, odzyskanie ich lub ich równowartości, prowadzenie statystyk.
- Kategorie osób: osoby zarejestrowane w bibliotece, które zaakceptowały regulamin.
Osoby korzystające z czytelni internetowej:
- Podstawa prawna: zgoda danej osoby i/lub akceptacja regulaminu (czyli realizacja umowy zgodnie z art. 23 ust 1. pkt 1 i 3).
- Cel przetwarzania: zabezpieczenie sprzętu komputerowego, kontrola nad procesami odbywającymi się w sieci internetowej, ewentualne udostępnienie danych służbom upoważnionym na podstawie prawa (np. Gdy zachodzi podejrzenie popełnienia przestępstwa z komputera).
- Kategorie osób: osoby, które korzystają z czytelni, ale nie są zarejestrowanymi użytkownikami.
Odbiorcy newslettera lub zaproszeń na wydarzenia:
- Podstawa prawna: zgoda na otrzymywanie informacji.
- Cel przetwarzania: wysyłanie informacji o tematyce promocyjnej.
- Kategorie osób: wszystkie, które wyraziły zgodę na otrzymywanie informacji (niekoniecznie tylko czytelnicy).
Uczestnicy konkursów:
- Podstawa prawna: zgoda na przetwarzanie danych osobowych.
- Cel przetwarzania: udział w konkursie, przeprowadzenie konkursu oraz wyłonienie laureatów, promocja biblioteki w środowisku lokalnym.
- Kategoire osób: konkursy bardzo często mają charakter otwarty i skierowane są nie tylko do czytelników.
Z powyższego wyliczenia wynika, że należy każde z tych danych zakwalifikować do odrębnego zbioru danych osobowych.
Przykłady zbiorów danych osobowych, w ramach których mogą być przetwarzane dane w bibliotece:
- Osoby korzystające z ZFŚS.
- Osoby zatrudnione na podstawie umowy cywilno-prawnej.
- Osoby realizujące dla biblioteki zadania w ramach wolontariatu, stażu, czy praktyk.
- Uczestnicy konkursów.
- Odbiorcy newslettera
- Uczestnicy wydarzeń bibliotecznych.
- Baza kontaktów.
- Książka korespondencyjna.
- Sponsorzy i darczyńcy.
- Uczestnicy przetargów.
- Osoby, których wizerunek utrwalono za pomocą monitoringu wizyjnego.
- Kandydaci do pracy.
- Osoby korzystające z czytelni internetowej (chyba, że z czytelni mogą korzystać tylko zarejestrowani czytelnicy, wówczas nie wyróżniamy tego zbioru).
- Uczestnicy szkoleń.
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!